KR101584219B1 - Authentication method, digital system, and authentication system thereof - Google Patents
Authentication method, digital system, and authentication system thereof Download PDFInfo
- Publication number
- KR101584219B1 KR101584219B1 KR1020150012866A KR20150012866A KR101584219B1 KR 101584219 B1 KR101584219 B1 KR 101584219B1 KR 1020150012866 A KR1020150012866 A KR 1020150012866A KR 20150012866 A KR20150012866 A KR 20150012866A KR 101584219 B1 KR101584219 B1 KR 101584219B1
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- information
- digital system
- transaction
- digital
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/02—Banking, e.g. interest calculation or account maintenance
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Technology Law (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Description
본 발명은 본인인증방법 및 이를 위한 디지털 시스템, 인증 시스템에 관한 것으로, 보다 상세하게는 금융거래(예컨대, 계좌이체, 온라인 결제, 전자 상거래 등)의 서비스를 이용할 때 수행해야할 사용자 인증(본인인증; 결제는 사용자 인증과 연동하여 다양한 방식으로 실시 가능한 것으로, 인증과 동시에 결제가 이루어질 수도 있고, 인증 후 결제의 프로세스가 추가 될 수도 있으나 그 기술적 구성의 차이는 크지 않으므로 본 발명에서는 인증을 중심으로 설명하며, 본 발명의 기술적 사상이 결제에도 쉽게 적용될 수 있음은 물론이다.)을 보안성이 뛰어나면서도 간편하게 수행할 수 있는 방법 및 그 시스템에 관한 것이다.
More particularly, the present invention relates to a digital authentication system and an authentication system for authenticating a user (authentication of a user) to be performed when using a service of a financial transaction (for example, bank transfer, online payment, electronic commerce, The payment can be performed in various ways in conjunction with the user authentication. The payment may be made at the same time as the authentication, and the process of payment after the authentication may be added. However, since the difference in the technical structure is not significant, , It is obvious that the technical idea of the present invention can be easily applied to settlement), and its system.
인터넷, 모바일을 통한 금융거래 등의 온라인 서비스가 활성화되면서 서비스를 요청하는 사용자의 본인인증(또는 사용자 인증이라고도 함)의 중요성은 갈수록 중요해지고 있다.As online services such as internet and mobile transactions are activated, the importance of user authentication (or user authentication) of a user requesting a service becomes more and more important.
온라인 서비스에서의 본인인증을 위해서는 서비스를 요청하는 요청자와 제공자간의 상호인증, 메시지의 무결성, 부인방지 등이 제공되어야 하며, 이러한 본인인증을 위해 다양한 프로토콜 및 기술들이 지속적으로 개발되고 있다.In order to authenticate the user in the online service, mutual authentication between the requestor and the provider requesting the service, integrity of the message, and non-repudiation must be provided. Various protocols and technologies are continuously developed for such authentication.
종래의 본인인증의 일예로 휴대폰 본인인증, 공인인증서를 통한 본인인증, OTP를 이용한 본인인증, i-PIN(Internet Personal Identification Number) 인증, 또는 신용카드를 이용한 본인인증 등이 있다.As an example of the conventional authentication of the user, there are a personal authentication using a mobile phone, a personal authentication using an official certificate, a personal authentication using an OTP, an i-PIN (Internet Personal Identification Number) authentication or a personal authentication using a credit card.
공인인증서 인증은 비교적 보안등급이 높은 인증 프로토콜이지만, 공인인증서를 안정적으로 휴대하기가 쉽지 않다는 점과 인증과정이 복잡하다는 단점 등이 있다.Authorized certificate authentication is an authentication protocol with a relatively high security level, but it is not easy to carry the authorized certificate stably and there are disadvantages such as complicated authentication process.
i-PIN은 인터넷상에 이용되는 가상의 식별번호를 이용하여 본인인증을 수행하는 방식으로 새로운 식별번호를 사용자가 미리 알고 있어야 하고 아이디 패스워드 방식과 같이 한 번 노출이 되면 정상적인 인증기능을 수행하기 어렵다는 제약점이 있다. The i-PIN is a method of authenticating the user by using a virtual identification number used on the Internet. The user must know a new identification number in advance, and it is difficult to perform a normal authentication function once an exposure is performed as in an ID password method There are constraints.
또한, 휴대폰 본인인증은 인증번호를 이용해 휴대폰의 점유를 인증하는 방식으로 스미싱 등에 취약하다는 문제점이 있다.In addition, the authentication of the mobile phone itself is problematic in that it is susceptible to smsing and the like by a method of authenticating occupation of the mobile phone by using the authentication number.
또한 이들 종래의 기술들은 모두 비밀번호 또는 인증번호를 입력하는 방식이므로, 비밀번호 또는 인증번호가 타인에게 노출되면 본인인증이 무력화될 수밖에 없고, 키 로깅 등 키 입력방식의 해킹에 노출될 위험이 높다. In addition, since all of these conventional technologies are based on a method of inputting a password or an authentication number, if a password or an authentication number is exposed to another person, the authentication of the user is inevitably disabled, and there is a high risk of being exposed to hacking of a key input method such as key logging.
한편, 최근에는 메모리 해킹이라 불리우는 악성코드에 의한 불법 계좌이체 사고가 빈번하게 발생하고 있다. 메모리 해킹 방지 기술들이 일부 나와 있기는 하지만 종래의 기술들은 최근의 메모리 해킹 범죄를 막아내지 못하고 있다.On the other hand, in recent years, an illegal account transfer accident caused by a malicious code called a memory hacking frequently occurs. Though some of the memory hacking prevention technologies are out there, conventional technologies have not prevented recent memory hacking crimes.
메모리 해킹 악성코드에 의한 온라인 금융사고(이하에서는 '메모리 행킹 금융사고'라고 한다.)는 가짜 인터넷(모바일)뱅킹/결제 사이트로 유도하는 파밍 공격과 달리 공격자가 정상적인 인터넷(모바일)뱅킹/결제 사이트에서 계좌이체나 결제를 위해 보안카드, OTP정보, 휴대폰 인증정보, 공인인증서 등 다양한 인증정보를 가로챈 후 정상거래를 방해하면서 이체 필요정보를 악용하여 불법이체 공격을 수행한다.Memory Hacking Unlike pharming attacks that lead to fake Internet (mobile) banking / payment sites, malicious code-based online banking attacks (hereinafter referred to as "memory banking banking accidents" Intercepts various authentication information such as security card, OTP information, mobile phone authentication information, authorized certificate, etc., for account transfer and payment, and performs illegal transfer attack by abusing the transfer information while interrupting normal transaction.
온라인 뱅킹 서비스에는 키보드보안, 해킹차단기, OTP, 공인인증서, 온라인 백신 프로그램 등과 같은 보안 프로그램이 적용되어 있으나, 악성코드가 보안 프로그램의 메모리를 해킹하여 피해고객에게 보안 프로그램이 정상동작하는 것처럼 보이도록 하면서도 보안 프로그램이 제 역할을 하지 못하도록 방해하거나, 또는 피해고객에게 보안 프로그램이 오작동하는 것처럼 보이도록 하면서 이체 계좌의 거래내역(계좌번호, 거래금액)을 변경하여 불법 이체를 실행한다.Online banking services include security programs such as keyboard security, hacking blockers, OTP, authorized certificates, and online anti-virus programs. However, malicious code hacking the memory of the security program causes the victim to show the security program as normal The illegal transfer is executed by changing the transaction details (account number, transaction amount) of the transfer account, preventing the security program from functioning, or making the security program seem to malfunction to the damaged customer.
그 결과 금융회사는 이체거래가 중간에 정지되기도 하지만 고객 PC나 이동 단말기의 보안 프로그램이 정상 동작하고 있기 때문에 해킹이 이루어지고 있음을 인지하지 못한다.As a result, the financial company does not recognize that the hacking is being performed because the security program of the customer PC or the mobile terminal is operating normally although the transfer transaction is suspended in the middle.
예컨대, 종래의 금융거래 시에 금융거래 요청자는 금융거래를 요청할 거래매체(예컨대, 컴퓨터, 핸드폰 등)에 금융거래를 특정할 수 있는 거래정보(예컨대, 이체의 경우 수신계좌, 금액, 구현 예에 따라 전화번호, 명의자 등, 결제의 경우 결제금액, 가맹점 식별정보, 가맹점 이름 등)를 입력하고, 자신을 인증할 수 있는 사용자 인증정보(예컨대, 패스워드, 보안카드 정보, OTP, 공인인증서, 생체정보 등)를 입력할 수 있다.For example, in a conventional financial transaction, a financial transaction requester selects transaction information (for example, a receipt account, an amount, and an implementation example in the case of a transfer) that can specify a financial transaction in a transaction medium (e.g., a computer, a mobile phone, (For example, a password, a credit card information, an OTP, an authorized certificate, a biometric information, and the like) capable of authenticating the user, Etc.) can be input.
그러면 입력된 인증정보는 금융거래 시스템에 포함된 소정의 인증장치로 전송되어 인증이 수행되고, 수행결과 인증이 성공되면 거래실행 장치는 요청자가 입력한 거래정보를 이용하여 금융거래를 실행하게 된다. Then, the input authentication information is transmitted to a predetermined authentication device included in the financial transaction system to perform authentication, and when the authentication result is successful, the transaction execution device executes the financial transaction using the transaction information inputted by the requestor.
이때 악성코드는 요청자가 인지하지 못하게 거래매체에서 디스플레이되고 있는 거래정보는 유지한 채 실제 거래실행 장치가 실행할 거래정보를 자신이 원하는 대로 변경하거나, 또는 디스플레이되고 있는 거래정보의 변경여부와 무관하게 요청자가 자신이 거래정보를 입력한 후에는 잘 확인하지 않는다는 점을 이용하여 거래정보를 변경하게 된다. At this time, the malicious code may change the transaction information to be executed by the actual transaction execution device as desired, while maintaining the transaction information displayed on the transaction medium so that the requestor can not recognize it, The transaction information is changed by using the fact that the user himself / herself does not check the transaction information after inputting the transaction information.
이처럼 악성코드를 이용한 메모리 해킹 등은 정상적인 금융거래를 위한 사이트에 접속한 상태에서도 공격을 수행하므로 그 심각성이 크다고 할 수 있다.Such a malicious code-based memory hacking can be said to be very serious because it performs an attack even when it is connected to a site for normal financial transactions.
메모리 해킹을 차단하기 위해서는 최소한 거래내역을 확인할 수 있는 인증수단들이 필요하다. 이와 관련한 기술들을 보면 거래연동 SMS인증, 거래연동 OTP, 거래연동 보안토큰, 거래연동 2채널인증 등이 있다.In order to block the hacking of the memory, at least authentication means are needed to check transaction details. These technologies include transaction-based SMS authentication, transaction-based OTP, transaction-based security token, and transaction-linked 2-channel authentication.
거래연동 SMS인증은 문자메시지에 거래내역이 표시되는 SMS인증을 말하는데, 스미싱 기법에 의해 쉽게 SMS가 탈취되어 그 보안성이 약하다.Transaction-linked SMS authentication refers to SMS authentication, which shows transaction details in a text message. SMS is easily seized by smsing technique and its security is weak.
거래연동 OTP는 OTP(One Time Password)를 생성할 때 거래정보를 연동시켜 일회성 정보를 생성하는 것으로 보안성이 높으나, OTP가 입력된 다음에 불법 이체가 발생하는 경우, 이를 방지 못한다는 단점이 있다. 또한 OTP 발생 후 유효시간이 일정하고, OTP 인증을 통합 시스템 형태로 진행하는 경우 고객의 다른 금융기관의 이체에 동일 OTP를 사용하여 불법 금융거래가 가능하다는 단점 등이 있다.Transaction-linked OTP generates one-time information by linking transaction information when OTP (One Time Password) is generated, which is high in security. However, it has a disadvantage in that it can not prevent illegal transfer after OTP is input . In addition, if the validity period after OTP occurs and the OTP authentication is performed in the form of an integrated system, there is a disadvantage that illegal financial transactions can be performed using the same OTP for the transfer of the customer's other financial institution.
거래연동 보안토큰은 보안토큰 카드 등에 보안토큰의 PIN입력을 위한 키패드가 부착되어 보안토큰 비밀번호가 외부로 유출되지 않으며 거래내역을 표시하는 액정이 부착되어 해당 거래내역에 대한 전자서명을 수행하는 수단으로 사용되어질 수 있는 등 장점이 많으나, 별도의 보안토큰 카드와 보안토큰 리더기 가격이 고가라는 점 등의 단점이 있다.The transaction interlocking security token is a means for attaching a key pad for inputting a PIN of a security token to a security token card or the like so that a security token password is not leaked to the outside and a liquid crystal indicating transaction details is attached to perform digital signature on the transaction details The security token card and the security token reader are expensive. However, there is a drawback that the security token card and the security token reader are expensive.
거래연동 2채널인증은 2채널인증의 방법으로 온라인 금융거래를 수행하면서 ARS 등 유무선 전화를 이용해 거래내역을 확인하는 방식으로, 거래를 확인하기 위한 시간이 과도하게 사용되고 설비비용이 비싸다는 단점이 있다.
Transaction-linked 2-channel authentication is a method of confirming transaction details by using ARS or other wired / wireless telephone while performing online financial transactions by a method of 2-channel authentication, and there is a disadvantage that excessive time is used to check transactions and facility cost is high .
본 발명이 이루고자 하는 기술적인 과제는 간단하면서도 별도의 인증수단(예컨대, 인증서, OTP 토큰, 보안토큰 등)을 구비하지 않고도 보안성이 높은 본인인증 방법 및 그 시스템을 제공하는 것이다.SUMMARY OF THE INVENTION The present invention has been made in view of the above problems, and it is an object of the present invention to provide a high security authentication method and system without requiring a separate authentication means (e.g., certificate, OTP token, security token, etc.).
또한, 본인인증의 시작 단계에서 서비스를 요청하는 사용자의 디지털 시스템(예컨대, 모바일 폰)과 서비스를 인증하는 인증 측간의 상호인증을 강화하여 애초에 비정상적인 본인인증이 시도되는 것 자체를 방지할 수 있는 방법 및 시스템을 제공하는 것이다 In addition, a mutual authentication between a digital system (for example, a mobile phone) of a user requesting a service and an authentication unit authenticating the service is strengthened at the beginning of the authentication of the user, thereby preventing an attempt of abnormal authentication And a system
또한, 본인인증을 수행하는 목적 중의 하나인 금융거래(예컨대, 계좌이체 또는 결제 등)인 경우, 거래정보 자체를 인증에 필요한 인증정보를 생성하는 기초정보로 이용하고, 금융거래 실행 단계에서 실제로 실행할 거래정보에 기초한 확인용 인증정보와 비교하여 인증절차가 성공하여야 금융거래가 수행되도록 함으로써 메모리 해킹을 방지할 수 있는 방법 및 시스템을 제공하는 것이다. Further, in the case of a financial transaction (for example, bank transfer, payment, or the like) which is one of the purposes of performing the identity authentication, the transaction information itself is used as basic information for generating authentication information required for authentication, A method and system for preventing memory hacking by allowing a financial transaction to be performed when an authentication procedure is successful compared with authentication authentication information based on transaction information.
또한, 인증정보를 생성하기 위해 인증서버 측에서 일회성 키 값을 제공하고, 이를 이용하여 인증정보를 생성함으로써 인증정보의 재사용이 방지되고 보안성이 향상될 수 있으며, 사용자가 인증을 위해 입력해야할 정보를 요구하지 않을 수 있어서 키 입력을 탈취하는 공격(예컨대, 키 로깅 등)에 강인한 방법 및 시스템을 제공하는 것이다.In order to generate authentication information, a one-time key value is provided on the authentication server side, and authentication information is generated using the one-time key value, thereby preventing reuse of authentication information and improving security. (For example, key logging, etc.) that does not require a key input.
