KR20150059643A - Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof - Google Patents
Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof Download PDFInfo
- Publication number
- KR20150059643A KR20150059643A KR1020150060013A KR20150060013A KR20150059643A KR 20150059643 A KR20150059643 A KR 20150059643A KR 1020150060013 A KR1020150060013 A KR 1020150060013A KR 20150060013 A KR20150060013 A KR 20150060013A KR 20150059643 A KR20150059643 A KR 20150059643A
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- authentication request
- terminal
- request
- user
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Description
본 발명은 비대칭 암호화 방식의 인증 제어방법 및 그 시스템에 관한 것으로, 보다 상세하게는 비대칭 암호화 방식을 통한 인증을 수행할 때 인증이 가능한 상황을 제한적으로 설정함으로써 보안성을 높일 수 있는 인증 제어방법 및 그 시스템에 관한 것이다. The present invention relates to an authentication control method and system for asymmetric cryptography, and more particularly, to an authentication control method and an authentication control method for improving security by limiting a situation in which authentication can be performed when performing authentication using an asymmetric cryptosystem, Lt; / RTI >
특히 인증을 수행하는 시스템이 집중되어 있는 환경(예컨대, 공인 인증서를 이용한 인증 등)에 적합한 인증 제어방법 및 그 시스템에 관한 것이다.
And more particularly to an authentication control method and system suitable for an environment in which a system for performing authentication is concentrated (for example, authentication using an official certificate, etc.).
네트워크의 발달로 인해 많은 사람이 네트워크 시스템에 접속하여 다양한 서비스 또는 기능들을 이용하고 있다. 이러한 다양한 서비스를 이용하면서 서비스를 요청하는 사용자의 정당성을 인증하는 것에 대한 중요성은 갈수록 커지고 있다.Due to the development of the network, many people access the network system and use various services or functions. The importance of authenticating the legitimacy of a user requesting a service using these various services is becoming more and more important.
이러한 사용자의 정당성의 인증 즉, 서비스를 요청하는 자가 상기 서비스의 사용을 허락받은 정당한 사용자임을 인증하는 방식으로는 대칭 암호화 방식 및 비대칭 암호화 방식이 있다.There are a symmetric cryptosystem and an asymmetric cryptosystem for authenticating the validity of the user, that is, a method of authenticating that the requestor is a legitimate user permitted to use the service.
대칭형 암호화 방식은 동일한 키를 공유하고 있는 양당사자 간에 인증을 수행하는 방식으로 종래의 다양한 인증방식(예컨대, 비밀번호, 비밀패턴, 생체정보 등)에 이용되어 왔다. 하지만 이러한 대칭형 암호화 방식이 갖는 상대적인 보안상의 취약점으로 인해 최근에는 비대칭형 암호화 방식을 이용한 사용자 인증이 널리 이용되고 있다. Symmetric encryption schemes have been used for various conventional authentication schemes (e.g., passwords, secret patterns, biometric information, etc.) in a manner of performing authentication between two parties sharing the same key. However, due to the relative security weakness of the symmetric encryption method, user authentication using an asymmetric encryption method is widely used.
비대칭형 암호화 방식은 서로 다른 키를 가지고 있는 양당사자간에 인증을 수행하는 방식으로, 현재 전자상거래 등에 널리 사용되는 공인인증서 등을 이용한 사용자 인증이 그 대표적인 일예라 할 수 있다. The asymmetric encryption method is a method of performing authentication between two parties having different keys. User authentication using a public key certificate widely used in electronic commerce or the like is a representative example.
비대칭형 암호화 방식의 일예로 서로 쌍을 이루는 공개키와 개인키를 이용하여 양당사자를 인증하는 방식이 존재하는데, 이러한 비대칭 암호화 방식은 공개키만을 제3자에게 공유하고 개인키는 별도로 타인에게 유통할 필요가 없어서, 상대적으로 대칭키를 타인에게 유통해야 하는 대칭형 암호화 방식에 비해 상대적으로 보안성이 높은 방식으로 알려져 있다. There is a method of authenticating both parties using a public key and a private key which are paired with each other in an asymmetric encryption scheme. In this asymmetric encryption scheme, only a public key is shared by a third party, It is known that it is relatively secure compared to the symmetric encryption method in which the symmetric key should be distributed to the other person.
하지만, 이러한 비대칭 암호화 방식 역시 공격자(예컨대, 해커 등)에 의해 부정하게 인증이 성공하는 사례가 빈번히 발생하고 있어서 그 피해는 매우 심각한 수준에 이르고 있다. 비대칭 암호화 방식의 보안성의 취약점으로는 개인키가 한번 유출되면, 더 이상 정상적인 인증 기능을 수행하지 못한다는 데에 있다. However, such an asymmetric encryption method is also frequently encountered in an unauthorized authentication success by an attacker (for example, a hacker), and the damage is very serious. A weakness of the asymmetric cryptographic security is that once the private key is leaked, it can no longer perform normal authentication functions.
그런데 최근 들어 모바일 디바이스(예컨대, USB 저장장치, 스마트 폰 등)의 다양화로 인해 개인키 자체를 저장하고 있는 디바이스가 다양해지고 있어서 개인키(예컨대, 공인인증서 등) 자체가 유출될 위험이 매우 증가하고 있는 실정이다. 또한, 비록 개인키 자체가 암호화된 상태로 다양한 디바이스들에 저장되고는 있지만, 암호화된 개인키로부터 개인키를 추출하기 위한 패스워드가 다양한 공격기법(예컨대, 키 로깅(key logging), 메모리 해킹, 피싱(pishing) 또는 파밍(pharming) 등)에 의해 노출될 가능성이 있다. 따라서 설령 암호화되어 있더라도 개인키 자체가 유출되는 경우에는 심각한 보안상의 위협이 될 수 있다. 특히 개인키를 보관하는 디바이스가 다수화 또는 다양화됨으로 인해 위험은 배가 되고 있는 실정이다.[0003] However, due to diversification of mobile devices (for example, USB storage devices, smart phones, etc.) in recent years, the number of devices storing the private keys themselves has been diversified and the risk of leakage of private keys In fact. Also, although the private key itself is stored in various devices in an encrypted state, the password for extracting the private key from the encrypted private key may be used for various attack techniques (e.g., key logging, memory hacking, (e.g., piling or pharming). Therefore, if the private key itself is leaked even if it is encrypted, it could be a serious security threat. Especially, the number of devices that store private keys is increased or diversified.