또한, 인증정보 생성 시 거래정보를 사용자가 보다 정확하게 인지할 수 있도록 거래정보(거래금액, 거래계좌와 함께 거래상대방(수신인 또는 가맹점명))를 재생(시각적 디스플레이 또는 음성으로의 플레이 등)하고, 재생을 통해 사용자가 확인된 거래정보를 이용하여 인증정보를 생성하도록 함으로써 고객의 부주의로 인한 메모리 해킹 등 전자금융 사기 피해를 줄일 수 있도록 하는 방법 및 시스템을 제공하는 것이다.
In addition, in order to allow the user to recognize the transaction information more accurately at the time of generating the authentication information, the transaction information (the transaction amount, the transaction counterpart (the recipient or the merchant name) along with the transaction account) is reproduced A method and system for enabling a user to generate authentication information using transaction information that has been confirmed by a user, thereby reducing damages of electronic financial fraud such as memory hacking caused by carelessness of a customer.
상기 기술적 과제를 달성하기 위한 본 발명의 실시 예에 따른 본인인증방법은 디지털 시스템이 상기 디지털 시스템 또는 상기 디지털 시스템에 설치되는 애플리케이션의 인증을 위한 클라이언트 인증정보를 인증을 수행할 인증 시스템으로 전송하는 단계, 상기 인증 시스템에 의해 상기 클라이언트 인증정보가 인증된 경우, 상기 디지털 시스템이 상기 인증 시스템으로부터 상기 애플리케이션의 적어도 일부의 보호모듈을 활성화할 수 있는 활성화 정보를 수신하는 단계, 상기 디지털 시스템이 수신한 활성화 정보에 기초하여 비활성화되어 있는 상기 보호모듈을 활성화하는 단계; 및 상기 디지털 시스템이 활성화된 상기 보호모듈을 통해 인증요청을 인증하기 위한 인증정보를 포함하는 확인신호를 생성하고 생성한 확인신호를 상기 인증 시스템으로 전송하는 단계를 포함하며, 상기 인증 시스템에 의해, 전송된 확인신호에 포함된 인증정보가 인증되는 인증확인절차가 수행되며, 상기 인증확인절차가 성공하여야 소정의 데이터 처리장치 또는 상기 디지털 시스템으로부터 상기 인증 시스템 또는 상기 인증 시스템과 연결된 서비스 시스템으로 출력된 상기 인증 요청이 성공 처리되는 것을 특징으로 할 수 있다.According to another aspect of the present invention, there is provided a method for authenticating a principal according to an embodiment of the present invention includes transmitting a client authentication information for authenticating an application installed in the digital system or the digital system to an authentication system Receiving activation information enabling the digital system to activate at least a portion of the protection module of the application from the authentication system when the client authentication information is authenticated by the authentication system, Activating the protection module that is inactive based on the information; And generating an acknowledgment signal including authentication information for authenticating an authentication request through the protection module in which the digital system is activated, and transmitting the generated acknowledgment signal to the authentication system, An authentication confirmation process is performed in which the authentication information included in the transmitted confirmation signal is authenticated, and if the authentication confirmation process is successful, the authentication information is output from the predetermined data processing device or the digital system to the authentication system or the service system connected to the authentication system And the authentication request is successfully processed.
또한, 상기 인증정보는, 적어도 상기 인증 시스템에 의해 생성되는 일회성의 서버 생성키에 기초하여 생성되며, 선택적으로 상기 디지털 시스템의 식별정보 또는 상기 애플리케이션의 식별정보 중 적어도 하나에 더 기초하여 생성되는 정보인 것을 특징으로 할 수 있다.Also, the authentication information is generated based on at least one server generating key generated by the authentication system, and optionally, information generated based on at least one of identification information of the digital system or identification information of the application .
또한, 상기 인증정보는, 적어도 상기 인증 시스템에 의해 생성되는 일회성의 서버 생성키에 기초하여 생성되며, 선택적으로 인증이 성공될 경우 수행될 거래의 거래정보 또는 사용자를 인증할 수 있는 사용자 인증정보 중 적어도 하나에 더 기초하여 생성되는 정보인 것을 특징으로 할 수 있다.Also, the authentication information is generated based on at least one server generating key generated by the authentication system, and optionally, transaction information of a transaction to be performed when the authentication is successful or user authentication information And information that is generated based on at least one.
또한, 상기 인증정보가 상기 거래정보에 기초하여 생성되는 정보일 경우, 상기 디지털 시스템은 상기 거래정보 중 적어도 일부를 특정하고 특정된 상기 거래정보 중 적어도 일부를 상기 인증 시스템으로 전송하며, 상기 거래정보가 상기 인증 시스템에 의해 확인되어 수신되면 수신된 상기 거래정보를 재생하고, 재생된 상기 거래정보가 상기 디지털 시스템에 의해 확인되면 확인된 상기 거래정보에 기초하여 상기 인증정보를 생성하는 것을 특징으로 할 수 있다.When the authentication information is information generated based on the transaction information, the digital system specifies at least a part of the transaction information and transmits at least a part of the specified transaction information to the authentication system, Is reproduced from the received transaction information, and generates the authentication information based on the transaction information that is confirmed when the reproduced transaction information is confirmed by the digital system .
또한, 상기 인증정보가 상기 거래정보에 기초하여 생성되는 정보일 경우, 상기 인증확인절차는, 상기 인증 시스템 또는 상기 인증 시스템과 연계된 금융거래 시스템에 의해 실행될 실행 거래정보에 기초하여 확인용 인증정보가 특정되고, 특정된 상기 확인용 인증정보와 상기 인증정보가 서로 상응하는지 여부가 판단되는 것을 특징으로 할 수 있다.In the case where the authentication information is information generated based on the transaction information, the authentication confirmation step may include a step of, based on the execution transaction information to be executed by the authentication system or the financial transaction system associated with the authentication system, And it is determined whether or not the identified authentication authentication information and the authentication information specified correspond to each other.
또한, 상기 디지털 시스템이 수신한 활성화 정보에 기초하여 비활성화되어 있는 상기 보호모듈을 활성화하는 단계는, 상기 디지털 시스템이 암호화된 상태로 저장되어 있는 상기 보호모듈을 상기 활성화 정보에 포함된 복호화 키를 이용하여 복호화하는 단계를 포함할 수 있다.The step of activating the protection module, which is inactivated based on the activation information received by the digital system, may include the step of using the decryption key included in the activation information to activate the protection module in which the digital system is stored in an encrypted state And decrypting the encrypted data.
또한, 상기 디지털 시스템이 암호화된 상태로 저장되어 있는 상기 보호모듈을 상기 활성화 정보에 포함된 복호화 키를 이용하여 복호화하는 단계는, 상기 디지털 시스템이 상기 복호화 키 및 사용자로부터 획득되는 사용자 인증정보에 기초한 제2복호화 키에 기초하여 상기 보호모듈을 복호화하는 단계를 포함할 수 있다.The step of decrypting the protection module, which is stored in an encrypted state with the decryption key included in the activation information, based on the decryption key and the user authentication information acquired from the user And decrypting the protection module based on the second decryption key.
또한, 상기 본인인증방법은, 상기 디지털 시스템이 상기 확인신호를 상기 인증 시스템으로 전송한 후, 상기 보호모듈을 재비활성화하는 단계를 더 포함할 수 있다.Further, the personal authentication method may further include re-activating the protection module after the digital system transmits the confirmation signal to the authentication system.
또한, 상기 클라이언트 인증정보를 인증을 수행할 인증 시스템으로 전송하는 단계는, 상기 디지털 시스템이 상기 디지털 시스템의 식별정보 또는 상기 애플리케이션의 식별정보 중 적어도 하나에 기초하여 상기 클라이언트 인증정보를 생성하고, 생성한 상기 클라이언트 인증정보를 상기 인증 시스템으로 전송하는 단계를 포함할 수 있다.The step of transmitting the client authentication information to the authentication system to be authenticated may further include generating the client authentication information based on at least one of identification information of the digital system or identification information of the application, And transmitting the client authentication information to the authentication system.
상기 기술적 과제를 달성하기 위한 본 발명의 실시 예에 따른 본인인증방법은, 인증 시스템이 인증요청을 수행하는 사용자의 디지털 시스템 또는 상기 디지털 시스템에 설치되는 애플리케이션의 클라이언트 인증정보를 상기 디지털 시스템으로부터 수신하는 단계, 상기 인증 시스템이 상기 클라이언트 인증정보를 미리 등록되어 있는 정보에 기초하여 인증하는 단계, 상기 클라이언트 인증정보의 인증이 성공한 경우, 상기 인증 시스템이 상기 애플리케이션의 적어도 일부의 보호모듈을 활성화할 수 있는 활성화 정보를 상기 디지털 시스템으로 전송하는 단계, 전송한 상기 활성화 정보에 기초하여 상기 디지털 시스템에서 비활성화되어 있는 상기 보호모듈이 활성화되고 활성화된 상기 보호모듈을 통해 상기 인증요청의 인증을 위한 인증정보를 포함하는 확인신호가 생성되면, 상기 인증 시스템이 상기 디지털 시스템으로부터 상기 확인신호를 수신하는 단계, 상기 인증 시스템이 수신한 확인신호에 포함된 인증정보가 인증되는 인증확인절차를 수행하는 단계, 및 상기 인증확인절차가 성공하여야 소정의 데이터 처리장치 또는 상기 디지털 시스템으로부터 상기 인증 시스템 또는 상기 인증 시스템과 연결된 서비스 시스템으로 출력된 상기 인증요청을 성공 처리하는 단계를 포함할 수 있다.According to another aspect of the present invention, there is provided a method for authenticating a principal according to an embodiment of the present invention, which comprises: receiving from a digital system of a user performing an authentication request or client authentication information of an application installed in the digital system, Wherein the authentication system authenticates the client authentication information based on previously registered information, and when the authentication of the client authentication information is successful, the authentication system can activate at least a part of the protection module of the application Transmitting the activation information to the digital system, and transmitting authentication information for authentication of the authentication request through the protection module activated and activated by the protection module inactivated in the digital system based on the transmitted activation information The method comprising the steps of: receiving an acknowledgment signal from the digital system when the acknowledgment signal is generated; performing an authentication procedure in which the authentication information contained in the acknowledgment signal received by the authentication system is authenticated; And successively processing the authentication request outputted from the predetermined data processing apparatus or the digital system to the authentication system or the service system connected to the authentication system so that the authentication procedure must be successful.
또한, 상기 인증정보는, 적어도 상기 인증 시스템이 상기 디지털 시스템으로 전송한 일회성의 서버 생성키에 기초하여 생성되며, 선택적으로 상기 디지털 시스템의 식별정보 또는 상기 애플리케이션의 식별정보 중 적어도 하나에 더 기초하여 생성되는 정보인 것을 특징으로 할 수 있다.In addition, the authentication information is generated based on at least one server generation key transmitted to the digital system by the authentication system, and is selectively generated based on at least one of identification information of the digital system or identification information of the application And is generated information.
또한, 상기 인증정보는, 적어도 상기 인증 시스템이 상기 디지털 시스템으로 전송한 일회성의 서버 생성키에 기초하여 생성되며, 선택적으로 인증이 성공될 경우 수행될 거래의 거래정보 또는 사용자를 인증할 수 있는 사용자 식별정보 중 적어도 하나에 더 기초하여 생성되는 정보인 것을 특징으로 할 수 있다.Also, the authentication information is generated based on at least one-time server generation key transmitted to the digital system by the authentication system, and optionally, a transaction information of a transaction to be performed when the authentication is successful or a user And the identification information is generated based on at least one of the identification information.
또한, 상기 인증정보가 상기 거래정보에 기초하여 생성되는 정보일 경우, 상기 인증 시스템은 상기 디지털 시스템에 의해 특정된 상기 거래정보 중 적어도 일부를 상기 디지털 시스템으로부터 수신하며, 상기 인증 시스템이 수신한 상기 거래정보 중 적어도 일부를 확인하여 상기 거래정보를 상기 디지털 시스템으로 전송하는 것을 특징으로 하며, 상기 디지털 시스템에 의해 전송된 상기 거래정보가 재생되고 재생된 상기 거래정보가 확인되면, 확인된 상기 거래정보에 기초하여 상기 인증정보가 생성되는 것을 특징으로 할 수 있다.When the authentication information is information generated based on the transaction information, the authentication system receives at least a part of the transaction information specified by the digital system from the digital system, And transmits the transaction information to the digital system by checking at least a part of the transaction information and transmitting the transaction information to the digital system. When the transaction information transmitted by the digital system is reproduced and the reproduced transaction information is confirmed, And the authentication information is generated based on the authentication information.
또한, 상기 인증정보가 상기 거래정보에 기초하여 생성되는 정보일 경우, 상기 인증확인절차를 수행하는 단계는, 상기 인증 시스템 또는 상기 서비스 시스템에 의해 실행될 실행 거래정보에 기초하여 상기 인증 시스템이 확인용 인증정보를 특정하고, 특정된 상기 확인용 인증정보와 상기 인증정보가 서로 상응하는지 여부를 판단하는 단계를 포함할 수 있다.In the case where the authentication information is information generated based on the transaction information, the step of performing the authentication confirmation step may include a step of, based on the authentication transaction information to be executed by the authentication system or the service system, Determining the authentication information, and determining whether the specified authentication authentication information and the authentication information correspond to each other.
또한, 상기 인증 시스템이 상기 애플리케이션의 적어도 일부의 보호모듈을 활성화할 수 있는 활성화 정보를 상기 디지털 시스템으로 전송하는 단계는, 상기 인증 시스템이 상기 디지털 시스템에 암호화된 상태로 저장되어 있는 상기 보호모듈을 복호화하는데 이용될 복호화 키를 상기 활성화 정보에 포함시켜 전송하는 단계를 포함하며, 상기 디지털 시스템에서, 상기 복호화 키에 의해 상기 보호모듈이 복호화되거나 사용자로부터 획득되는 사용자 인증정보에 기초한 제2복호화 키 및 상기 복화화 키에 기초하여 상기 보호모듈이 복호화되는 것을 특징으로 할 수 있다.In addition, the step of transmitting activation information to the digital system, the activation system being capable of activating a protection module of at least a part of the application, comprises the steps of: A second decryption key based on user authentication information decrypted by the decryption key or obtained from a user; and a second decryption key based on user authentication information obtained from the user by the decryption key in the digital system, And the protection module is decrypted based on the decryption key.
또한, 상기 인증 시스템이 상기 클라이언트 인증정보를 미리 등록되어 있는 정보에 기초하여 인증하는 단계는, 상기 인증 시스템이 상기 디지털 시스템의 식별정보 또는 상기 애플리케이션의 식별정보 중 적어도 하나에 기초한 상기 클라이언트 인증정보를 수신하고, 수신한 상기 클라이언트 인증정보에 상응하는 확인용 인증정보를 특정하고, 특정한 확인용 인증정보와 수신한 클라이언트 인증정보가 서로 상응하는지를 판단하는 단계를 포함할 수 있다.The step of authenticating the client authentication information based on the information registered in advance by the authentication system may further include a step of transmitting the client authentication information based on at least one of the identification information of the digital system or the identification information of the application Receiving authentication information for authentication corresponding to the received client authentication information, and determining whether the specific authentication authentication information and the received client authentication information correspond to each other.
상기 본인인증방법은 데이터 처리시스템에 설치된 컴퓨터 프로그램에 의해 수행될 수 있다. The identity authentication method may be performed by a computer program installed in the data processing system.