더구나, 비대칭 암호화 방식 중 대표적으로 많이 쓰이고 있는 공인인증서는 금융기관의 금융거래 또는 전자상거래 등과 같이 다양한 용도에 범용적으로 사용될 수 있는 환경으로 설계가 되어 있고, 이로 인해 거래 상대방 또는 전자서명을 인증하는 주체가 개인이라기보다는 공인된 기관 또는 주체에 의해 수행된다는 특징이 있다. 따라서 공인인증서를 이용한 인증의 경우에는, 제한된 개인들끼리 서로를 인증하기 위한 환경이 아니라, 인증측에서는 다수의 불특정 사용자를 인증하게 되므로 특히 개인키를 포함하고 있는 인증서가 유출되는 경우에는 매우 심각한 보안상의 위협이 된다. In addition, the authentication certificate, which is widely used among asymmetric encryption schemes, is designed as an environment that can be universally used for various purposes such as financial transactions or e-commerce transactions of financial institutions. As a result, It is characterized by the subject being performed by an authorized body or entity rather than by an individual. Therefore, in the case of authentication using a public certificate, rather than an environment for mutually authenticating each other, the authentication side authenticates a large number of unspecified users. Therefore, when a certificate including a private key is leaked, It becomes a threat.
즉, 공격자는 사용자의 공인인증서 및 공인인증서의 인증 비밀번호까지 획득하게 되면 언제든지 상기 사용자를 사칭한 전자서명을 할 수 있게 된다. 그리고 공인인증서 및 인증 비밀번호가 탈취되고 사용자를 사칭한 공격자의 공격이 발생하는 경우, 이에 대해 방어를 할 수 있는 방법이 마땅히 마련되지 못하고 있는 실정이다.That is, if the attacker obtains the authentication certificate of the user's public key certificate and the public key certificate, the attacker can electronically sign the user at any time. In addition, if the authentication certificate and the authentication password are captured and an attack by an attacker who masquerades as a user occurs, a method to defend against the attack is inadequate.
이러한 문제점을 해결하기 위해 공인인증서를 재발급할 수 있는 단말기를 특정 단말기(지정 단말기)로 제한하는 방식이 강제적으로 시행되고 있기도 하다. 하지만 이러한 방식 역시 이미 공인인증서가 탈취된 상태이고, 정당 사용자가 이를 인지하지 못하거나 공인인증서를 재발급 받지 않는 경우에는 부정 인증을 막지 못하는 문제점이 여전히 존재하게 된다.
In order to solve such a problem, a method of restricting a terminal that can reissue an authorized certificate to a specific terminal (designated terminal) has been forcibly carried out. However, this method also has a problem that the authorized certificate is already captured, and the authorized user can not prevent the unauthorized authentication if the user does not recognize it or if the authorized certificate is not reissued.
따라서 본 발명이 이루고자 하는 기술적인 과제는 비대칭 암호화 방식을 통한 인증방법에 있어서, 인증을 수행하겠다는 의사표시를 정당한 사용자가 명시적으로 수행한 경우에만 제한적으로 상기 인증이 수행될 수 있도록 함으로써, 개인키가 유출된 경우에도 이러한 의사표시가 없는 경우에는 인증이 수행되지 않도록 하는 방법 및 시스템을 제공하는 것이다.SUMMARY OF THE INVENTION The present invention has been made in view of the above problems, and it is an object of the present invention to provide an authentication method using asymmetric cryptography, which can perform authentication only when a legitimate user explicitly performs an authentication, And to prevent the authentication from being performed in the case where there is no such indication.
또한, 이러한 의사표시를 비교적 간단하면서도 보안성이 높은 방식으로 정당한 사용자가 서비스 제어시스템에 전달할 수 있는 방법 및 시스템을 제공하는 것이다. It is also an object of the present invention to provide a method and system by which a legitimate user can transmit such a pseudo indication to a service control system in a relatively simple and highly secure manner.
또한, 인증요청 중에서도 특정 조건(예컨대, 필터링 조건)을 만족하는 요청에 대해서만 선택적으로 본 발명의 기술적 사상이 적용될 수 있도록 함으로써, 사용자의 인증 이용 형태에 맞추어 적응적으로 본 발명의 기술적 사상에 따른 보안 정책을 설정할 수 있는 방법 및 시스템을 제공하는 것이다.In addition, by selectively allowing the technical idea of the present invention to be applied only to a request satisfying a specific condition (for example, a filtering condition) among the authentication requests, the security according to the technical idea of the present invention And to provide a method and system for setting a policy.
또한, 사용의사를 표현하는데 사용되는 단말기를 인증을 요청하는 장치와 별개의 사용자 명의의 단말기로 설정할 수 있도록 함으로써, 인증을 요청하는 장치가 공격을 당하는 경우에 허위의 사용의사를 표현하는 것을 차단할 수 있으며, 2팩터 인증 또는 그 이상의 보안성이 높은 인증이 수행될 수 있도록 하는 방법 및 시스템을 제공하는 것이다.
In addition, by allowing the terminal used for expressing the intention to use to be set as a terminal of a user name different from the device requesting authentication, it is possible to prevent expressing false intention to use when an authentication requesting device is attacked And to provide a method and system for allowing two-factor authentication or higher-security authentication to be performed.
상기 기술적 과제를 해결하기 위한 본 발명의 실시 예에 따른 비대칭 암호화 방식의 인증 제어방법은 인증제어시스템이, 인증요청 장치로부터 출력된 비대칭 암호화방식을 이용한 인증요청을 수신하는 단계 및 상기 인증제어시스템이, 수신된 상기 인증요청을 소정의 인증조건의 만족여부에 따라 선택적으로 인증기관 시스템으로 전송함으로써 상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 단계를 포함하며, 상기 인증조건은 상기 인증요청에 상응하는 사용자의 단말기로부터 상기 단말기에 소정의 이벤트가 발생한 경우에 출력되는 이벤트 발생신호가 수신되는지 여부인 것을 특징으로 한다.According to another aspect of the present invention, there is provided an authentication control method of an asymmetric encryption scheme, the authentication control system comprising: receiving an authentication request using an asymmetric encryption scheme output from an authentication requesting apparatus; And performing authentication control so that authentication corresponding to the authentication request is selectively performed by selectively transmitting the received authentication request to the certification authority system according to whether the predetermined authentication condition is satisfied, And whether an event generation signal output when a predetermined event occurs in the terminal is received from a user terminal corresponding to the authentication request.
상기 비대칭 암호화 방식의 인증 제어방법은 상기 인증제어시스템이 상기 인증요청을 수신하기 전에 상기 이벤트 발생신호를 상기 단말기로부터 수신하는 단계를 더 포함하며, 상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 단계는, 상기 인증제어시스템이 상기 이벤트 발생신호에 기초하여 설정되는 소정의 인증 가능기간 내에 상기 인증요청이 수신되어야 상기 인증조건을 만족했다고 판단하는 단계를 포함할 수 있다.Wherein the authentication control method of the asymmetric encryption scheme further comprises receiving the event generation signal from the terminal before the authentication control system receives the authentication request, The step of performing the control may include the step of determining that the authentication control system has satisfied the authentication condition if the authentication request is received within a predetermined authentication period in which the authentication control system is set based on the event generation signal.
상기 인증 가능기간은 상기 이벤트 발생신호가 상기 인증제어시스템으로 수신된 시점 또는 상기 이벤트가 발생한 시점으로부터 미리 결정된 기간 내이거나, 상기 단말기로부터 입력된 소정의 기간정보에 상응하는 기간인 것을 특징으로 할 수 있다.Wherein the authentication enable period is a period within a predetermined period from when the event generation signal is received by the authentication control system or when the event occurs or is a period corresponding to predetermined period information input from the terminal have.
상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 단계는 상기 인증제어시스템이 상기 인증 가능기간에 복수의 인증요청이 수신되어도, 미리 결정된 우선순위에 해당하는 인증요청에 대해서만 인증제어를 수행하는 것을 특징으로 할 수 있다.Wherein the step of performing the authentication control so that the authentication corresponding to the authentication request is selectively performed includes performing authentication control only for the authentication request corresponding to the predetermined priority even if a plurality of authentication requests are received during the authentication- And the like.
상기 비대칭 암호화 방식의 인증 제어방법은 상기 인증제어시스템 또는 상기 인증요청을 위해 상기 인증 요청장치에 설치된 인증서 클라이언트가 상기 이벤트의 실행을 상기 단말기 또는 상기 인증 요청장치에 요청하는 단계 및 상기 요청에 응답하여 상기 인증제어시스템은 상기 단말기로부터 상기 이벤트 발생신호를 수신하는 단계를 더 포함할 수 있다.Wherein the authentication control method of the asymmetric encryption method comprises the steps of: requesting, by the authentication control system or the certificate client installed in the authentication request apparatus for the authentication request, the execution of the event to the terminal or the authentication request apparatus; The authentication control system may further include receiving the event generation signal from the terminal.
상기 비대칭 암호화 방식의 인증 제어방법은 상기 인증제어시스템이 수신된 상기 이벤트 발생신호에 기초하여 인증이 허용될 상기 사용자를 특정하는 단계를 더 포함하며, 상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 단계는 상기 인증요청이 특정된 상기 사용자에 상응하여야, 상기 인증요청에 대한 인증제어를 수행하는 단계를 포함할 수 있다.Wherein the authentication control method of the asymmetric encryption method further includes the step of specifying the user to be permitted to be authenticated based on the event generation signal received by the authentication control system, The step of performing the authentication control may include performing authentication control for the authentication request, the authentication request corresponding to the user specified.
상기 인증제어시스템이 수신된 상기 이벤트 발생신호에 기초하여 인증이 허용될 상기 사용자를 특정하는 단계는 상기 인증제어시스템이 상기 이벤트 발생신호를 전송한 상기 단말기의 명의자를 상기 사용자로 특정하는 단계 또는 상기 인증제어시스템이 상기 이벤트의 발생을 위해 상기 단말기와 근거리 무선통신을 수행하는 근거리 무선통신장치의 명의자를 상기 사용자로 특정하는 단계를 포함할 수 있다.Wherein the step of specifying the user to be permitted to be authenticated based on the event generation signal received by the authentication control system includes the step of specifying, by the user, the name of the terminal to which the authentication control system has transmitted the event generation signal, And the authentication control system may identify the name of the short range wireless communication device for performing short range wireless communication with the terminal for the generation of the event as the user.
상기 비대칭 암호화 방식의 인증 제어방법은 상기 인증제어시스템이 수신된 상기 인증요청이 미리 설정된 필터링 조건을 만족하는지를 판단하는 단계를 더 포함하며, 상기 인증제어시스템은 상기 필터링 조건을 만족하는 인증요청에 대해서만 인증조건을 만족하여야 상기 인증요청을 상기 인증기관 시스템으로 전송하는 상기 인증제어를 수행하고, 상기 필터링 조건을 만족하지 않는 인증요청에 대해서는 상기 인증조건의 만족여부와 무관하게 상기 인증요청을 상기 인증기관 시스템으로 전송할 수 있다.Wherein the authentication control method of the asymmetric encryption scheme further includes a step of determining whether the authentication request received by the authentication control system satisfies a predetermined filtering condition, Wherein the authentication control unit performs the authentication control to transmit the authentication request to the certification authority system when the authentication condition is satisfied, and for the authentication request that does not satisfy the filtering condition, System.
상기 필터링 조건은 상기 인증 요청장치의 속성, 상기 인증 요청장치와 연결된 서비스 시스템의 속성, 인증요청 시간, 또는 상기 인증요청에 상응하는 금액 중 적어도 하나에 의해 결정되는 것을 특징으로 할 수 있다.The filtering condition may be determined by at least one of an attribute of the authentication requesting apparatus, an attribute of a service system connected to the authentication requesting apparatus, an authentication request time, or an amount corresponding to the authentication request.
상기 특정 이벤트는 상기 단말기와 소정의 근거리 무선통신장치가 근거리 무선통신을 하는 이벤트 또는 상기 단말기 또는 상기 단말기와 유무선 네트워크를 통해 연결된 소정의 인증시스템에 의해 상기 사용자가 인증되는 이벤트 중 적어도 하나를 포함하는 것을 특징으로 할 수 있다.The specific event includes at least one of an event in which the terminal and a predetermined local area wireless communication apparatus perform near field wireless communication or an event in which the user is authenticated by a predetermined authentication system connected to the terminal or the terminal via a wired / wireless network . ≪ / RTI >
상기 단말기는 상기 인증요청 장치와는 별개의 상기 사용자의 단말기인 것을 특징으로 할 수 있다. 상기 비대칭 암호화 방식의 인증 제어방법은 프로그램을 기록한 컴퓨터 판독가능한 기록매체에 기록될 수 있다.The terminal may be the user terminal different from the authentication requesting apparatus. The authentication control method of the asymmetric encryption scheme can be recorded in a computer-readable recording medium on which the program is recorded.