상기 기술적 과제를 달성하기 위한 본 발명의 실시 예에 따른 본인인증을 수행하는 디지털 시스템은, 상기 디지털 시스템 또는 상기 디지털 시스템에 설치되는 애플리케이션의 인증을 위한 클라이언트 인증정보를 인증을 수행할 인증 시스템으로 전송하기 위한 통신모듈, 비활성화된 상태의 보호모듈, 및 제어모듈을 포함하며, 상기 제어모듈은, 상기 인증 시스템에 의해 상기 클라이언트 인증정보가 인증된 경우 상기 통신모듈을 통해 상기 인증 시스템으로부터 상기 애플리케이션의 적어도 일부의 보호모듈을 활성화할 수 있는 활성화 정보를 수신하고, 수신한 활성화 정보에 기초하여 비활성화되어 있는 상기 보호모듈을 활성화하며, 활성화된 상기 보호모듈을 통해 인증요청을 인증하기 위한 인증정보를 포함하는 확인신호가 생성되면, 생성된 확인신호를 상기 인증 시스템으로 전송하며, 상기 인증 시스템에 의해, 전송된 확인신호에 포함된 인증정보가 인증되는 인증확인절차가 수행되며, 상기 인증확인절차가 성공하여야 소정의 데이터 처리장치 또는 상기 디지털 시스템으로부터 상기 인증 시스템 또는 상기 인증 시스템과 연결된 서비스 시스템으로 출력된 상기 인증요청이 성공 처리되는 것을 특징으로 할 수 있다.According to an embodiment of the present invention, there is provided a digital system for performing authentication of a user, the system including: a client system for transmitting authentication information for authenticating an application installed in the digital system or the digital system to an authentication system Wherein the control module is operable, when the client authentication information is authenticated by the authentication system, to authenticate at least a portion of the application from the authentication system via the communication module, The method comprising: receiving activation information capable of activating a part of the protection module; activating the protection module that is inactivated based on the received activation information; and authentication information for authenticating the authentication request through the activated protection module When an acknowledgment signal is generated, Signal is transmitted to the authentication system, an authentication confirmation procedure is performed in which the authentication information included in the transmitted confirmation signal is authenticated by the authentication system, and if the authentication confirmation procedure is successful, The authentication request outputted to the authentication system or the service system connected to the authentication system is successfully processed.
상기 기술적 과제를 달성하기 위한 본 발명의 실시 예에 따른 인증 시스템은, 본인인증을 수행하는 인증 시스템에 있어서, 인증요청을 수행하는 사용자의 디지털 시스템 또는 상기 디지털 시스템에 설치되는 애플리케이션의 클라이언트 인증정보를 상기 디지털 시스템으로부터 수신하는 통신부, 상기 디지털 시스템 또는 상기 애플리케이션에 대한 정보가 등록되어 있는 DB, 상기 클라이언트 인증정보를 상기 DB에 미리 등록되어 있는 정보에 기초하여 인증하고, 상기 클라이언트 인증정보의 인증이 성공한 경우 상기 애플리케이션의 적어도 일부의 보호모듈을 활성화할 수 있는 활성화 정보를 상기 통신부를 통해 상기 디지털 시스템으로 전송하기 위한 클라이언트 인증부, 및 전송한 상기 활성화 정보에 기초하여 상기 디지털 시스템에서 비활성화되어 있는 상기 보호모듈이 활성화되고 활성화된 상기 보호모듈을 통해 상기 인증요청의 인증을 위한 인증정보를 포함하는 확인신호가 생성되어 수신되면, 상기 확인신호에 포함된 인증정보가 인증되는 인증확인절차를 수행하는 제어부를 포함하며, 상기 제어부는, 상기 인증확인절차가 성공하여야 소정의 데이터 처리장치 또는 상기 디지털 시스템으로부터 상기 인증 시스템 또는 상기 인증 시스템과 연결된 서비스 시스템으로 출력된 상기 인증요청을 성공 처리할 수 있다.According to another aspect of the present invention, there is provided an authentication system for performing authentication of a user, the authentication system comprising: A DB for registering information on the digital system or the application; a server for authenticating the client authentication information based on information previously registered in the DB; A client authentication unit for transmitting activation information capable of activating at least a protection module of the application to the digital system via the communication unit; When the authentication module is activated and activated, and an authentication signal including authentication information for authentication of the authentication request is generated and received through the protection module activated, the authentication module authenticates the authentication information included in the confirmation signal Wherein the control unit can successfully process the authentication request outputted from the predetermined data processing apparatus or the digital system to the authentication system or the service system connected with the authentication system .
또한, 상기 인증 시스템은, 상기 디지털 시스템으로 전송할 일회용 서버 생성키를 생성하기 위한 키 생성부를 더 포함하며, 상기 인증정보는, 적어도 상기 키 생성부에 의해 생성되어 상기 디지털 시스템으로 전송된 서버 생성키에 기초하여 생성되며, 선택적으로 상기 디지털 시스템의 식별정보, 상기 애플리케이션의 식별정보, 인증이 성공될 경우 수행될 거래의 거래정보, 또는 사용자를 인증할 수 있는 사용자 인증정보 중 적어도 하나에 더 기초하여 생성되는 정보인 것을 특징으로 할 수 있다.The authentication system may further include a key generation unit for generating a disposable server generation key to be transmitted to the digital system, wherein the authentication information includes at least a server generation key generated by the key generation unit and transmitted to the digital system, Based on at least one of identification information of the digital system, identification information of the application, transaction information of a transaction to be performed when authentication is successful, or user authentication information capable of authenticating a user And is generated information.
또한, 상기 제어부는, 상기 인증정보에 상응하는 확인용 인증정보를 특정하고, 특정된 확인용 인증정보와 상기 인증정보가 상응하는지를 판단하여 상기 인증확인절차를 수행하며, 상기 인증정보가 상기 거래정보에 기초하여 생성되는 정보일 경우, 상기 인증 시스템 또는 상기 서비스 시스템에 의해 실행될 실행 거래정보에 기초하여 상기 확인용 인증정보를 특정할 수 있다.The control unit may identify the authentication information for authentication corresponding to the authentication information, determine whether the authentication information for identification and the authentication information correspond to each other, perform the authentication process, The verification authentication information can be specified based on the authentication system or the execution transaction information to be executed by the service system.
또한, 상기 클라이언트 인증부는, 상기 디지털 시스템에 암호화된 상태로 저장되어 있는 상기 보호모듈을 복호화할 복호화 키를 상기 활성화 정보에 포함시켜 전송할 수 있다.
The client authentication unit may include a decryption key for decrypting the protection module stored in an encrypted state in the digital system, in the activation information.
본 발명의 기술적 사상에 의하면, 간단하면서도 별도의 인증수단(예컨대, 인증서, OTP 토큰, 보안토큰 등)을 구비하지 않고도 사용자의 디지털 시스템(예컨대, 모바일 폰)만을 이용해서도 보안성이 높은 본인인증방법을 제공할 수 있는 효과가 있다. According to the technical idea of the present invention, even if only a digital system of a user (for example, a mobile phone) can be used without providing any separate authentication means (e.g., certificate, OTP token, security token, There is an effect that a method can be provided.
또한, 본인인증의 시작 단계에서 서비스를 요청하는 사용자의 디지털 시스템(예컨대, 모바일 폰)과 서비스를 인증하는 인증 측간의 상호인증을 강화하여 애초에 비정상적인 본인인증이 시도되는 것 자체를 방지함으로써 부정한 공격을 방지할 수 있는 효과가 있다. In addition, the mutual authentication between the digital system (for example, mobile phone) of the user requesting the service and the authentication service authenticating the service is strengthened at the beginning of the authentication of the user, thereby preventing the abnormal authentication of the user from being attempted at first, There is an effect that can be prevented.
또한, 클라이언트 인증을 시도할 때, 디지털 시스템의 식별정보 및 애플리케이션의 식별정보 모두에 기초하여 클라이언트 인증정보를 생성하도록 함으로써, 애플리케이션이 유출되거나 다른 단말기에 설치되어 작동되는 것을 방지할 수 있어서 보안성을 향상시킬 수 있는 효과가 있다.In addition, when the client authentication is attempted, by generating the client authentication information based on both the identification information of the digital system and the identification information of the application, it is possible to prevent the application from being leaked or installed in other terminals, There is an effect that can be improved.
또한, 본인인증을 수행하는 목적중의 하나인 금융거래(계좌이체 또는 결제 등)인 경우, 거래정보 자체를 인증에 필요한 인증정보를 생성하는 기초정보로 이용하고, 금융거래 실행 단계에서 실제로 실행할 거래정보에 기초한 확인용 인증정보와 비교하여 인증절차가 성공하여야 금융거래가 수행되도록 함으로써 사용자가 의도하는 거래정보가 금융거래 실행 전에 변형되는 등의 전자금융 사기를 방지할 수 있는 효과가 있다. Further, in the case of a financial transaction (account transfer, payment, or the like), which is one of the purposes of performing the identity authentication, the transaction information itself is used as basic information for generating authentication information required for authentication, It is possible to prevent the electronic financial fraud such that the transaction information intended by the user is transformed before the execution of the financial transaction by allowing the authentication transaction to be successful in comparison with the authentication authentication information based on the information.
또한, 인증정보를 생성하기 위해 인증 측에서 일회성 키 값을 제공하고, 이를 이용하여 인증정보를 생성함으로써 인증정보의 재사용이 방지되고 보안성이 향상될 수 있다.Also, in order to generate authentication information, a one-time key value is provided on the authentication side, and authentication information is generated using the one-time key value, thereby preventing reuse of authentication information and improving security.
또한, 사용자가 인증을 위해 입력해야할 정보를 요구하지 않을 수 있어서 키 입력을 탈취하는 공격(예컨대, 키 로깅 등)에 강인한 효과가 있다.In addition, since the user may not require information to be input for authentication, there is a strong effect on an attack (for example, key logging, etc.) in which the key input is stolen.
특히, 인증정보에 기초가 되는 거래정보를 요청자가 다시 한 번 확인하도록 요청하고(예컨대, 팝업 등의 UI를 통해), 확인받은 거래정보에 기초하여 인증정보를 생성하도록 함으로써 메모리 해킹 공격 등에 당할 가능성이 더욱 낮아지는 효과가 있다. 특히 수신인의 이름(이체)이나 가맹점 이름(결제) 등과 같이 거래정보 중 적어도 일부를 요청자가 인식하기 용이하도록 재생 확인함으로써, 고객이 중요한 거래정보를 쉽게 인식할 수 있도록 하여 고객의 부주의로 인한 메모리 해킹 등 전자금융 사기 피해(변조된 계좌를 인지하지 못할 위험)를 줄일 수 있는 효과가 있다.
Particularly, it is possible to request the requesting party to confirm the transaction information based on the authentication information once again (for example, via a UI such as pop-up), and generate authentication information based on the confirmed transaction information, Is further reduced. In particular, at least a part of the transaction information such as the name of the recipient (transfer) or the name of the merchant (payment) is reproduced so that the requester can easily recognize the transaction information, thereby enabling the customer to easily recognize important transaction information, (The risk of not being able to recognize the altered account) can be reduced.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도1은 본 발명의 일실시 예에 따른 본인인증방법을 구현하기 위한 개략적인 구성을 나타낸다.
도2는 본 발명의 일실시 예에 따른 본인인증방법을 위한 디지털 시스템의 개략적인 구성을 나타낸다.
도3은 본 발명의 일실시 예에 따른 본인인증방법을 위한 인증 시스템의 개략적인 구성을 나타낸다.
도4는 본 발명의 일실시 예에 따른 본인인증방법의 개략적인 데이터 플로우를 나타낸다.
도5는 본 발명의 일실시 예에 따른 거래정보가 디지털 시스템에 디스플레이되는 일예를 나타낸다. BRIEF DESCRIPTION OF THE DRAWINGS A brief description of each drawing is provided to more fully understand the drawings recited in the description of the invention.
FIG. 1 shows a schematic configuration for implementing a personal authentication method according to an embodiment of the present invention.
2 shows a schematic configuration of a digital system for a personal authentication method according to an embodiment of the present invention.
FIG. 3 shows a schematic configuration of an authentication system for a personal authentication method according to an embodiment of the present invention.
4 shows a schematic data flow of the authentication method according to an embodiment of the present invention.
5 illustrates an example in which transaction information is displayed in a digital system according to an embodiment of the present invention.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시 예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.In order to fully understand the present invention, operational advantages of the present invention, and objects achieved by the practice of the present invention, reference should be made to the accompanying drawings and the accompanying drawings which illustrate preferred embodiments of the present invention.
또한, 본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터를 '전송'하는 경우에는 상기 구성요소는 상기 다른 구성요소로 직접 상기 데이터를 전송할 수도 있고, 적어도 하나의 또 다른 구성요소를 통하여 상기 데이터를 상기 다른 구성요소로 전송할 수도 있는 것을 의미한다. 반대로 어느 하나의 구성요소가 다른 구성요소로 데이터를 '직접 전송'하는 경우에는 상기 구성요소에서 다른 구성요소를 통하지 않고 상기 다른 구성요소로 상기 데이터가 전송되는 것을 의미한다.Also, in this specification, when any one element 'transmits' data to another element, the element may transmit the data directly to the other element, or may be transmitted through at least one other element And may transmit the data to the other component. Conversely, when one element 'directly transmits' data to another element, it means that the data is transmitted to the other element without passing through another element in the element.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시 예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, the present invention will be described in detail with reference to the preferred embodiments of the present invention with reference to the accompanying drawings. Like reference symbols in the drawings denote like elements.
도1은 본 발명의 일실시 예에 따른 본인인증방법을 구현하기 위한 개략적인 구성을 나타낸다. FIG. 1 shows a schematic configuration for implementing a personal authentication method according to an embodiment of the present invention.
도1을 참조하면, 본 발명의 실시 예에 따른 본인인증방법을 구현하기 위해서는 디지털 시스템(100) 및 인증 시스템(200)이 구비될 수 있다. 구현 예에 따라서는 소정의 데이터 처리장치(300)가 더 구비될 수 있다. 또한 상기 인증 시스템(200)과 연결되어 상기 디지털 시스템(100) 및/또는 상기 데이터 처리장치(300)로 소정의 서비스를 제공할 수 있는 서비스 시스템(400)이 더 구비될 수 있다.Referring to FIG. 1, a
상기 디지털 시스템(100)은 상기 인증 시스템(200)과 유무선 네트워크를 통해 필요한 정보를 송수신하면서 본 발명의 기술적 사상을 구현할 수 있다. The
물론, 보다 높은 보안성을 위해 본 발명의 기술적 사상에 따른 본인인증이 수행되기 전 또는 후에 종래의 다른 본인인증방식(예컨대, 공인인증서를 이용한 본인인증 등)이 추가적으로 수행될 수도 있다. 이러한 이중의 보안인증이 수행되는 경우에는 더욱 높은 보안성이 제공될 수 있음은 물론이다. Of course, another conventional authentication method (for example, authentication using an authorized certificate, etc.) may be performed before or after the authentication of the user according to the technical idea of the present invention is performed for higher security. It goes without saying that higher security can be provided when such dual security authentication is performed.
상기 디지털 시스템(100)은 도1에서는 모바일 폰으로 도시하였지만, 상기 인증 시스템(200)과 유무선 네트워크를 통해 통신가능한 모든 형태의 데이터프로세싱 장치를 포함하는 의미로 정의될 수 있다. 예컨대, 상기 디지털 시스템(100)은 태블릿(tablet), 뮤직 플레이어, 웨어러블 기기 등과 같이 사용자가 휴대하고 다니기 용이한 데이터 프로세싱 장치일 수 있다. 물론, 상기 디지털 시스템(100)은 상기 인증 시스템(200) 및/또는 상기 데이터 처리장치(300)와 네트워크를 통해 통신을 수행할 수 있는 것이 바람직하다.Although the
상기 디지털 시스템(100)에는 본 발명의 기술적 사상을 구현하기 위한 애플리케이션이 설치될 수 있다. 상기 애플리케이션과 상기 디지털 시스템(100)의 하드웨어가 유기적으로 결합되어 본 발명의 기술적 사상을 구현할 수 있는 애플리케이션 시스템이 구현될 수 있다. 이하 본 명세서에서 상기 디지털 시스템(100)이 소정의 기능 또는 동작을 수행하는 경우에는 상기 애플리케이션 시스템이 상기 기능 또는 동작을 수행하는 것을 의미할 수 있음은 물론이다.In the
상기 디지털 시스템(100)은 서비스(또는 인증)를 요청하는 단말일 수 있다. 또는 상기 디지털 시스템(100)의 사용자가 소정의 데이터 처리장치(예컨대, 컴퓨터, 모바일 폰 등, 300)를 이용해 서비스(또는 인증)를 요청하고, 상기 디지털 시스템(100)을 이용해 인증을 수행할 수 있다. 이러한 경우에는 상기 디지털 시스템(100)은 인증을 수행하는 인증매체로써 기능한다. 어떠한 경우에도 일반적으로 사용자들은 디지털 시스템(100)을 소지하고 있으므로 인증을 위해 별도의 보안토크, OTP 토큰을 소지할 필요가 없게 되는 효과가 있다.The
상기 인증 시스템(200)은 본 발명의 기술적 사상에 따라 인증을 수행하는 시스템을 의미할 수 있다. 또한, 상기 서비스 시스템(400)은 디지털 시스템(100) 또는 데이터 처리장치(300)가 요청하는 서비스를 제공하는 시스템을 의미할 수 있다. The
도1에서는 상기 인증 시스템(200)과 상기 서비스 시스템(400)이 서로 별개의 물리적 장치로 구현되는 경우를 일예로 도시하고 있지만, 상기 인증 시스템(200)이 상기 서비스 시스템(400)에 포함되어 설치될 수도 있다. 즉, 상기 인증 시스템(200)의 기능을 구현하는 소정의 소프트웨어가 상기 서비스 시스템(400)에 설치됨으로써 본 발명의 기술적 사상에 따른 본인인증이 수행될 수도 있다. 상기 인증 시스템(200)은 서비스 주체별로 구현될 수도 있고, 다양한 서비스 주체들을 위해 인증을 수행하는 통합 인증센터의 역할을 수행할 수도 있다.1, the
일실시 예에 의하면, 본 발명의 기술적 사상에 따른 본인인증은 결제를 위해 수행될 수도 있다. 이러한 경우, 상기 데이터 처리장치(300)는 소정의 가맹점 단말기(매장에 설치된 POS 장치, 또는 이동 가맹점 단말기 등)일 수도 있다. 이러한 경우 사용자 또는 가맹점 측은 사용자의 디지털 시스템(100)의 식별정보(예컨대, 전화번호)를 가맹점 단말기에 입력함으로써 인증요청을 상기 인증 시스템(200)으로 전송할 수 있다. 경우에 따라서는 사용자는 원격지에서 결제를 수행할 가맹점 측에 자신의 디지털 시스템(100)의 식별정보를 통지할 수도 있다. 그러면 가맹점 측은 상기 데이터 처리장치(300) 즉, 가맹점에서 이용하는 컴퓨터 또는 가맹점 단말기 등을 이용해 상기 식별정보를 입력함으로써 인증 시스템(200)으로 인증요청을 전송할 수도 있다. 그러면 상기 인증 시스템(200)에 의해 본인인증이 성공되면, 상기 데이터 처리장치(300)가 요청한 결제가 최종적으로 승인될 수 있다. 이때에는 상기 서비스 시스템(400)은 소정의 카드사 시스템(또는 카드결제를 수행하는 PG, VAN 등의 전자금융 중개기관 시스템)일 수 있음은 물론이다.According to one embodiment, the authentication of the user according to the technical idea of the present invention may be performed for settlement. In this case, the
또한, 일실시 예에 따라서는 인증 시스템(200)이 PG, VAN 등의 전자금융 중개기관 시스템 내에 설치될 수도 있다. 즉, 상기 인증 시스템(200)의 기능을 구현하는 소정의 소프트웨어가 상기 PG, VAN 등의 전자금융 중개기관 시스템이나 온라인 쇼핑몰 등 전자상거래 업체 등의 서비스 시스템에 설치됨으로써 본 발명의 기술적 사상에 따른 본인인증이 수행될 수도 있다. Also, according to one embodiment, the
본 발명의 기술적 사상에 의한 본인인증방법은 다양한 온라인 서비스에서 서비스를 요청하는 본인 즉, 사용자를 인증하기 위해 이용될 수 있다. 본 명세서에서는 상기 온라인 서비스가 금융거래인 경우를 일예로 설명하지만, 이에 한정되지는 않으며 로그인 등 다양하게 본인인증이 필요한 온라인 서비스에도 본 발명에 따른 본인인증방법이 이용될 수 있다.The authentication method according to the technical idea of the present invention can be used to authenticate a user who requests a service in various online services, that is, a user. In the present specification, the online service is a financial transaction. However, the present invention is not limited thereto, and the authentication method according to the present invention may be used for online services that require various authentication such as login.
상기 디지털 시스템(100)은 인증 시스템(200) 또는 상기 서비스 시스템(400)으로 서비스(또는 인증)를 요청할 수 있다. 또는 상기 데이터 처리장치(300)가 서비스(또는 인증)를 요청할 수도 있다. 후자의 경우에는 서비스(또는 인증)를 요청하면서 사용자의 상기 디지털 시스템(100)의 식별정보(예컨대, 전화번호 등)가 상기 인증 시스템(200)으로 전달될 필요가 있음은 물론이다. 또한, 상기 서비스 시스템(400)은 서비스(또는 인증)가 요청되면, 상기 인증 시스템(200)과 상기 디지털 시스템(100) 및/또는 상기 데이터 처리장치(300)와 통신을 연결하여 본 발명의 기술적 사상에 따른 본인인증을 수행할 수 있다. The
본 발명의 기술적 사상에 따르면, 상기 디지털 시스템(100)은 상기 인증 시스템(200)과 통신을 수행하여 클라이언트 측 인증을 먼저 수행할 수 있다. According to the technical idea of the present invention, the
본 명세서에서 클라이언트 측 인증이라 함은, 상기 디지털 시스템(100) 자체에 대한 인증 및/또는 본 발명의 기술적 사상을 구현하기 위해 상기 디지털 시스템(100)에 설치되는 애플리케이션에 대한 인증을 의미할 수 있다. Client-side authentication in this specification may mean authentication for the
상기 클라이언트 측 인증을 수행하기 위해 상기 디지털 시스템(100)은 상기 인증 시스템(200)으로 클라이언트 인증정보를 전송할 수 있다. 상기 클라이언트 인증정보는 상기 디지털 시스템(100)의 식별정보 및/또는 상기 애플리케이션의 식별정보를 인증할 수 있는 정보를 의미할 수 있고, 상기 디지털 시스템(100)의 식별정보 및/또는 상기 애플리케이션의 식별정보에 기초하여 소정의 암호화, 인코딩, 해싱 등을 수행하여 획득되는 정보일 수도 있다.The
상기 인증 시스템(200)에는 상기 클라이언트 인증정보를 인증할 수 있는 정보가 미리 등록되어 있을 수 있다. 예컨대, 상기 디지털 시스템(100)의 식별정보 및/또는 상기 애플리케이션의 식별정보 자체가 상기 인증 시스템(200)에 등록되어 있을 수도 있고, 암호화, 인코딩, 해싱 등이 수행되어 저장되어 있을 수도 있다. 어떠한 경우든, 상기 디지털 시스템(100)의 식별정보 및/또는 상기 애플리케이션의 식별정보에 기초하여 생성되는 상기 클라이언트 인증정보는 상기 인증 시스템(200)에 의해 인증될 수 있다.In the
이하, 본 명세서에서 클라이언트 인증정보, 또는 인증정보가 소정의 정보에 기초하여 생성되는 경우에는, 상기 소정의 정보를 기초정보로 정의하기로 한다. Hereinafter, when the client authentication information or authentication information is generated based on predetermined information in the present specification, the predetermined information is defined as basic information.
예컨대, 상기 클라이언트 인증정보(후술할 인증정보)가 복수의 기초정보들(예컨대, 디지털 시스템(100)의 식별정보 및 애플리케이션의 식별정보)에 의해 생성된다고 함은, 단순히 복수의 기초정보들 각각이 그 자체로 포함되거나, 소정의 방식에 의해 결합(또는 혼합)되어 포함되는 경우를 포함한다. For example, when the client authentication information (authentication information to be described later) is generated by a plurality of basic information (for example, the identification information of the
구현 예에 따라서는, 복수의 기초정보들 각각이 소정의 방식으로 보호 프로세싱(예컨대, 인코딩, 암호화, 및/또는 해싱)된 정보가 상기 클라이언트 인증정보에 포함되거나, 복수의 기초정보들 중 일부의 복수 개가 소정의 방식으로 결합(또는 혼합)되어 보호 프로세싱된 정보가 포함되거나, 복수의 기초정보들 전체가 소정의 방식으로 결합(또는 혼합)되어 보호 프로세싱된 정보가 포함될 수도 있다. According to the embodiment, information in which each of the plurality of pieces of basic information is protected (e.g., encoded, encrypted, and / or hashed) in a predetermined manner is included in the client authentication information, A plurality of pieces of information may be combined (or mixed) in a predetermined manner to include protection-processed information, or a plurality of pieces of basic information may be combined (or mixed) in a predetermined manner to include protected-processed information.
어떠한 방식으로든 인증 측(즉, 인증 시스템(200))은 클라이언트 인증정보(또는 인증정보)가 생성되는데 기초가 된 기초정보들 각각과 대응되는 정보를 알고 있고, 클라이언트 인증정보(또는 인증정보)가 생성된 방식과 대응되는 방식으로 상기 클라이언트 인증정보(또는 인증정보)를 인증할 수 있는 확인용 인증정보를 특정할 수 있다. In any manner, the authentication side (i.e., the authentication system 200) knows the information corresponding to each of the basic information on which the client authentication information (or the authentication information) is generated and the client authentication information Authentication authentication information capable of authenticating the client authentication information (or authentication information) can be specified in a manner corresponding to the generated method.
따라서 소정의 클라이언트 인증정보(또는 인증정보)가 인증된다고 함은, 상기 클라이언트 인증정보(또는 인증정보)를 생성하는데 기초가 된 기초정보들 각각이 인증됨을 의미할 수 있다. 그리고 각각의 기초정보가 인증된다고 함은 상기 기초정보에 상응하는 장치, 사용자, 또는 소프트웨어가 정당함을 의미할 수 있다.Therefore, when the predetermined client authentication information (or authentication information) is authenticated, it means that each of the basic information based on the generation of the client authentication information (or the authentication information) is authenticated. The fact that each basic information is authenticated means that a device, user, or software corresponding to the basic information is legitimate.
일예에서 클라이언트 측 인증을 위한 클라이언트 인증정보의 기초정보가 전술한 바와 같이 디지털 시스템(100)의 식별정보 및/또는 상기 애플리케이션의 식별정보이고, 상기 클라이언트 인증정보가 인증된다고 함은 상기 디지털 시스템(100) 및 상기 애플리케이션이 상기 인증 시스템(200)에서 예정(상)하고 있는(또는 등록된) 정당한 디지털 시스템 및 애플리케이션임을 의미할 수 있다.In the embodiment, the basic information of the client authentication information for the client side authentication is the identification information of the
또한, 상기 클라이언트 인증정보의 기초정보로써 상기 디지털 시스템(100) 및 상기 애플리케이션의 식별정보가 모두 사용되는 경우에는, 상기 디지털 시스템(100) 및 상기 애플리케이션이 모두 상기 인증 시스템(200)이 예정(상)하고 있는(또는 등록된) 장치 및 소프트웨어임을 의미할 수 있다. 즉, 상기 애플리케이션은 상기 디지털 시스템(100)에 설치된 경우에만 상기 클라이언트 인증정보가 인증됨을 의미하며, 이는 상기 애플리케이션이 타 장치에 설치된 경우에는 인증이 되지 않음을 의미할 수 있다. 따라서 미리 지정되어 있는 디지털 시스템(100)에서만 상기 애플리케이션이 정상적으로 실행될 수 있음을 의미할 수 있다.When both the
또한, 상기 클라이언트 인증정보의 기초정보로써 예컨대, 사용자 인증정보(예컨대, 애플리케이션의 비밀번호, 패턴, 인증서 정보, 또는 생체정보 등)가 더 이용될 수도 있다. Further, for example, user authentication information (for example, an application's password, pattern, certificate information, or biometric information) may be used as basic information of the client authentication information.
한편, 이처럼 상기 클라이언트 인증정보가 상기 인증 시스템(200)에 의해 인증되면, 상기 인증 시스템(200)에 의해 클라이언트 측이 인증됨을 의미할 수 있다. 보다 높은 보안성을 위해서는 상기 인증 시스템(200)이 상기 클라이언트 측(즉, 디지털 시스템(100) 또는 애플리케이션)에 의해 인증될 필요가 있다. 즉, 인증 요청자와 인증자의 상호인증이 필요할 수 있다. Meanwhile, if the client authentication information is authenticated by the
이를 위해 종래에는 일반적으로 메시지 기반의 인증(예컨대, MAC 또는 HMAC 등)이 사용되어 왔지만, 본 발명의 기술적 사상에 의하면 상기 애플리케이션의 적어도 일부의 구성(이하, 보호모듈이라 함)을 아예 비활성화된 상태로 유지하고 있을 수 있다. 그리고 클라이언트 측이 인증된 경우에 상기 인증 시스템(200)으로부터 수신되는 활성화 정보에 기초하여 비활성화된 상기 애플리케이션의 적어도 일부 즉, 보호모듈을 활성화할 수 있도록 할 수 있다. 이러한 경우에는 클라이언트 측 인증이 되지 않으면 아예 상기 애플리케이션이 정상적으로 작동하지 않게 되므로, 강력한 상호인증 메커니즘을 제공해줄 수 있다. 예컨대, 상기 보호모듈은 암호화된 상태로 상기 디지털 시스템(100)에서 저장되어 있다가, 암호화된 보호모듈을 복호화하는데 이용될 수 있는 복호화 키가 상기 활성화 정보에 포함되어 수신되면, 활성화(예컨대, 복호화)될 수 있다. 상기 복호화 키는 대칭키 뿐만 아니라 비대칭키가 이용될 수도 있다. For this purpose, in general, message-based authentication (e.g., MAC or HMAC) has been used in the past, but according to the technical idea of the present invention, at least part of the configuration of the application (hereinafter referred to as a protection module) . ≪ / RTI > And activate at least a portion of the application that is deactivated, i. E., The protection module, based on the activation information received from the
한편, 상기 디지털 시스템(100)은 상기 활성화 정보에 포함된 복호화 키만으로 상기 보호모듈을 복호화할 수도 있지만, 보다 높은 보안성의 제공을 위해 사용자 인증정보(예컨대, 패스워드, 패턴, 인증서 정보, 생체정보 등)에 기초한 제2복호화키를 더 이용하여 상기 보호모듈을 복호화할 수도 있다. 상기 복호화 키 및 상기 제2복호화키에 기초하여 복호화가 된다고 함은, 상기 복호화 키 및 상기 제2복호화키가 순차적으로 복호화를 진행할 수도 있고 소정의 연산을 거쳐 생성되는(또는 단순히 복호화 키와 제2복호화 키를 소정의 방식으로 결합하여) 통합 복호화키에 의해 복호화가 됨을 의미할 수도 있다. 또는 상기 복호화 키로 복호화가 되고, 상기 제2복호화 키로 다시 복호화가 되어야 활성화되는(또는 그 반대의 순서도 가능함) 순차적인 이중의 복호화가 되는 것을 의미할 수 있다. 통합 복화화 키에 의해 복호화 되는 경우는 상기 보호모듈이 상기 통합 복화화키에 대응되는 암호화 키로 암호화가 되어 있고, 상기 보호모듈을 활성화하기 위해서는 상기 활성화 정보의 수신뿐만 아니라 정당한 사용자 인증정보의 입력이 사용자에 의해 이루어져야만 상기 보호모듈이 복호화 키가 작동함을 의미할 수 있다. 따라서 혹시 상기 활성화 정보가 공격에 의해 유출된다고 하더라도 공격자에 의해 상기 보호모듈이 활성화되지 않을 수 있음은 물론이고 아예 복호화 키가 작동하지 않을 수 있는 효과가 있다.Meanwhile, the
또한 보호모듈의 비활성화 및 활성화는 암호화뿐만 아니라, 소정의 방식으로 보호모듈이 인코딩될 수도 있고, 상기 활성화 정보에는 디코딩에 필요한 정보가 포함됨으로써 구현될 수도 있다.In addition, inactivation and activation of the protection module may be implemented not only by encryption but also by encoding the protection module in a predetermined manner, and the activation information includes information necessary for decoding.