상기 기술적 과제를 해결하기 위한 인증제어 시스템은 인증요청 장치로부터 출력된 인증요청을 수신하기 위한 요청 처리부, 상기 인증요청에 상응하는 사용자의 단말기로부터 상기 단말기에 소정의 이벤트가 발생한 경우에 출력되는 이벤트 발생신호를 수신하기 위한 이벤트 처리부, 상기 이벤트 발생신호가 수신되는지 여부에 따라 소정의 인증조건의 만족여부를 판단하는 판단부, 및 상기 인증조건의 만족여부에 따라 상기 인증요청을 선택적으로 인증기관 시스템으로 전송함으로써 상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 제어부를 포함한다.According to an aspect of the present invention, there is provided an authentication control system including a request processing unit for receiving an authentication request output from an authentication requesting apparatus, an event processing unit for generating an event output when a predetermined event occurs in the terminal, A determination unit for determining whether a predetermined authentication condition is satisfied according to whether or not the event generation signal is received; and a determination unit for selectively receiving the authentication request according to whether the authentication condition is satisfied And performing authentication control so that authentication corresponding to the authentication request is selectively performed by transmitting the authentication request.
상기 이벤트 처리부는 상기 인증요청을 수신하기 전에 상기 이벤트 발생신호를 상기 단말기로부터 수신하며, 상기 판단부는 상기 이벤트 발생신호에 기초하여 설정되는 소정의 인증 가능기간 내에 상기 인증요청이 수신되어야 상기 인증조건을 만족했다고 판단할 수 있다.Wherein the event processing unit receives the event generation signal from the terminal before receiving the authentication request, and the determination unit determines that the authentication request is not received within a predetermined authentication period that is set based on the event generation signal, It can be judged satisfactory.
상기 제어부는 상기 인증 가능기간에 수신된 복수의 인증요청 중 미리 결정된 우선순위에 해당하는 인증요청만 상기 인증기관 시스템으로 전송하는 것을 특징으로 할 수 있다.The control unit transmits only the authentication request corresponding to the predetermined priority among the plurality of authentication requests received in the authentication enabling period to the certification authority system.
상기 이벤트 처리부는 상기 인증요청 장치에 설치된 인증서 클라이언트 또는 상기 단말기에 설치된 클라이언트 시스템을 통해 상기 이벤트의 실행을 요청하고, 상기 요청에 응답하여 상기 단말기로부터 상기 이벤트 발생신호를 수신할 수 있다.The event processing unit may request execution of the event through a certificate client installed in the authentication requesting apparatus or a client system installed in the terminal, and may receive the event generating signal from the terminal in response to the request.
상기 판단부는 수신된 상기 이벤트 발생신호에 기초하여 인증이 허용될 상기 사용자를 특정하고, 상기 제어부는 상기 인증요청이 특정된 상기 사용자에 상응하여야, 상기 인증요청에 대한 인증제어를 수행할 수 있다.The determination unit specifies the user to be permitted to be authenticated based on the received event generation signal, and the control unit can perform authentication control for the authentication request so that the authentication request should correspond to the specified user.
상기 판단부는 수신된 상기 인증요청이 미리 설정된 필터링 조건을 만족하는지를 판단하고, 상기 제어부는 상기 필터링 조건을 만족하는 인증요청에 대해서만 인증조건을 만족하여야 상기 인증요청을 상기 인증기관 시스템으로 전송하는 상기 인증제어를 수행하고, 상기 필터링 조건을 만족하지 않는 인증요청에 대해서는 상기 인증조건의 만족여부와 무관하게 상기 인증요청을 상기 인증기관 시스템으로 전송할 수 있다.
Wherein the determination unit determines whether the received authentication request satisfies a predetermined filtering condition, and the control unit determines that the authentication request satisfies the filtering condition only if the authentication request satisfies the filtering condition, And may transmit the authentication request to the certification authority system regardless of whether the authentication condition is satisfied or not for the authentication request that does not satisfy the filtering condition.
본 발명의 기술적 사상에 의하면, 사용자가 인증을 수행하겠다는 의사를 밝히는 경우에만(예컨대, 사용자의 단말기에 특정 이벤트가 발생한 경우에만) 인증이 가능하도록 함으로써, 부정한 사용자에게 인증을 받을 수 있는 가능성을 큰 폭으로 줄일 수 있는 효과가 있다.According to the technical idea of the present invention, it is possible to perform authentication only when a user indicates an intention to perform authentication (for example, only when a specific event occurs in a terminal of a user) Width can be reduced.
또한, 사용자가 인증 수행 의사를 사용자 명의의 장치(예컨대, 핸드폰 및/또는 IC 카드, OTP장치 등)를 적어도 하나 소지하고 있거나, 또는 사용자 본인의 생체정보를 통해서만 밝힐 수 있도록 함으로써, 다중 팩터 인증(2팩터 인증 또는 3팩터 인증 등)이 가능한 효과가 있다. 즉, 공격자가 온라인 등을 통해 공인인증서 등의 개인키를 탈취하고 있더라도 정당 사용자의 인증 수행 의사를 밝힐 수 있는 장치(예컨대, 단말기)를 소지할 수 없으므로 공격자가 인증이 성공하는 것을 방어할 수 있는 효과가 있다. Further, by allowing the user to have at least one device (e.g., a cell phone and / or an IC card, an OTP device, etc.) of the user's name or to disclose only through the biometric information of the user, Two-factor authentication, three-factor authentication, etc.). That is, even if an attacker seizes a private key such as a public certificate through online or the like, the attacker can not possess a device (e.g., a terminal) capable of disclosing an intention to perform authentication of the party user, It is effective.
또한, 본 발명의 기술적 사상에 따르면 개인키가 유출되는 경우라도 인증기관 또는 인증기관의 전단에서 한번 더 인증이 수행되는 효과가 있으므로, 인증의 수행이 중앙집중식으로 이루어질 수 있는 환경에 특히 유리하게 적용될 수 있는 효과가 있다. Also, according to the technical idea of the present invention, even if a private key is leaked, authentication is performed once more at the front end of the certification authority or the certification authority, so that it is particularly advantageously applied to an environment in which authentication can be performed centrally There is an effect that can be.
또한, 특정 조건에 해당하는 인증요청에 대해서만 선택적으로 본 발명의 기술적 사상을 적용할 수 있으므로, 사용자는 자신의 인증이용 행태에 따라 적응적인 보안정책의 설정이 가능하며 서비스 이용에도 불편함을 줄일 수 있는 효과가 있다. In addition, since the technical idea of the present invention can be selectively applied only to the authentication request corresponding to a specific condition, the user can set an adaptive security policy according to his / her own authentication use behavior and can reduce the inconvenience to use the service There is an effect.