어떠한 경우든 보호모듈은 평상시에는 상기 애플리케이션이 수행하여야 할 동작 또는 기능을 정상적으로 수행하지 못하도록 비활성화 상태로 구현되고 있다가, 상기 클라이언트 측 인증이 성공하는 경우에, 상기 인증 시스템(200)으로부터 수신되는 상기 활성화 정보에 기초하여 동작 또는 기능이 정상적으로 수행될 수 있는 활성화 상태로 변경될 수 있다. 물론, 상기 보호모듈은 자신의 동작 또는 기능을 수행하고 난 후에는 다시 비활성화 상태로 복귀하도록 구현될 수 있다. 상기 보호모듈의 동작 또는 기능은 예컨대, 후술할 바와 같이 인증요청을 인증할 인증정보의 생성일 수 있다. In any case, the protection module is implemented in a deactivated state so as not to normally perform an operation or function to be performed by the application, and when the client side authentication is successful, Based on the activation information, an activation state in which the operation or function can be normally performed. Of course, the protection module may be implemented to return to the inactive state again after performing its operation or function. The operation or function of the protection module may be, for example, the generation of authentication information for authenticating the authentication request, as will be described later.
이처럼 보호모듈 자체를 비활성화된 상태로 유지하고 있다가, 상기 비활성화된 보호모듈을 활성화할 수 있는 활성화 정보가 상기 인증 시스템(200)으로부터 수신되는 경우에는, 상기 인증 시스템(200)이 상기 보호모듈을 활성화할 수 있는 정당한 시스템임을 의미할 수 있어서 상호인증이 될 수 있다. In the case where activation information for activating the inactivated protection module is received from the
또한, 단순히 특정 메시지를 서로 공유하고 있는 키 기반으로 암호화/복호화함으로써 상호인증을 수행하는 것에 비해 훨씬 강력한 인증 프로토콜이 가능할 수 있다. 즉, 전송되는 메시지를 통한 상호인증에 비해, 인증의 대상이 되는 상기 애플리케이션 자체의 일부를 암호화함으로써 추후에 수행될 인증절차가 아예 개시되지 않거나 위변조 자체가 용이하지 않을 수 있다.In addition, a stronger authentication protocol may be possible than simply performing mutual authentication by simply encrypting / decrypting a specific message based on a shared key. That is, as compared with the mutual authentication through the transmitted message, the authentication process to be performed later may not be started at all, or the forgery and falsification itself may not be easy by encrypting a part of the application itself to be authenticated.
한편, 상기 보호모듈은 클라이언트 측 인증 및 상기 보호모듈의 활성화를 위한 구성을 제외한 상기 애플리케이션의 전부 또는 그 일부일 수 있다. 또한, 상기 보호모듈은 적어도 후술할 바와 같이 인증정보를 생성하는 구성을 포함할 수 있다.Meanwhile, the protection module may be all or part of the application except for the client side authentication and the configuration for activation of the protection module. In addition, the protection module may include a configuration for generating authentication information at least as described later.
상기 인증정보는 상기 디지털 시스템(100) 또는 상기 데이터 처리장치(300)가 전송한 인증요청을 인증하기 위해 상기 디지털 시스템(100)이 상기 인증 시스템(200)으로 전송하는 정보일 수 있다. 상기 인증정보가 상기 인증 시스템(200)에 의해 인증되면, 요청한 서비스(또는 인증) 요청은 상기 인증 시스템(200)에 의해 성공처리될 수 있다. 그러면 상기 인증 시스템(200) 및/또는 상기 서비스 시스템(400)은 사용자에게 사용자가 원하는 서비스를 제공할 수 있다.The authentication information may be information that the
상기 인증정보는 전술한 바와 같이 적어도 하나의 기초정보에 의해 생성될 수 있다. 상기 인증정보의 기초정보는 서버 생성키를 포함할 수 있다. 상기 서버 생성키는 상기 인증 시스템(200)에 의해 생성되어 상기 디지털 시스템(100)으로 전송되는 정보일 수 있다. 상기 서버 생성키는 일회용으로 생성되는 난수 값 또는 소정의 정보를 시드 값으로 생성되는 OTP 등일 수 있다. 어떠한 경우든 상기 서버 생성키는 특정 시점에서 사용되는 일회성 정보일 수 있으며, 재사용이 되지 않는 정보일 수 있다. 따라서 이러한 서버 생성키가 상기 인증정보의 기초정보로 이용됨으로써 상기 인증정보 역시 재사용이 방지될 수 있다.The authentication information may be generated by at least one basic information as described above. The basic information of the authentication information may include a server generation key. The server creation key may be information generated by the
또한, 상기 인증정보의 기초정보로써 상기 디지털 시스템(100)의 식별정보 및/또는 상기 애플리케이션의 식별정보가 더 이용될 수도 있다. 상기 디지털 시스템(100)의 식별정보 및/또는 상기 애플리케이션의 식별정보는 클라이언트 측 인증을 위해 이미 사용되었지만 반복해서 다시 인증정보의 기초정보로 이용될 수 있고, 이처럼 반복적인 인증을 통해서도 보안성의 강화가 이루어질 수 있음은 보안 분야에서 널리 알려져 있다. 물론, 상기 디지털 시스템(100)의 식별정보 또는 상기 애플리케이션의 식별정보 중 상기 클라이언트 인증정보의 기초정보로 이용된 정보는 상기 인증정보의 기초정보로는 이용되지 않을 수도 있다. 상기 디지털 시스템(100)의 식별정보는 상기 디지털 시스템(100)의 하드웨어{상기 디지털 시스템(100)에 포함된 하드웨어(예컨대, USIM, 네트워크 장치 등)}의 식별정보(예컨대, USIM의 식별정보, IMSI, IMEI, MAC 어드레스, OS ID 등)이거나 상기 디지털 시스템(100)이 전화기인 경우 전화번호일 수도 있다. 또한, 상기 애플리케이션의 식별정보는 상기 애플리케이션의 고유한 정보일 수 있으며, 상기 애플리케이션의 배포주체에 의해 부여될 수 있다. Further, identification information of the
한편, 상기 인증정보의 기초정보로써 사용자 인증정보가 더 이용될 수 있다. 사용자 인증정보는 사용자를 인증할 수 있는 정보로써, 널리 알려진 바와 같이 사용자가 설정한 비밀번호, 비밀패턴, 인증서 정보, 사용자의 생체정보가 이용될 수 있다. On the other hand, user authentication information can be further used as basic information of the authentication information. The user authentication information is information that can authenticate the user, and as is widely known, a password, secret pattern, certificate information, and biometric information of the user set by the user can be used.
또한, 본 발명의 기술적 사상에 의하면, 상기 인증정보의 기초정보로써 소정의 거래정보가 이용될 수도 있다. Further, according to the technical idea of the present invention, predetermined transaction information may be used as basic information of the authentication information.
상기 거래정보는 본 발명의 실시 예에 따라 본인인증이 성공할 경우 수행될 서비스가 금융거래(예컨대, 계좌이체, 결제 등)이고, 상기 금융거래를 특정할 수 있는 정보일 수 있다. According to the embodiment of the present invention, the transaction information may be financial transaction (for example, bank transfer, payment, etc.) and information that can specify the financial transaction when the authentication is successful.
상기 거래정보는 금융거래의 종류에 따라 달라질 수 있는 정보일 수 있으며, 거래를 특정할 수 있는 정보이자 금융거래가 실행될 때 본 발명의 기술적 사상에 따라 인증이 필요한 정보 즉, 공격의 대상이 될 수 있는 정보일 수 있다. The transaction information may be information that can be changed according to the type of financial transaction, and it may be information that can specify a transaction, and when the financial transaction is executed, information that needs authentication according to the technical idea of the present invention, Information.
예컨대, 금융거래가 계좌이체일 경우, 수신계좌, 이체금액 등이 상기 거래정보일 수 있다. 물론, 수신계좌의 명의자 등과 같이 요청자가 인지하기 용이한 정보가 상기 거래정보에 더 포함될 수도 있다. 따라서 상기 거래정보는 요청자가 서비스(또는 인증)를 요청하는 매체(예컨대, 상기 디지털 시스템(100) 또는 상기 데이터 처리장치(300))에 입력하는 거래를 특정할 수 있는 정보뿐만 아니라, 필요에 따라 수신계좌의 명의자 등과 같이 상기 인증 시스템(200) 또는 상기 서비스 시스템(400)(예컨대, 금융거래 시스템)에 의해 파악될 수 있는 정보를 더 포함하는 의미일 수도 있다.For example, when the financial transaction is an account transfer, the receiving account, the transfer amount, and the like may be the transaction information. Of course, the transaction information may further include information such as the name of the receiving account that the requester can easily recognize. Accordingly, the transaction information is information that can specify the transaction that the requestor inputs to the medium (e.g., the
예컨대, 금융거래가 결제일 경우, 거래정보는 결제대상 가맹점, 결제금액, 결제계좌 등과 같이 금융거래가 실행될 때 본 발명의 기술적 사상에 따라 인증이 필요한 정보일 수 있다. 금융거래의 종류에 따라 거래정보의 실시 예가 다양해질 수 있음을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.For example, when the financial transaction is settlement, the transaction information may be information that requires authentication according to the technical idea of the present invention when a financial transaction is executed such as a payment merchant, a payment amount, a payment account, The average expert in the technical field of the present invention can easily deduce that the embodiment of the transaction information can be varied according to the kind of the financial transaction.
이처럼 상기 거래정보가 상기 인증정보의 기초정보로 포함된 경우에는, 전술한 바와 같은 메모리 해킹 등 전자금융 사기가 예방될 수 있는 효과가 있다. In the case where the transaction information is included as the basic information of the authentication information, the electronic financial fraud such as the memory hacking described above can be prevented.