또한, 인증을 수행하겠다는 의사표시가 근거리 무선통신인 경우, 간단히 근거리 무선통신을 통해 상기 인증 수행 의사를 밝힐 수 있으므로, 사용자의 입장에서도 절차적으로 간편한 효과가 있다.
Also, in the case of a short-distance wireless communication in which the intention to perform the authentication is to be performed, the intention to perform the authentication through short-distance wireless communication can be easily revealed.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도1은 본 발명의 실시 예에 따른 비대칭 암호화 방식의 인증 제어방법을 위한 개략적인 시스템을 나타낸다.
도2는 본 발명의 실시 예에 따른 필터링 조건을 설명하기 위한 도면이다.
도3은 본 발명의 실시 예에 따른 인증제어시스템의 개략적인 구성을 설명하기 위한 도면이다.
도4는 본 발명의 일 실시 예에 따른 클라이언트 시스템의 개략적인 구성을 설명하기 위한 도면이다.
도5는 본 발명의 일 실시 예에 따른 비대칭 암호화 방식의 인증 제어방법의 개략적인 과정을 설명하기 위한 플로우차트이다.
도6은 본 발명의 다른 실시 예에 따른 비대칭 암호화 방식의 인증 제어방법의 개략적인 과정을 설명하기 위한 플로우차트이다.BRIEF DESCRIPTION OF THE DRAWINGS A brief description of each drawing is provided to more fully understand the drawings recited in the description of the invention.
1 shows a schematic system for an authentication control method of an asymmetric encryption scheme according to an embodiment of the present invention.
2 is a diagram for explaining filtering conditions according to an embodiment of the present invention.
3 is a diagram for explaining a schematic configuration of an authentication control system according to an embodiment of the present invention.
4 is a diagram for explaining a schematic configuration of a client system according to an embodiment of the present invention.
5 is a flowchart illustrating an outline process of an asymmetric encryption method authentication control method according to an embodiment of the present invention.
6 is a flowchart illustrating an outline process of an asymmetric cipher authentication control method according to another embodiment of the present invention.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시 예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.In order to fully understand the present invention, operational advantages of the present invention, and objects achieved by the practice of the present invention, reference should be made to the accompanying drawings and the accompanying drawings which illustrate preferred embodiments of the present invention.
또한, 본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터를 '전송'하는 경우에는 상기 구성요소는 상기 다른 구성요소로 직접 상기 데이터를 전송할 수도 있고, 적어도 하나의 또 다른 구성요소를 통하여 상기 데이터를 상기 다른 구성요소로 전송할 수도 있는 것을 의미한다. Also, in this specification, when any one element 'transmits' data to another element, the element may transmit the data directly to the other element, or may be transmitted through at least one other element And may transmit the data to the other component.
반대로 어느 하나의 구성요소가 다른 구성요소로 데이터를 '직접 전송'하는 경우에는 상기 구성요소에서 다른 구성요소를 통하지 않고 상기 다른 구성요소로 상기 데이터가 전송되는 것을 의미한다.Conversely, when one element 'directly transmits' data to another element, it means that the data is transmitted to the other element without passing through another element in the element.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시 예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, the present invention will be described in detail with reference to the preferred embodiments of the present invention with reference to the accompanying drawings. Like reference symbols in the drawings denote like elements.
본 발명의 기술적 사상은 반드시 비대칭 암호화 방식의 인증시에만 이용되어야 하는 것은 아니며, 어떠한 인증 방식에도 이용될 수 있음은 당업자에게 용이하게 추론될 수 있을 것이다. 이하에서는 설명의 편의를 위해 비대칭 암호화 방식으로 인증을 수행하는 경우를 일 예로 설명하도록 한다.It will be easily understood by those skilled in the art that the technical idea of the present invention is not necessarily used only in the authentication of the asymmetric encryption scheme and can be used in any authentication scheme. Hereinafter, for convenience of description, a case where authentication is performed using an asymmetric encryption method will be described as an example.
도1은 본 발명의 실시 예에 따른 비대칭 암호화 방식의 인증 제어방법을 위한 개략적인 시스템을 나타낸다.1 shows a schematic system for an authentication control method of an asymmetric encryption scheme according to an embodiment of the present invention.
도1을 참조하면, 본 발명의 실시 예에 따른 비대칭 암호화 방식의 인증 제어방법(이하, '인증 제어방법')을 구현하기 위해서는 인증제어시스템(100)이 구비될 수 있다. 상기 인증제어시스템(100)은 소정의 데이터 프로세싱 장치(예컨대, 서버 등)에 설치되어 구현될 수 있다. 상기 인증제어시스템(100)이 상기 데이터 프로세싱 장치에 설치된다고 함은, 상기 인증제어시스템(100)의 기능을 구현하기 위한 소프트웨어가 상기 데이터 프로세싱 장치에 설치되어, 상기 소프트웨어와 상기 데이터 프로세싱 장치의 하드웨어가 유기적으로 결합되어 본 발명의 기술적 사상을 구현함을 의미할 수 있다. Referring to FIG. 1, an
일 실시 예에 의하면, 상기 인증제어시스템(100)은 인증요청이 수신되면, 수신된 인증요청에 대해 비대칭 암호화 방식으로 인증을 수행하는 인증기관 시스템에 설치될 수도 있다. 즉, 상기 인증제어시스템(100)은 인증기관 시스템(40)의 데이터 프로세싱 장치에 설치될 수도 있다. 이러한 경우, 상기 인증제어시스템(100)은 상기 인증기관 시스템(40)과는 동일한 적어도 하나의 물리적 장치를 이용하면서도, 기능적으로는 독립적인 시스템으로 취급될 수 있다. 이러한 경우 상기 인증제어시스템(100)과 상기 인증기관 시스템(40)은 소정의 함수 호출, 클래스(class) 또는 라이브러리(library)의 공유, 파라미터(parameter)의 전달을 통해 필요한 정보 또는 신호를 교환할 수 있다. According to one embodiment, the
물론 구현 예에 따라서는 도1에 도시된 바와 같이 상기 인증제어시스템(100)은 상기 인증기관 시스템(40)과는 별개의 독립적인 데이터 프로세싱 장치에 설치될 수도 있다. 이러한 경우에는 상기 인증제어시스템(100) 즉, 상기 데이터 프로세싱 장치와 상기 인증기관 시스템(40)은 유선 또는 무선 네트워크를 통해 통신을 수행하면서 본 발명의 기술적 사상을 구현할 수 있다. Of course, depending on an implementation, the
또한, 구현 예에 따라서는, 상기 인증제어시스템(100)의 일부의 구성은 상기 인증기관 시스템(40)에 설치되고, 나머지 일부의 구성은 상기 인증기관 시스템(40)과는 별개의 데이터 프로세싱 장치로 구현될 수도 있다. 따라서 본 명세서에서 정의되는 상기 인증제어시스템(100)의 일부의 기능은 상기 인증기관 시스템(40)에서 구현될 수도 있음은 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.Further, according to an embodiment, a configuration of a part of the
이하에서는 설명의 편의를 위해 상기 인증제어시스템(100)은 상기 인증기관 시스템(40)과는 별개의 물리적 장치인 데이터 프로세싱 장치에 설치되어 구현되는 경우를 일예로 설명하지만, 본 발명의 권리범위는 이에 한정되지는 않는다.Hereinafter, for convenience of description, the
이하 본 명세서에서는 설명의 편의를 위해 비대칭 암호화 방식을 이용한 인증의 일예로 공인인증서를 이용하는 경우를 주로 설명하지만, 그 밖에 다양한 비대칭 암호화 방식을 이용한 인증에도 본 발명의 기술적 사상이 적용될 수 있음은 물론이다. Hereinafter, for convenience of description, the case of using the public key certificate as an example of the authentication using the asymmetric encryption scheme will be mainly described, but the technical idea of the present invention can also be applied to the authentication using various asymmetric encryption schemes .
공인인증서를 이용한 인증의 경우에는 인증이 공인된 인증기관 시스템에 의해 수행되므로, 다수의 인증 요청장치(예컨대, 20-1)로부터 출력된 다수의 인증요청은 상기 인증기관 시스템(40)으로 집중되는 구조를 가질 수 있다. 이처럼 인증요청이 특정 주체 또는 특정 시스템으로 집중되는 환경에서 본 발명의 기술적 사상은 더욱 효과적으로 적용될 수 있다. 왜냐하면, 종래의 비대칭 암호화 방식은 개인키는 정당한 사용자만이 소지하고 있다는 가정을 가지며 이러한 가정이 어긋나는 경우(즉, 개인키가 타인에게 유출되는 경우)에는 유효한 인증을 수행할 수 없는 반면, 도1에 도시된 바와 같이 본 발명의 기술적 사상에 의하면 상기 인증기관 시스템(40)으로 인증요청이 집중되는 경우에는 본 발명의 기술적 사상에 의한 인증제어시스템(100)을 통해 중앙집중식으로 추가적인 보안 수단이 구비되는 것과 같은 효과를 얻을 수 있다.In the case of the authentication using the public certificate, since the authentication is performed by the authorized certification authority system, a plurality of authentication requests output from the plurality of authentication requesting devices (for example, 20-1) are concentrated in the
종래에는 소정의 인증요청장치(이하, '요청장치', 20-1)가 소정의 서비스 시스템(예컨대, 10)에 접속하여 서비스(예컨대, 로그인, 전자상거래, 금융거래, 증명서의 발급 등)를 이용하고자 하는 경우, 상기 서비스 시스템(10)은 공인인증서를 이용한 인증(본 명세서에서는 공인인증서를 이용한 전자서명을 포함하는 의미로 정의됨)을 상기 요청장치(예컨대, 20-1)로 요구하였다. 상기 요청장치(예컨대, 20-1)에는 개인키를 포함하는 공인인증서가 저장되어 있거나, 또는 상기 공인인증서를 저장하고 있는 디바이스가 상기 요청장치(예컨대, 20-1)에 연결될 수 있다. 그러면 상기 요청장치(예컨대, 20-1)에는 인증을 위한 인증서 클라이언트가 실행되고, 상기 인증서 클라이언트를 통해 사용자가 인증서의 비밀번호를 입력하면, 상기 인증서 클라이언트는 상기 비밀번호를 이용하여 개인키를 복호화하고 복호화된 개인키를 상기 인증기관 시스템(40)으로 전송할 수 있다. 복호화된 개인키는 상기 인증기관 시스템(40)에 저장된 공개키를 통해 인증이 될 수 있으며, 인증이 성공하면 상기 인증기관 시스템(40)은 상기 요청장치(예컨대, 20-1) 즉, 상기 인증서 클라이언트로 인증이 성공하였음을 통지하게 되고, 상기 인증서 클라이언트는 상기 서비스 시스템(예컨대, 10)으로 인증완료 신호를 전송하거나 전자서명을 하게 된다.Conventionally, a predetermined authentication requesting device (hereinafter referred to as a "requesting device") 20-1 is connected to a predetermined service system (for example, 10) to provide services (for example, login, electronic commerce, financial transactions, The
본 발명의 기술적 사상에 의하면, 상기 요청장치(예컨대, 20-1)로부터 복호화된 개인키를 포함하는 인증요청이 출력되면 상기 인증요청은 요청장치(예컨대, 20-1)와 상기 인증기관 시스템(40) 사이에 존재하는 상기 인증제어시스템(100)으로 전송될 수 있다. 그리고 상기 인증제어시스템(100)은 본 발명의 기술적 사상에 따라 소정의 인증조건이 만족하는 경우에만, 상기 인증요청을 상기 인증기관 시스템(40)으로 전송할 수 있다. 이처럼 본 발명의 기술적 사상에 따라 인증요청이 소정의 인증조건을 만족하는지 여부를 판단하고, 판단결과에 따라 선택적으로 수신된 인증요청을 상기 인증기관 시스템(40)으로 전송하는 과정을 본 명세서에서는 인증제어로 정의하기로 한다.According to the technical idea of the present invention, when an authentication request including the decrypted private key is output from the requesting device (e.g., 20-1), the authentication request is transmitted to the requesting device (e.g., 20-1) 40 to the
이처럼 상기 인증제어시스템(100)에 의해 수행되는 인증제어를 통해 본 발명의 기술적 사상은 구현될 수 있다. 상기 인증제어가 성공되기 위해서는 인증요청에 상응하는 정당한 사용자로부터 출력된 인증수행 의사가 상기 인증제어시스템(100)에 수신되어야 할 수 있다. 따라서 정당한 사용자로부터 상기 인증수행 의사가 출력되지 않은 이상, 인증요청은 거부될 수 있다. 결국, 부정한 사용자가 개인키를 소지하고 있다고 하더라도(즉, 인증서를 소지하고 인증서의 비밀번호를 알고 있다고 하더라도), 정당한 사용자가 인증수행 의사를 출력하지 않은 이상 부정한 사용자에 의한 인증은 허용되지 않을 수 있다.The technical idea of the present invention can be implemented through the authentication control performed by the
또한, 본 발명의 기술적 사상에 의한 인증제어는 모든 인증요청에 대해 수행되는 것이 아니라, 미리 정해진 소정의 조건(이하, 필터링 조건)에 부합하는 인증요청에 대해서만 수행될 수도 있다. 따라서 상기 필터링 조건에 부합하지 않는 인증요청은 종래와 같이 인증조건의 만족여부와 무관하게 상기 인증기관시스템(40)으로 전송되어 인증이 될 수도 있다. 이처럼 상기 필터링 조건을 만족하는 인증요청에 대해서만 인증제어를 수행함으로써 사용자가 자주 사용하는 인증행태에 대해서는 종래의 방식대로 인증이 수행되고, 사용자가 특별히 보안성을 높여야겠다고 판단한 인증행태에 대해서만 인증제어가 수행되도록 할 수도 있다. 이를 통해 사용자의 사용성이 크게 저하되지 않고도 높은 보안성을 제공할 수 있는 효과가 있다. In addition, the authentication control according to the technical idea of the present invention is not performed for all authentication requests, but may be performed only for authentication requests meeting a predetermined condition (hereinafter, filtering condition). Therefore, the authentication request that does not meet the filtering condition may be transmitted to the