즉, 상기 거래정보는 사용자가 의도한 거래에 대한 정보이며, 거래정보가 기초정보로 이용된 인증정보는 적어도 요청자가 의도한 거래정보에 기초하여 생성됨을 의미할 수 있다. 따라서 상기 인증정보가 인증되는 경우, 상기 인증정보의 기초정보인 상기 거래정보가 인증됨을 의미할 수 있다. 또한 동시에 금융거래 시스템(200)이 실제로 금융거래를 실행할 거래정보가 상기 요청자가 의도한 거래정보와 부합함을 의미하게 된다. 따라서 상기 인증 시스템(200)에서는 상기 거래정보에 대응되는 정보로써, 상기 인증 시스템(200) 또는 상기 서비스 시스템(400)이 실제로 실행할 거래정보가 특정될 수 있다. 즉, 인증 시스템(200) 또는 상기 서비스 시스템(400)이 실제로 실행할 거래정보에 기초하여 확인용 인증정보를 특정할 수 있고, 상기 인증 시스템(200)은 확인용 인증정보와 상기 디지털 시스템(100)으로부터 수신하는 인증정보가 상응하는지를 비교함으로써 인증을 수행할 수 있다. 이러한 경우 상기 인증정보가 인증됨은 사용자가 의도한 거래정보와 실제로 실행할 거래정보가 부합함을 의미할 수 있다. That is, the transaction information may be information on a transaction intended by the user, and the authentication information used as the basic information of the transaction information may be generated based on at least the transaction information intended by the requester. Therefore, when the authentication information is authenticated, it means that the transaction information, which is the basic information of the authentication information, is authenticated. At the same time, it means that the transaction information in which the
이처럼 본 발명의 기술적 사상에 의하면, 인증 시스템(200)에 의해 상기 디지털 시스템(100)에서 생성된 인증정보가 인증될 경우, 인증정보의 기초정보가 각각 인증될 뿐만 아니라 상기 기초정보에 거래정보가 포함된 경우에는 금융거래를 실제로 실행할 거래정보가 상기 요청자가 의도한 거래정보에 부합하는지가 확인됨으로써 메모리 해킹과 같은 공격에 강인한 효과가 발생한다. As described above, according to the technical idea of the present invention, when the authentication information generated in the
이를 위해서는 상기 인증 시스템(200)으로 전송될 상기 인증정보의 위변조를 방지하는 것이 매우 중요할 수 있다. 따라서 상기 인증정보를 전송하기 위해 상기 디지털 시스템(100)과 상기 인증 시스템(200)은 보호된 통신채널을 설정할 수 있다. 예컨대, MAC(Message Authentication Code), HMAC, salted hashing, key stretching, SCRAM(Salted Challenge Response Authentication Mechanism) 등이 상기 통신채널을 설정하는데 이용될 수 있다. For this purpose, it may be very important to prevent forgery and falsification of the authentication information to be transmitted to the
상기 인증 시스템(200)은 상기 디지털 시스템(100)으로부터 수신된 인증정보를 인증하기 위해 확인용 인증정보를 특정할 수 있다. 이를 위해 상기 인증정보의 생성에 이용된 기초정보들이 상기 인증 시스템(200)에 미리 등록되어 있거나 확인될 수 있음은 자명하다. The
또한, 상기 기초정보들 중 거래정보에 대응되는 정보는 전술한 바와 같이 상기 서비스 시스템(400)이 실제로 실행할 거래정보일 수 있다. 상기 실행할 거래정보는 어떠한 경로를 통해서든 상기 서비스 시스템(400)으로 전송될 수 있다. 예컨대, 사용자가 디지털 시스템(100) 또는 데이터 처리장치(300)에 입력한 거래정보가 서비스 시스템(400)으로 전송되어 전송된 거래정보가 실행할 거래정보가 될 수 있다. 어떠한 경로로든 상기 서비스 시스템(400)은 자신이 실행할 거래정보를 획득할 수 있다. In addition, the information corresponding to the transaction information among the basic information may be transaction information that the
또한, 상기 기초정보들 중 서버 생성키는 상기 인증 시스템(200)이 생성하여 상기 디지털 시스템(100)으로 전송한 정보이므로, 상기 인증 시스템(200)에 저장되어 있을 수 있다. 또한, 상기 기초정보들 중 디지털 시스템(100)의 식별정보, 애플리케이션의 식별정보는 미리 요청자에 의해 또는 상기 인증 시스템(200)에 의해 자동으로 등록될 수 있다. The server generation key of the basic information may be stored in the
상기 인증 시스템(200)이 확인용 인증정보를 특정한다고 함은, 단순히 인증정보의 기초정보들을 미리 저장되어 있는 정보 또는 알고 있는 정보로부터 추출하거나 인지함을 의미할 수도 있다. 또는 상기 인증정보가 생성된 실시 예와 대응되는 방식으로 상기 확인용 인증정보를 생성하는 과정을 의미할 수 있다. 즉, 상기 인증정보에서 수행된 보호 프로세싱(예컨대, 암호화, 인코딩, 해싱 등)이 동일하게 수행되어 상기 인증정보를 인증할 수 있는 정보인 상기 확인용 인증정보가 생성되는 과정을 의미할 수도 있다. 그리고 상기 확인용 인증정보가 특정되면, 상기 디지털 시스템(100)으로부터 수신되는 인증정보가 인증될 수 있다. 상기 인증정보의 인증이 성공되어야 상기 인증 시스템(200)은 요청된 서비스(또는 인증) 요청을 성공 처리할 수 있으며, 그 결과를 디지털 시스템(100) 또는 데이터 처리장치(300)로 전송할 수 있다. 그리고 디지털 시스템(100) 또는 데이터 처리장치(300)로 요청된 서비스가 제공될 수 있다. The fact that the
또한, 상기 인증 시스템(200) 또한 미리 상기 기초정보들 중 적어도 일부에 대한 보호 프로세싱을 수행해둘 수도 있다. 예컨대, 상기 보호 프로세싱이 해싱(hashing)인 경우, 상기 인증 시스템(200)은 미리 특정되어 있는 정보들(예컨대, 디지털 시스템(100)의 식별정보, 애플리케이션의 식별정보, 사용자 인증정보 등)은 각각 해싱해서 저장하거나, 결합하여 해싱 후 저장할 수 있다. 이러한 경우, 상기 인증 시스템(200)이 공격받더라도 상기 정보들이 유출되지 않을 수 있는 효과가 있으며, 인증정보가 수신되면 빠른 시간 내에 인증(즉, 인증정보 역시 동일하게 해싱된 정보에 기초한 정보이므로)이 가능할 수 있는 효과도 있다.In addition, the
본 발명의 기술적 사상에 의하면, 상기 디지털 시스템(100)과 상기 애플리케이션은 미리 짝(페어)으로 설정되어 서로 대응되도록 상기 인증 시스템(200)에 저장될 수 있다. 이는 페어로 설정된 상기 디지털 시스템(100)에 미리 정해진 애플리케이션이 설치되어 있어야만, 상기 인증정보가 인증됨을 의미할 수 있다. 즉, 본 발명의 실시 예에 의하면, 상기 인증정보는 반드시 디지털 시스템(100)의 식별정보 및 애플리케이션의 식별정보에 기초하여 생성되도록 구현될 수 있고, 이러한 경우에는 지정된 디지털 시스템(100)에 지정된 애플리케이션이 설치되고 실행되어야만 상기 인증정보가 상기 인증 시스템(200)에 의해 인증되도록 구현될 수 있다. 이러한 경우에는 더욱더 보안성은 강화된다.According to the technical idea of the present invention, the
본 발명의 기술적 사상에 의하면, 상기 인증 시스템(200)은 상기 디지털 시스템(100) 또는 상기 데이터 처리장치(300)에 사용자가 입력한 거래정보를 먼저 획득한 후, 획득한 거래정보를 포함하는 정보를 다시 상기 디지털 시스템(100)으로 전송할 수 있다. 전송된 거래정보에는 상기 사용자가 입력한 거래정보 외에 상기 인증 시스템(200) 또는 서비스 시스템(400)에 의해 확인되는 정보(예컨대, 계좌의 명의자 정보, 가맹점 정보 등)가 더 포함될 수도 있다.According to the technical idea of the present invention, the
전송된 거래정보 중 적어도 일부는 상기 디지털 시스템(100)에서 재생될 수 있다. 인증 시스템(200)이 거래정보 중 적어도 일부를 획득한 후 거래정보를 포함하는 소정의 정보(이하, 확인정보)를 전송하여 디지털 시스템(100)에서 재생되도록 하면, 사용자가 입력한 거래정보가 실제로 인증 시스템(200)에서 인지된 정보와 동일한지를 확인토록 하는 효과가 있다.At least some of the transmitted transaction information may be reproduced in the
거래정보를 상기 디지털 시스템(100)에서 재생토록 하는 시스템은 상기 인증 시스템(200)과는 별개의 시스템일 수도 있다. 예컨대, 금융거래를 중개하는 중개시스템(예컨대, PG, VAN 등)의 시스템이 전술한 바와 같이 상기 거래정보를 수신한 후 다시 거래정보를 상기 디지털 시스템(100)에서 재생하도록 할 수도 있다.The system for reproducing the transaction information in the
실시 예에 따라서는 상기 인증 시스템(200)이 상기 중개시스템 내부에 구성될 수도 있는데, 이런 경우에는 상기 중개시스템이 거래정보까지를 재생 확인하고, 확인된 인증정보 또는 결제요청 정보를 서비스 시스템(400)으로 전송할 수 있다. 그러면 중개시스템이 인증정보 및/또는 거래정보를 확인하고, 확인된 인증 또는 결제요청 정보만을 서비스 시스템(400)으로 전송할 수 있어, 중개시스템의 역할이 강화되고 부정 금융거래를 차단할 수 있는 효과가 있다. According to an embodiment, the
또한, 상기 디지털 시스템(100)에서 상기 거래정보 중 적어도 일부가 재생될 때에는, 재생되는 정보 중 특히 사용자가 확인해야 할 중요한 정보(위변조의 대상이 될 수 있는 정보)는 사용자가 인지하기 용이한 방식으로 재생될 수 있다. 이러한 일예는 도5에 도시된 바와 같다.Further, when at least a part of the transaction information is reproduced in the
예컨대, 도5에 도시된 바와 같이 금융거래가 이체일 경우, 이체금액(예컨대, 100만원), 이체계좌의 명의자(예컨대, A)는 다른 정보에 비해 글씨가 크게 재생(예컨대, 디스플레이)될 수 있다. 구현 예에 따라서는 이러한 정보들은 별도로 음성으로 플레이되는 방식으로 재생될 수도 있다. 또는 다른 글씨와 색상, 폰트 등이 다른 형태로 재생될 수도 있다.For example, when a financial transaction is transferred as shown in FIG. 5, the transfer amount (for example, one million won) and the transfer account name (for example, A) can be largely reproduced (e.g., displayed) compared to other information. Depending on the implementation, such information may be reproduced in a separately played voice manner. Or other characters, colors, fonts, and the like may be reproduced in different forms.
예컨대, 금융거래가 결제일 경우, 결제할 가맹점의 위치(예컨대, B), 가맹점 이름(예컨대, C), 결제금액(예컨대, 100만원) 역시 글씨가 크게 재생되거나, 음성으로 재생되거나, 색상, 폰트 등이 다른 형태로 재생될 수도 있다. 계좌의 명의자, 가맹점의 위치, 가맹점 이름 등은 디지털 시스템(100)에 의해 획득되는 거래정보가 아니라, 인증 시스템(200) 또는 서비스 시스템(400)에 의해 확인되어 거래정보에 추가로 포함된 정보일 수도 있음은 물론이다.For example, when the financial transaction is settlement, the location of the merchant to be paid (for example, B), the name of the merchant (for example, C) May be reproduced in other forms. The name of the account, the location of the merchant, the name of the merchant, and the like are not the transaction information acquired by the
또한, 도5에 도시된 바와 같은 UI 자체가 상기 사용자가 보고 있는 화면(즉, 금융거래를 요청하는 화면)과는 별도의 UI(팝업 창 등)를 통해 재생될 수도 있다.In addition, the UI itself as shown in FIG. 5 may be reproduced through a UI (pop-up window, etc.) separate from a screen that the user is viewing (i.e., a screen requesting a financial transaction).
상기 거래정보 중 적어도 일부가 상기 디지털 시스템(100)에서 재생되면, 사용자는 상기 디지털 시스템(100)을 통해 재생된 정보를 확인할 수 있다. 예컨대, 확인버튼을 클릭 또는 터치하는 행위가 그러할 수 있다. 그러면 확인된 거래정보가 인증정보의 기초정보로써 특정될 수 있다. 상기 사용자에 의해 확인된 거래정보는 인증 시스템(200)에 의해 인지된 정보임과 동시에 사용자가 의도한 정보임이 확인된 정보이므로 기초정보로써 특정될 수 있다.When at least a part of the transaction information is reproduced in the
상술한 바와 같은 본 발명의 실시 예에 따른 본인인증방법의 데이터 플로우를 개략적으로 설명하면 도4와 같다.The data flow of the authentication method according to the embodiment of the present invention is schematically described with reference to FIG.
도4를 참조하면, 디지털 시스템(100)은 클라이언트 인증정보를 상기 인증 시스템(200)으로 전송할 수 있다(S100). 이전에 상기 디지털 시스템(100) 또는 상기 데이터 처리장치(300)는 상기 인증 시스템(200) 또는 상기 서비스 시스템(400)으로 서비스(또는 인증) 요청을 수행할 수 있음은 전술한 바와 같다. 또한, 사용자는 자신의 사용자 인증정보 및/또는 거래정보를 입력할 수도 있다.Referring to FIG. 4, the
상기 인증 시스템(200)은 디지털 시스템(100)으로 서버 생성키를 전송할 수도 있다. 서버 생성키의 전송은 상기 디지털 시스템(100)이 인증정보를 생성하기 전이면 언제든지 수행될 수 있다.The
상기 인증 시스템(200)은 수신한 상기 클라이언트 인증정보를 인증할 수 있다(S110). 상기 클라이언트 인증정보가 인증되면, 상기 인증 시스템(200)은 활성화 정보를 상기 디지털 시스템(100)으로 전송할 수 있다(S120). 상기 활성화 정보와 함께 서버 생성키가 전송될 수도 있다. 또한, 전술한 바와 같이 상기 디지털 시스템(100)에서 전송할 거래정보가 전송될 수도 있다. The
상기 디지털 시스템(100)은 수신된 활성화 정보에 기초하여 보호모듈을 활성화할 수 있다(S130). The
그러면 활성화된 보호모듈은 인증정보를 생성할 수 있다(S140). 상기 인증정보의 기초정보로써 서버 생성키가 포함될 수 있다. 또한, 거래정보가 기초정보로 이용되는 경우에는 사용자가 입력한 거래정보가 기초정보로 이용될 수도 있지만, 상기 디지털 시스템(100)에서 재생되어 사용자에 의해 확인된 거래정보가 기초정보로 특정될 수도 있다. 선택적으로 디지털 시스템(100)이 식별정보, 애플리케이션의 식별정보, 및/또는 사용자 인증정보가 기초정보로 더 이용될 수 있다. Then, the activated protection module can generate the authentication information (S140). As a basic information of the authentication information, a server generation key may be included. In addition, when transaction information is used as basic information, transaction information input by a user may be used as basic information, but transaction information that is reproduced in the
상기 디지털 시스템(100)은 상기 인증정보를 생성할 기초정보들(적어도 서버 생성키를 포함하며, 선택적으로 디지털 시스템(100)의 식별정보, 애플리케이션의 식별정보, 사용자 인증정보, 및/또는 거래정보를 포함할 수 있음)을 특정하고, 특정된 기초정보들에 기초하여 인증정보를 생성하면, 생성된 인증정보를 포함하는 확인신호를 상기 인증 시스템(200)으로 전송될 수 있다.The
그러면 상기 인증 시스템(200)에서는 전술한 바와 같이 확인용 인증정보를 특정하고, 특정한 확인용 인증정보에 기초하여 수신한 인증정보를 인증하는 인증확인절차를 수행할 수 있다(S160, S170). 이때 확인용 인증정보의 기초정보로써 거래정보에 대응되는 정보는 전술할 바와 같이 실제 상기 서비스 시스템(400)이 실행할 금융거래의 실행 거래정보일 수 있으며, 이를 통해 종래의 방식의 메모리 해킹 등 전자금융 사기가 방지될 수 있음은 전술한 바와 같다. 또한, 확인용 인증정보 또는 확인용 인증정보에 포함될 기초정보 중 적어도 일부는 상기 인증정보가 수신되기 전에 미리 특정될 수도 있음은 물론이다.Then, the
상기 인증정보가 인증이 성공되면, 상기 인증 시스템(200)은 서비스(또는 인증)요청을 성공 처리할 수 있다(S180).If the authentication information is successfully authenticated, the
이러한 기술적 사상을 구현하기 위한 상기 디지털 시스템(100) 및 상기 인증 시스템(200)의 구성은 도2 및 도3에 도시된다. The configuration of the
도2는 본 발명의 일실시 예에 따른 본인인증방법을 위한 디지털 시스템의 개략적인 구성을 나타낸다. 또한, 도3은 본 발명의 일실시 예에 따른 본인인증방법을 위한 인증 시스템의 개략적인 구성을 나타낸다. 2 shows a schematic configuration of a digital system for a personal authentication method according to an embodiment of the present invention. 3 shows a schematic configuration of an authentication system for a personal authentication method according to an embodiment of the present invention.
도2 및 도3을 참조하면, 상기 디지털 시스템(100)은 제어모듈(110), 통신모듈(120), 및 보호모듈(130)을 포함한다. 상기 인증 시스템(200)은 제어부(210), 통신부(220), 클라이언트 인증부(230), 및 DB(240)를 포함한다. 상기 인증 시스템(200)은 키생성부(250)를 더 포함할 수 있다. Referring to FIGS. 2 and 3, the
본 명세서에서 모듈 또는 '~부'라 함은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다. 예컨대, 상기 각각의 구성들은 소정의 코드와 상기 소정의 코드가 수행되기 위한 하드웨어 리소스(resource)의 논리적인 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나, 한 종류나 특정 개수의 하드웨어를 의미하는 것은 아님은 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다. 따라서, 상기 각각의 구성들은 본 명세서에서 정의되는 기능을 수행하는 하드웨어 및 소프트웨어의 결합을 의미하며 특정 물리적 구성을 의미하는 것은 아니다. Herein, a module or a part may mean a functional and structural combination of hardware for carrying out the technical idea of the present invention and software for driving the hardware. For example, each of the above configurations may refer to a logical unit of a predetermined code and a hardware resource for executing the predetermined code, and may be a code physically connected to one another or a specific type of hardware May be easily deduced to the average expert in the field of the present invention. Thus, each of the above configurations refers to a combination of hardware and software that performs the functions defined herein, and does not mean a specific physical configuration.
상기 제어모듈(110)은 상기 디지털 시스템(100)에 포함되는 다른 구성(예컨대, 상기 통신모듈(130) 및/또는 보호모듈(140) 등)의 기능 및/또는 리소스(resource)를 제어할 수 있다. 상기 디지털 시스템(100)의 구성은 상기 디지털 시스템(100)에 설치되는 애플리케이션 및 상기 디지털 시스템(100)의 하드웨어 리소스가 결합되어 구현되는 애플리케이션 시스템의 구성을 의미할 수 있음은 전술한 바와 같다. The
상기 디지털 시스템(100)에는 사용자로부터 소정의 정보를 입력받기 위한 소정의 입력장치(예컨대, 키패드, 키보드, 마우스, 및/또는 터치스크린 등)가 더 구비될 수도 있다.The
상기 통신모듈(120)은 상기 디지털 시스템(100) 또는 상기 디지털 시스템(100)에 설치되는 애플리케이션 즉, 클라이언트 측의 인증을 위한 클라이언트 인증정보를 인증 시스템(200)으로 전송할 수 있다. 상기 클라이언트 인증정보의 생성은 상기 제어모듈(110)에 의해 수행될 수 있음은 물론이다.The
상기 보호모듈(130)은 평상시에는 비활성화된 상태로 상기 디지털 시스템(100)에 저장된 상기 애플리케이션의 일부일 수 있다. 상기 보호모듈(130)은 적어도 인증정보를 생성하는 구성(예컨대, 소프트웨어 코드)을 포함할 수 있으며, 필요에 따라 상기 통신모듈(120) 및 상기 제어모듈(110)을 제외한 다른 구성들 역시 더 상기 보호모듈(130)에 포함될 수도 있다.The
상기 제어모듈(110)은 상기 통신모듈(120)을 통해 인증 시스템(200)으로부터 활성화 정보가 수신되면, 상기 보호모듈(130)을 활성화할 수 있다. 상기 제어모듈(110)은 상기 활성화 정보에 포함된 복호화 키만으로 상기 보호모듈(130)을 활성화할 수도 있고, 상기 활성화 정보에 포함된 복호화 키 및 사용자 인증정보에 기초한 제2복호화 키를 이용한 순차적인 복호화를 통해 상기 보호모듈(130)을 활성화할 수도 있고, 상기 복호화 키 및 제2복호화 키에 기초하여 생성되는 통합 복호화키를 이용하여 상기 보호모듈(130)을 활성화 할 수도 있음은 전술한 바와 같다.The
그러면 상기 보호모듈(130)은 인증정보를 생성할 수 있다. 상기 제어모듈(110)은 생성된 인증정보를 포함하는 확인신호를 상기 인증 시스템(200)으로 전송할 수 있다. The
그러면 상기 인증 시스템(200)은 인증정보를 인증하는 인증확인절차를 수행할 수 있다.The
또한, 상기 제어모듈(110)은 상기 인증 시스템(200)(또는 소정의 중개 시스템)으로부터 재생할 거래정보를 수신할 수 있고, 수신된 거래정보를 소정의 형태로 상기 디지털 시스템(100)에서 재생할 수 있음은 전술한 바와 같다. 그리고 이때에는 상기 보호모듈(130)은 재생된 거래정보가 사용자에 의해 확인이 되면, 확인된 거래정보를 기초정보로써 특정할 수도 있다.Also, the
또한, 상기 제어모듈(110)은 상기 보호모듈(130)이 상기 인증정보를 생성하면, 다시 상기 보호모듈(130)을 비활성화 상태로 복귀시키며, 수신된 활성화 정보는 삭제하여 재사용을 금지시킬 수 있다.In addition, when the
상기 인증 시스템(200) 역시 어느 하나의 물리적 장치로만 구현될 필요는 없으며, 복수의 물리적 장치가 유기적으로 결합되어 상기 인증 시스템(200)을 구현할 수도 있다. The
상기 제어부(210)는 상기 인증 시스템(200)의 다른 구성들의 기능 및/또는 리소스를 제어할 수 있다. 또한, 상기 제어부(210)는 거래매체(100) 및/또는 인증매체(300)로부터 수신되는 거래연동 인증정보를 인증하는 절차를 수행할 수 있다.The
상기 통신부(220)는 인증요청을 수행하는 사용자의 디지털 시스템(100) 또는 상기 디지털 시스템(100)에 설치되는 애플리케이션의 인증을 위한 클라이언트 인증정보를 상기 디지털 시스템(100)으로부터 수신할 수 있다.The
상기 DB(240)에는 적어도 상기 디지털 시스템 또는 상기 애플리케이션에 대한 정보가 등록되어 있을 수 있다. 상기 디지털 시스템(100)의 식별정보 또는 상기 애플리케이션의 식별정보가 그 자체로 저장되어 있을 수도 있고, 전술한 바와 같이 각각의 정보 또는 결합된 정보가 소정의 보호 프로세싱(암호화, 인코딩, 또는 해싱 등)이 수행되어 상기 DB(240)에 저장되어 있을 수도 있다. 또한, 상기 DB(240)에는 사용자 인증정보가 소정의 방식으로 더 저장되어 있을 수 있음은 물론이다.Information on at least the digital system or the application may be registered in the
상기 클라이언트 인증부(230)는 수신된 상기 클라이언트 인증정보를 상기 DB(240)에 미리 등록되어 있는 정보에 기초하여 인증할 수 있다. The
또한, 상기 클라이언트 인증부(230)는 상기 클라이언트 인증정보의 인증이 성공한 경우 상기 애플리케이션의 적어도 일부의 보호모듈을 활성화할 수 있는 활성화 정보를 상기 통신부(220)를 통해 상기 디지털 시스템(100)으로 전송할 수 있다. 상기 활성화 정보는 상기 디지털 시스템(100)에 암호화된 상태로 저장되어 있는 상기 보호모듈을 복호화할 복호화 키를 포함할 수 있다. 애플리케이션별로 상기 복호화 키가 미리 상기 DB(240)에 저장될 수 있다. 또는 구현 예에 따라 상기 보호모듈(130)이 소정의 방식으로 인코딩 된 경우, 이에 대응되는 디코딩을 수행하기 위한 정보가 상기 활성화 정보에 포함될 수도 있음은 전술한 바와 같다. In addition, when the authentication of the client authentication information is successful, the
상기 제어부(210)는 상기 디지털 시스템(100)으로부터 인증정보를 포함하는 확인신호가 수신되면, 상기 확인신호에 포함된 인증정보를 인증하는 인증확인절차를 수행할 수 있다.When the
그리고 상기 제어부(210)는 상기 인증확인절차가 성공하여야 데이터 처리장치(300) 또는 상기 디지털 시스템(100)으로부터 상기 인증 시스템(200) 또는 상기 인증 시스템과 연결된 서비스 시스템(400)으로 출력된 인증요청을 성공 처리할 수 있다. 이를 위해 상기 제어부(210)는 전술한 바와 같이 상기 DB(240)에 저장된 정보에 기초하여 확인용 인증정보를 특정하고, 특정된 확인용 인증정보와 수신된 인증정보가 서로 상응하는지를 판단함으로써 상기 인증확인절차를 수행할 수 있다. 또한, 상기 인증정보의 기초정보로 거래정보가 이용될 경우에는, 상기 제어부(210)는 상기 서비스 시스템(400)이 실행할 거래정보를 확인용 인증정보의 기초정보로 특정할 수 있음은 전술한 바와 같다. 실행할 거래정보는 상기 서비스 시스템(400)이 금융거래를 실행하기 직전에 특정될 수 있음은 물론이다.The
또한, 상기 제어부(210)는 상기 데이터 처리장치(300) 또는 상기 디지털 시스템(100)에 의해 입력되거나 상기 서비스 시스템(400)을 통해 획득하는 상기 거래정보를 상기 디지털 시스템(100)으로 전송하여 상기 디지털 시스템(100)에서 재생되도록 할 수도 있다. The
상기 키 생성부(250)는 상기 디지털 시스템(100)으로 전송할 일회용 서버 생성키를 생성할 수 있다. 상기 서버 생성키는 예컨대, 난수값, OTP, 시간 값 등의 일회용 정보일 수 있음은 전술한 바와 같다. The
본 발명의 실시 예에 따른 본인인증방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.The authentication method according to the embodiment of the present invention can be implemented as a computer-readable code on a computer-readable recording medium. A computer-readable recording medium includes all kinds of recording apparatuses in which data that can be read by a computer system is stored. Examples of the computer-readable recording medium include a ROM, a RAM, a CD-ROM, a magnetic tape, a hard disk, a floppy disk, an optical data storage device, and the like in the form of a carrier wave (for example, . In addition, the computer-readable recording medium may be distributed over network-connected computer systems so that computer readable codes can be stored and executed in a distributed manner. And functional programs, codes, and code segments for implementing the present invention can be easily inferred by programmers skilled in the art to which the present invention pertains.
본 발명은 도면에 도시된 일 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.
While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, is intended to cover various modifications and equivalent arrangements included within the spirit and scope of the appended claims. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.
Claims (22)
상기 인증 시스템에 의해 상기 클라이언트 인증정보가 인증된 경우, 상기 디지털 시스템이 상기 인증 시스템으로부터 상기 애플리케이션의 적어도 일부의 보호모듈을 활성화할 수 있는 활성화 정보를 수신하는 단계;
상기 디지털 시스템이 수신한 활성화 정보에 기초하여 비활성화되어 있는 상기 보호모듈을 활성화하는 단계; 및
상기 디지털 시스템이 활성화된 상기 보호모듈을 통해 인증요청을 인증하기 위한 인증정보를 포함하는 확인신호를 생성하고 생성한 확인신호를 상기 인증 시스템으로 전송하는 단계를 포함하며,
상기 인증 시스템에 의해,
전송된 확인신호에 포함된 인증정보가 인증되는 인증확인절차가 수행되며, 상기 인증확인절차가 성공하여야 소정의 데이터 처리장치 또는 상기 디지털 시스템으로부터 상기 인증 시스템 또는 상기 인증 시스템과 연결된 서비스 시스템으로 출력된 상기 인증 요청이 성공 처리되는 것을 특징으로 하는 본인인증방법.
Transmitting a client authentication information for authentication of the digital system or an application installed in the digital system to an authentication system to be authenticated;
Receiving activation information enabling the digital system to activate at least a portion of the protection module of the application from the authentication system when the client authentication information is authenticated by the authentication system;
Activating the protection module inactivated based on the activation information received by the digital system; And
Generating an acknowledgment signal including authentication information for authenticating an authentication request through the protection module activated by the digital system, and transmitting the generated acknowledgment signal to the authentication system,
By the authentication system,
An authentication confirmation process is performed in which the authentication information included in the transmitted confirmation signal is authenticated, and if the authentication confirmation process is successful, the authentication information is output from the predetermined data processing device or the digital system to the authentication system or the service system connected to the authentication system And the authentication request is successfully processed.
적어도 상기 인증 시스템에 의해 생성되는 일회성의 서버 생성키에 기초하여 생성되며, 선택적으로 상기 디지털 시스템의 식별정보 또는 상기 애플리케이션의 식별정보 중 적어도 하나에 더 기초하여 생성되는 정보인 것을 특징으로 하는 본인인증방법.
The information processing apparatus according to claim 1,
Wherein the authentication information is generated based on at least one-time server generation key generated by the authentication system, and optionally generated based on at least one of the identification information of the digital system or the identification information of the application Way.
적어도 상기 인증 시스템에 의해 생성되는 일회성의 서버 생성키에 기초하여 생성되며, 선택적으로 인증이 성공될 경우 수행될 거래의 거래정보 또는 사용자를 인증할 수 있는 사용자 인증정보 중 적어도 하나에 더 기초하여 생성되는 정보인 것을 특징으로 하는 본인인증방법.
The information processing apparatus according to claim 1,
Generating based on at least one of transaction information of a transaction to be performed or user authentication information capable of authenticating a user, which is generated based on at least a one-time server generation key generated by the authentication system, Wherein the authentication information is authentication information.
상기 디지털 시스템은 상기 거래정보 중 적어도 일부를 특정하고 특정된 상기 거래정보 중 적어도 일부를 상기 인증 시스템으로 전송하며,
상기 거래정보가 상기 인증 시스템에 의해 확인되어 수신되면 수신된 상기 거래정보를 재생하고,
재생된 상기 거래정보가 상기 디지털 시스템에 의해 확인되면 확인된 상기 거래정보에 기초하여 상기 인증정보를 생성하는 것을 특징으로 하는 본인인증방법.
4. The method according to claim 3, wherein when the authentication information is information generated based on the transaction information,
Wherein the digital system specifies at least a part of the transaction information and transmits at least a part of the specified transaction information to the authentication system,
And reproducing the received transaction information when the transaction information is confirmed and received by the authentication system,
And the authentication information is generated based on the transaction information that is confirmed when the reproduced transaction information is confirmed by the digital system.
상기 인증확인절차는,
상기 인증 시스템 또는 상기 인증 시스템과 연계된 금융거래 시스템에 의해 실행될 실행 거래정보에 기초하여 확인용 인증정보가 특정되고, 특정된 상기 확인용 인증정보와 상기 인증정보가 서로 상응하는지 여부가 판단되는 것을 특징으로 하는 본인인증방법.
4. The method according to claim 3, wherein when the authentication information is information generated based on the transaction information,
The authentication procedure includes:
Wherein authentication authentication information is specified based on execution transaction information to be executed by the authentication system or the financial transaction system associated with the authentication system, and it is determined whether or not the specified authentication authentication information and the authentication information correspond to each other A self-authentication method characterized by.
상기 디지털 시스템이 암호화된 상태로 저장되어 있는 상기 보호모듈을 상기 활성화 정보에 포함된 복호화 키를 이용하여 복호화하는 단계를 포함하는 본인인증방법.
2. The method of claim 1, wherein activating the protection module, which is inactivated based on the activation information received by the digital system,
And decrypting the protection module in which the digital system is stored in an encrypted state, using a decryption key included in the activation information.
상기 디지털 시스템이 상기 복호화 키 및 사용자로부터 획득되는 사용자 인증정보에 기초한 제2복호화 키에 기초하여 상기 보호모듈을 복호화하는 단계를 포함하는 본인인증방법.
The method as claimed in claim 6, wherein the step of decrypting the protection module, in which the digital system is stored in an encrypted state, using a decryption key included in the activation information,
And the digital system decrypting the protection module based on the decryption key and a second decryption key based on user authentication information obtained from the user.
상기 디지털 시스템이 상기 확인신호를 상기 인증 시스템으로 전송한 후, 상기 보호모듈을 재비활성화하는 단계를 더 포함하는 본인인증방법.
The authentication method according to claim 1,
Further comprising: after the digital system transmits the confirmation signal to the authentication system, deactivating the protection module.
상기 디지털 시스템이 상기 디지털 시스템의 식별정보 또는 상기 애플리케이션의 식별정보 중 적어도 하나에 기초하여 상기 클라이언트 인증정보를 생성하고, 생성한 상기 클라이언트 인증정보를 상기 인증 시스템으로 전송하는 단계를 포함하는 본인인증방법.
The method as claimed in claim 1, wherein the step of transmitting the client authentication information to an authentication system for performing authentication includes:
Wherein the digital system generates the client authentication information based on at least one of identification information of the digital system or identification information of the application and transmitting the generated client authentication information to the authentication system .
상기 인증 시스템이 상기 클라이언트 인증정보를 미리 등록되어 있는 정보에 기초하여 인증하는 단계;
상기 클라이언트 인증정보의 인증이 성공한 경우, 상기 인증 시스템이 상기 애플리케이션의 적어도 일부의 보호모듈을 활성화할 수 있는 활성화 정보를 상기 디지털 시스템으로 전송하는 단계;
전송한 상기 활성화 정보에 기초하여 상기 디지털 시스템에서 비활성화되어 있는 상기 보호모듈이 활성화되고 활성화된 상기 보호모듈을 통해 상기 인증요청의 인증을 위한 인증정보를 포함하는 확인신호가 생성되면, 상기 인증 시스템이 상기 디지털 시스템으로부터 상기 확인신호를 수신하는 단계;
상기 인증 시스템이 수신한 확인신호에 포함된 인증정보가 인증되는 인증확인절차를 수행하는 단계; 및
상기 인증확인절차가 성공하여야 소정의 데이터 처리장치 또는 상기 디지털 시스템으로부터 상기 인증 시스템 또는 상기 인증 시스템과 연결된 서비스 시스템으로 출력된 상기 인증요청을 성공 처리하는 단계를 포함하는 본인인증방법.
Receiving from the digital system the client authentication information of a digital system of a user performing an authentication request or an application installed in the digital system;
Authenticating the client authentication information based on information previously registered in the authentication system;
Sending, to the digital system, activation information enabling the authentication system to activate at least a portion of the protection module of the application if authentication of the client authentication information is successful;
When the protection module deactivated in the digital system is activated based on the transmitted activation information and an acknowledgment signal including authentication information for authentication of the authentication request is generated through the active protection module, Receiving the acknowledgment signal from the digital system;
Performing an authentication check procedure in which authentication information included in an acknowledgment signal received by the authentication system is authenticated; And
And successively processing the authentication request outputted from the predetermined data processing apparatus or the digital system to the authentication system or the service system connected to the authentication system when the authentication confirmation procedure is successful.