사용자의 인증수행 의사는 사용자의 단말기(예컨대, 20)를 이용하여 사용자가 특정 행위를 수행함으로써 표현될 수 있다. 즉, 상기 단말기(예컨대, 20)에서 상기 특정 행위에 상응하는 소정의 이벤트가 발생한 경우에 상기 사용자는 인증수행 의사를 표현한 것으로 취급될 수 있다. 상기 단말기(예컨대, 20)는 상기 인증제어시스템(100)에 미리 등록된 특정 단말기이거나, 상기 사용자 명의의 단말기일 수 있다. 또한, 상기 이벤트는 상기 단말기(예컨대, 20)와 소정의 근거리 무선통신장치(30)가 근거리 무선통신을 수행하는 이벤트일 수도 있다. 물론, 이외에도 상기 단말기(예컨대, 20)를 통해 정당한 사용자가 상기 이벤트를 수행한 것임을 특정할 수 있는 다양한 이벤트가 본 발명에 적용될 수 있다. 상기 이벤트가 상기 단말기(예컨대, 20)에서 발생하면 상기 단말기(예컨대, 20)는 이벤트 발생신호를 상기 인증제어시스템(100)으로 출력할 수 있다. The user's intention to perform the authentication can be expressed by the user performing a specific action using the user's terminal (e.g., 20). That is, when a predetermined event corresponding to the specific action occurs in the terminal (e.g., 20), the user can be regarded as expressing an intention to perform authentication. The terminal (for example, 20) may be a specific terminal registered in advance in the
상기 인증기관시스템(40)은 공인인증서를 이용한 인증을 수행하는 인증기관에 상응하는 시스템일 수 있다. 상기 인증기관시스템(40)은 구현 예에 따라서는 상기 서비스시스템(예컨대, 10)과 동일한 시스템일 수도 있다. 즉, 서비스시스템(예컨대, 10)이 직접 인증서를 이용한 인증요청을 인증할 수도 있다. 예컨대, 상기 인증기관시스템(40)은 소정의 웹서비스(예컨대, 온라인 금융서비스)를 제공하는 웹서비스 주체의 시스템(예컨대, 금융기관 시스템)일 수도 있고, 상기 웹서비스 주체의 시스템(예컨대, 금융기관 시스템)과 연동하여 인증을 수행하는 공인인증서의 공인인증기관 시스템(예컨대, 금융결제원, 증권전산 등의 시스템)일 수도 있다. 서비스의 종류에 따라 인증기관시스템(40)의 구현 예 또한 다양할 수 있음을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.The
또한, 본 발명의 기술적 사상을 구현하기 위해서는 사용자의 단말기(20 또는 20-1)가 구비될 수 있다. 또한 실시 예에 따라 상기 사용자의 단말기(20 또는 20-1)와 근거리 무선통신을 수행할 수 있는 근거리 무선통신장치(30)가 더 구비될 수 있다.In order to implement the technical idea of the present invention, a
상기 인증제어시스템(100)은 상기 인증기관시스템(40)을 제어하여, 요청장치(예컨대, 20-1)로부터 상기 인증기관시스템(40)으로 출력되는 인증요청이 인증되도록 할지 또는 인증이 아예 수행되지 않도록 할지를 제어할 수 있다.The
이를 위해 상기 인증제어시스템(100)은 요청장치(예컨대, 20-1)로부터 인증기관시스템(40)으로 출력되는 인증요청을 수신하고, 수신된 인증요청을 상기 인증기관 시스템(40)으로 전달하도록 구현될 수 있다. 이러한 경우에는 상기 인증요청를 전달하는지 여부에 따라 인증이 수행되도록 할지여부를 제어할 수 있다. 따라서 상기 인증기관시스템(40)은 특별한 변경을 하지 않아도 본 발명의 기술적 사상이 적용될 수 있는 효과가 있다.To this end, the
다른 구현 예에 의하면, 상기 인증요청은 상기 인증제어시스템(100)을 거쳐서 상기 인증기관시스템(40)으로 전송되는 것이 아니라, 상기 인증기관시스템(40)으로 직접 전송될 수도 있다. 이러한 경우에는, 상기 인증기관시스템(40)으로 이미 전송된 인증요청 또는 전송될 인증요청에 대해 인증을 수행할지 여부를 제어하기 위한 제어신호를 상기 인증제어시스템(100)이 상기 인증기관시스템(40)으로 전송함으로써, 상기 인증제어시스템(100)은 상기 인증기관시스템(40)을 제어할 수도 있다. 물론, 이러한 경우에는 상기 인증제어시스템(100)은 상기 인증기관시스템(40)으로부터 상기 인증요청이 언제 수신되었는지 또는 어떤 사용자 명의의 인증요청인지에 대한 정보를 수신할 수도 있다. 또는, 상기 제어신호에 상기 이벤트 발생신호가 수신된 시점에 대한 정보 또는 이벤트 발생시점에 대한 정보를 포함하여 전송함으로써, 최종적으로는 상기 인증기관시스템(40)이 수신된 정보에 기초하여 상기 인증요청을 인증할지 여부를 결정할 수도 있다. According to another embodiment, the authentication request may be sent directly to the
필요에 따라 상기 인증제어시스템(100)은 상기 인증요청의 수신시점을 확인할 수 있다. 상기 수신시점은 상기 인증요청이 상기 인증기관시스템(40)으로 직접 전송되는 경우에는 상기 인증기관시스템(40)에 수신된 시점을 의미할 수 있으며, 상기 인증요청이 상기 인증제어시스템(100)으로 수신되는 경우에는 상기 인증제어시스템(100)에 수신된 시점을 의미할 수 있다.The
그러면 상기 인증제어시스템(100)은 상기 수신시점이 후술할 바와 같은 이벤트 발생신호에 기초하여 설정되는 인증 가능기간 내에 포함되는 경우에만 상기 인증기관시스템(40)이 인증을 수행하도록 제어할 수 있다. Then, the
상기 인증제어시스템(100)은 소정의 단말기(예컨대, 20)로부터 수신되는 이벤트 발생신호가 수신되어야만 소정의 인증 가능기간을 설정하고, 상기 인증 가능기간 내에 상기 인증요청이 상기 인증제어시스템(100) 또는 상기 인증기관 시스템(40)으로 수신되어야만 인증을 하도록 제어함으로써 본 발명이 목적하는 보안성을 취득할 수 있다. 따라서 상기 인증 가능기간이 아니면 정당한 사용자에 의한 인증요청이든 부정한 사용자에 의한 인증요청이든 관계없이 인증은 수행되지 않을 수 있다.The