적어도 상기 인증 시스템이 상기 디지털 시스템으로 전송한 일회성의 서버 생성키에 기초하여 생성되며, 선택적으로 상기 디지털 시스템의 식별정보 또는 상기 애플리케이션의 식별정보 중 적어도 하나에 더 기초하여 생성되는 정보인 것을 특징으로 하는 본인인증방법.
11. The method according to claim 10,
Wherein the information is generated based on at least one server generating key transmitted to the digital system by the authentication system and optionally generated based on at least one of identification information of the digital system or identification information of the application. Authentication method.
적어도 상기 인증 시스템이 상기 디지털 시스템으로 전송한 일회성의 서버 생성키에 기초하여 생성되며, 선택적으로 인증이 성공될 경우 수행될 거래의 거래정보 또는 사용자를 인증할 수 있는 사용자 식별정보 중 적어도 하나에 더 기초하여 생성되는 정보인 것을 특징으로 하는 본인인증방법.
11. The method according to claim 10,
At least one of at least one of transaction information of a transaction to be performed or user identification information capable of authenticating a user, which is generated based on at least one server creation key transmitted to the digital system at least by the authentication system And the authentication information is generated based on the authentication information.
상기 인증 시스템은 상기 디지털 시스템에 의해 특정된 상기 거래정보 중 적어도 일부를 상기 디지털 시스템으로부터 수신하며,
상기 인증 시스템이 수신한 상기 거래정보 중 적어도 일부를 확인하여 상기 거래정보를 상기 디지털 시스템으로 전송하는 것을 특징으로 하며,
상기 디지털 시스템에 의해 전송된 상기 거래정보가 재생되고 재생된 상기 거래정보가 확인되면, 확인된 상기 거래정보에 기초하여 상기 인증정보가 생성되는 것을 특징으로 하는 본인인증방법.
13. The method according to claim 12, wherein when the authentication information is information generated based on the transaction information,
The authentication system receives at least a portion of the transaction information specified by the digital system from the digital system,
Wherein the authentication system checks at least a part of the transaction information received and transmits the transaction information to the digital system,
Wherein the authentication information is generated based on the confirmed transaction information when the transaction information transmitted by the digital system is reproduced and the reproduced transaction information is confirmed.
상기 인증확인절차를 수행하는 단계는,
상기 인증 시스템 또는 상기 서비스 시스템에 의해 실행될 실행 거래정보에 기초하여 상기 인증 시스템이 확인용 인증정보를 특정하고, 특정된 상기 확인용 인증정보와 상기 인증정보가 서로 상응하는지 여부를 판단하는 단계를 포함하는 본인인증방법.
13. The method according to claim 12, wherein when the authentication information is information generated based on the transaction information,
The step of performing the authentication procedure includes:
Wherein the authentication system specifies authentication authentication information based on the authentication system or execution transaction information to be executed by the service system, and determining whether the authentication information for identification and the authentication information specified correspond to each other Authentication method.
상기 인증 시스템이 상기 디지털 시스템에 암호화된 상태로 저장되어 있는 상기 보호모듈을 복호화하는데 이용될 복호화 키를 상기 활성화 정보에 포함시켜 전송하는 단계를 포함하며,
상기 디지털 시스템에서, 상기 복호화 키에 의해 상기 보호모듈이 복호화되거나 사용자로부터 획득되는 사용자 인증정보에 기초한 제2복호화 키 및 상기 복호화 키에 기초하여 상기 보호모듈이 복호화되는 것을 특징으로 하는 본인인증방법.
11. The method of claim 10, wherein the act of sending activation information to the digital system, wherein the activation system is capable of activating a protection module of at least a portion of the application,
And transmitting, by the activation system, a decryption key to be used for decrypting the protection module, the activation system being stored in an encrypted state in the digital system,
In the digital system, the protection module is decrypted based on a second decryption key based on user authentication information decrypted by the decryption key or obtained from a user, and the decryption key.
상기 인증 시스템이 상기 디지털 시스템의 식별정보 또는 상기 애플리케이션의 식별정보 중 적어도 하나에 기초한 상기 클라이언트 인증정보를 수신하고, 수신한 상기 클라이언트 인증정보에 상응하는 확인용 인증정보를 특정하고, 특정한 확인용 인증정보와 수신한 클라이언트 인증정보가 서로 상응하는지를 판단하는 단계를 포함하는 본인인증방법.
11. The method according to claim 10, wherein the authentication system authenticates the client authentication information based on information previously registered,
The authentication system receives the client authentication information based on at least one of the identification information of the digital system or the identification information of the application, identifies authentication authentication information corresponding to the received client authentication information, And determining whether the information and the received client authentication information correspond to each other.
A computer program installed in a data processing apparatus and recorded for performing the method according to any one of claims 1 to 16.
상기 디지털 시스템 또는 상기 디지털 시스템에 설치되는 애플리케이션의 인증을 위한 클라이언트 인증정보를 인증을 수행할 인증 시스템으로 전송하기 위한 통신모듈;
비활성화된 상태의 보호모듈; 및
제어모듈을 포함하며,
상기 제어모듈은,
상기 인증 시스템에 의해 상기 클라이언트 인증정보가 인증된 경우 상기 통신모듈을 통해 상기 인증 시스템으로부터 상기 애플리케이션의 적어도 일부의 보호모듈을 활성화할 수 있는 활성화 정보를 수신하고,
수신한 활성화 정보에 기초하여 비활성화되어 있는 상기 보호모듈을 활성화하며,
활성화된 상기 보호모듈을 통해 인증요청을 인증하기 위한 인증정보를 포함하는 확인신호가 생성되면, 생성된 확인신호를 상기 인증 시스템으로 전송하며,
상기 인증 시스템에 의해,
전송된 확인신호에 포함된 인증정보가 인증되는 인증확인절차가 수행되며, 상기 인증확인절차가 성공하여야 소정의 데이터 처리장치 또는 상기 디지털 시스템으로부터 상기 인증 시스템 또는 상기 인증 시스템과 연결된 서비스 시스템으로 출력된 상기 인증요청이 성공 처리되는 것을 특징으로 하는 본인인증을 수행하는 디지털 시스템.
In a digital system for performing authentication,
A communication module for transmitting client authentication information for authentication of the digital system or an application installed in the digital system to an authentication system to be authenticated;
A protection module in a deactivated state; And
A control module,
The control module includes:
Receiving activation information enabling activation of at least a portion of the protection module of the application from the authentication system via the communication module when the client authentication information is authenticated by the authentication system,
Activates the protection module that is inactivated based on the received activation information,
When an authentication signal including authentication information for authenticating an authentication request is generated through the activated protection module, transmits the generated authentication signal to the authentication system,
By the authentication system,
An authentication confirmation process is performed in which the authentication information included in the transmitted confirmation signal is authenticated, and if the authentication confirmation process is successful, the authentication information is output from the predetermined data processing device or the digital system to the authentication system or the service system connected to the authentication system And the authentication request is successfully processed.
인증요청을 수행하는 사용자의 디지털 시스템 또는 상기 디지털 시스템에 설치되는 애플리케이션의 클라이언트 인증정보를 상기 디지털 시스템으로부터 수신하는 통신부;
상기 디지털 시스템 또는 상기 애플리케이션에 대한 정보가 등록되어 있는 DB;
상기 클라이언트 인증정보를 상기 DB에 미리 등록되어 있는 정보에 기초하여 인증하고, 상기 클라이언트 인증정보의 인증이 성공한 경우 상기 애플리케이션의 적어도 일부의 보호모듈을 활성화할 수 있는 활성화 정보를 상기 통신부를 통해 상기 디지털 시스템으로 전송하기 위한 클라이언트 인증부; 및
전송한 상기 활성화 정보에 기초하여 상기 디지털 시스템에서 비활성화되어 있는 상기 보호모듈이 활성화되고 활성화된 상기 보호모듈을 통해 상기 인증요청의 인증을 위한 인증정보를 포함하는 확인신호가 생성되어 수신되면, 상기 확인신호에 포함된 인증정보가 인증되는 인증확인절차를 수행하는 제어부를 포함하며,
상기 제어부는,
상기 인증확인절차가 성공하여야 소정의 데이터 처리장치 또는 상기 디지털 시스템으로부터 상기 인증 시스템 또는 상기 인증 시스템과 연결된 서비스 시스템으로 출력된 상기 인증요청을 성공 처리하는 인증 시스템.
An authentication system for performing authentication of a person,
A communication unit for receiving client authentication information of a digital system of a user performing an authentication request or an application installed in the digital system;
A DB in which information about the digital system or the application is registered;
Wherein the client authentication information is authenticated based on information previously registered in the DB and activation information enabling activation of at least a part of the protection module of the application when authentication of the client authentication information is successful is transmitted to the digital A client authentication unit for transferring the data to the system; And
If an acknowledgment signal including authentication information for authenticating the authentication request is generated and received through the protection module activated and activated by the protection module inactivated in the digital system based on the transmitted activation information, And a control unit for performing an authentication check procedure in which authentication information included in the signal is authenticated,
Wherein,
Wherein the authentication process succeeds in processing the authentication request output from the predetermined data processing apparatus or the digital system to the authentication system or the service system connected with the authentication system.
상기 디지털 시스템으로 전송할 일회용 서버 생성키를 생성하기 위한 키 생성부를 더 포함하며,
상기 인증정보는,
적어도 상기 키 생성부에 의해 생성되어 상기 디지털 시스템으로 전송된 서버 생성키에 기초하여 생성되며, 선택적으로 상기 디지털 시스템의 식별정보, 상기 애플리케이션의 식별정보, 인증이 성공될 경우 수행될 거래의 거래정보, 또는 사용자를 인증할 수 있는 사용자 인증정보 중 적어도 하나에 더 기초하여 생성되는 정보인 것을 특징으로 하는 인증 시스템.
20. The system of claim 19,
Further comprising a key generation unit for generating a disposable server generation key to be transmitted to the digital system,
The authentication information includes:
Generating at least a server generation key generated by the key generation unit and transmitted to the digital system, and selectively generating identification information of the digital system, identification information of the application, transaction information of a transaction to be performed when authentication is successful , Or user authentication information capable of authenticating a user.
상기 인증정보에 상응하는 확인용 인증정보를 특정하고, 특정된 확인용 인증정보와 상기 인증정보가 상응하는지를 판단하여 상기 인증확인절차를 수행하며,
상기 인증정보가 상기 거래정보에 기초하여 생성되는 정보일 경우,
상기 인증 시스템 또는 상기 서비스 시스템에 의해 실행될 실행 거래정보에 기초하여 상기 확인용 인증정보를 특정하는 인증 시스템.
21. The apparatus of claim 20,
Wherein the information processing apparatus identifies authentication authentication information corresponding to the authentication information, determines whether the specified authentication authentication information and the authentication information correspond to each other,
When the authentication information is information generated based on the transaction information,
And specifies the authentication authentication information based on the authentication system or execution transaction information to be executed by the service system.
상기 디지털 시스템에 암호화된 상태로 저장되어 있는 상기 보호모듈을 복호화할 복호화 키를 상기 활성화 정보에 포함시켜 전송하는 인증 시스템.
20. The apparatus according to claim 19,
Wherein the activation information includes a decryption key for decrypting the protection module stored in an encrypted state in the digital system.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150012866A KR101584219B1 (en) | 2015-01-27 | 2015-01-27 | Authentication method, digital system, and authentication system thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150012866A KR101584219B1 (en) | 2015-01-27 | 2015-01-27 | Authentication method, digital system, and authentication system thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101584219B1 true KR101584219B1 (en) | 2016-01-11 |
Family
ID=55169882
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020150012866A KR101584219B1 (en) | 2015-01-27 | 2015-01-27 | Authentication method, digital system, and authentication system thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101584219B1 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070112532A (en) | 2006-05-22 | 2007-11-27 | 삼성전자주식회사 | Liquid crystal display and manufacturing method thereof |
KR20110014652A (en) | 2008-07-09 | 2011-02-11 | 존 랜돌프 홀랜드 | Systems and methods for supporting tanks in a cargo ship |
KR20130123985A (en) | 2012-05-04 | 2013-11-13 | 사단법인 금융보안연구원 | Saftey authentification service system and method using near field communication |
JP2014072843A (en) * | 2012-10-01 | 2014-04-21 | Sakura Information Systems Co Ltd | One-time password device, system and program |
KR20140090408A (en) * | 2013-01-09 | 2014-07-17 | 주식회사 제이컴정보 | Mobile Device Lock System and Method for Security |
-
2015
- 2015-01-27 KR KR1020150012866A patent/KR101584219B1/en active IP Right Grant
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070112532A (en) | 2006-05-22 | 2007-11-27 | 삼성전자주식회사 | Liquid crystal display and manufacturing method thereof |
KR20110014652A (en) | 2008-07-09 | 2011-02-11 | 존 랜돌프 홀랜드 | Systems and methods for supporting tanks in a cargo ship |
KR20130123985A (en) | 2012-05-04 | 2013-11-13 | 사단법인 금융보안연구원 | Saftey authentification service system and method using near field communication |
JP2014072843A (en) * | 2012-10-01 | 2014-04-21 | Sakura Information Systems Co Ltd | One-time password device, system and program |
KR20140090408A (en) * | 2013-01-09 | 2014-07-17 | 주식회사 제이컴정보 | Mobile Device Lock System and Method for Security |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9860245B2 (en) | System and methods for online authentication | |
RU2710897C2 (en) | Methods for safe generation of cryptograms | |
US8943311B2 (en) | System and methods for online authentication | |
JP5066827B2 (en) | Method and apparatus for authentication service using mobile device | |
CN106875173B (en) | Method for authenticating transaction | |
US11086978B2 (en) | Transaction authentication by a token, contingent on personal presence | |
JP5619007B2 (en) | Apparatus, system and computer program for authorizing server operation | |
US8869238B2 (en) | Authentication using a turing test to block automated attacks | |
CN112425114B (en) | Password manager protected by public key-private key pair | |
US9055061B2 (en) | Process of authentication for an access to a web site | |
WO2009065154A2 (en) | Method of and apparatus for protecting private data entry within secure web sessions | |
KR101498120B1 (en) | Digital certificate system for cloud-computing environment and method thereof | |
KR20140011924A (en) | Digital system for pair user authentication, authentication system, and providing method thereof | |
KR101584219B1 (en) | Authentication method, digital system, and authentication system thereof | |
KR20150089960A (en) | Authentication method, digital system, and authentication system thereof | |
Razumov et al. | Ensuring the security of web applications operating on the basis of the SSL/TLS protocol | |
KR20150077379A (en) | Method for authentication using user apparatus, digital system, and authentication system thereof | |
KR20160087519A (en) | Authentication method for financial transaction, transaction apparatus, authentication apparatus, and financial transaction system | |
WO2009018685A1 (en) | The device and the method of encrypting and authenticating against trojan horse with one time key | |
Matei-Dimitrie | Multi-factor authentication. An extended overview | |
KR20160099766A (en) | Secure payment method, digital system, and payment system thereof | |
KR20160099767A (en) | Secure payment method, digital system, and payment system thereof | |
KR20140047058A (en) | Digital certificate system for cloud-computing environment and providing method thereof | |
KR101410969B1 (en) | Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof | |
KR20160087518A (en) | Authentication method for financial transaction, transaction apparatus, authentication apparatus, and financial transaction system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20181226 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20200103 Year of fee payment: 5 |