상기 이벤트 발생신호를 출력하는 사용자의 단말기(예컨대, 20)는 요청장치(예컨대, 20-1)와 독립적인 단말기일 수 있다. 이처럼 인증을 요청하는 요청장치(예컨대, 20-1)와 별도의 단말기(예컨대, 20)를 통해 이벤트 발생신호를 출력하도록 함으로써, 2팩터 인증이 가능한 효과가 있다. 구현 예에 따라서는, 상기 이벤트 발생신호가 상기 단말기(예컨대, 20)뿐만 아니라 사용자 명의의 다른 장치, 예컨대, 근거리 무선통신장치(사용자의 신용카드, IC 카드, OTP 장치 등)까지 소지하고 있어야만 출력되도록 구현될 수도 있다. 예컨대, 상기 단말기(예컨대, 20)와 상기 근거리 무선통신장치가 근거리 무선통신을 수행하는 이벤트가 발생하여야 상기 단말기(예컨대, 20)가 이벤트 발생신호를 출력하도록 구현될 수도 있다. 이러한 경우에는 3팩터 인증이 가능해지므로 매우 뛰어난 보안성이 제공될 수 있는 효과가 있다. The user terminal 20 (e.g., 20) that outputs the event signal may be a terminal independent of the requesting device (e.g., 20-1). By outputting the event generation signal through a separate terminal (for example, 20) from the requesting apparatus (for example, 20-1) requesting authentication, two-factor authentication can be achieved. According to an embodiment, if the event generation signal is held not only by the terminal (for example, 20) but also by another device of the user's name, for example, a short range wireless communication device (user's credit card, IC card, OTP device, . For example, the terminal (e.g., 20) and the short-range wireless communication apparatus may be configured to output an event generation signal when an event for performing short-range wireless communication occurs. In such a case, three-factor authentication is possible, and therefore, excellent security can be provided.
물론, 상기 단말기(예컨대, 20)에 의해 사용자가 인증되면 상기 이벤트 발생신호가 상기 인증제어시스템(100)으로 출력될 수도 있다. 예컨대, 상기 단말기(예컨대, 20)에 본 발명의 기술적 사상을 구현하기 위한 소정의 클라이언트(소프트웨어)가 설치되어 있으며, 상기 클라이언트에 의해 사용자가 소정의 방식으로 인증될 수도 있다. 그리고 인증이 되면 상기 단말기(예컨대, 20)는 상기 인증제어시스템(100)으로 이벤트 발생신호를 출력할 수 있다. Of course, the event generation signal may be output to the
상기 소정의 방식은 예컨대, 상기 단말기(예컨대, 20)에 소정의 인증정보가 미리 저장되어 있고, 상기 인증정보를 이용하여 인증이 되는 방식일 수 있다. 상기 인증정보는 대칭키(예컨대, 비밀번호, 비밀패턴, 생체정보 등)를 이용한 인증일 수도 있다. 구현 예에 따라서는 비대칭키를 이용한 인증방식이 이용될 수도 있다. 이러한 경우에는 상기 단말기(예컨대, 20)가 소정의 인증시스템(미도시)과 통신을 함으로써 사용자가 인증될 수도 있다. 상기 비대칭키를 이용한 인증방식 이외에도 OTP 등을 이용한 방식이 존재할 수 있다. 어떠한 경우든 상기 단말기(예컨대, 20)는 상기 사용자의 인증에 참여할 수 있다. For example, the predetermined method may be a method in which predetermined authentication information is stored in advance in the terminal (e.g., 20), and authentication is performed using the authentication information. The authentication information may be authentication using a symmetric key (e.g., password, secret pattern, biometric information, etc.). An authentication scheme using an asymmetric key may be used according to an implementation. In this case, the user may be authenticated by the terminal (e.g., 20) communicating with a predetermined authentication system (not shown). In addition to the authentication method using the asymmetric key, a method using OTP or the like may exist. In any case, the terminal (e.g., 20) may participate in the authentication of the user.
이처럼 사용자 명의의 상기 단말기(예컨대, 20)를 통해 사용자가 인증되면, 상기 이벤트 발생신호는 상기 인증제어시스템(100)으로 출력될 수 있다.When the user is authenticated through the terminal (e.g., 20) of the user name, the event generation signal may be output to the
결국, 본 발명의 기술적 사상에 의하면 사용자의 인증수행 의사는 사용자가 상기 인증기관시스템(40)에 접속하여 소정의 방식으로 자신을 인증한 후 서비스를 사용할 의사표시를 표현하는 것이 아니라, 사용자 명의의 단말기(예컨대, 20)에 의해 소정의 이벤트를 발생시키는지 여부에 따라 수행될 수 있다. 즉, 사용자가 소정의 단말기(예컨대, 20)를 통해 인증기관시스템(40)에 접속하여 사용자 인증(예컨대, 로그인, 공인인증서, OTP 등)을 거친 후, 사용자가 인증이 되면 서비스를 사용하겠다는 의사표시를 하는 것인 경우에는, 상기 사용자 인증이 뚫리는 경우(즉, 공격자에 의한 인증이 성공하는 경우) 공격자가 얼마든지 임의로 인증 수행의사를 할 수 있으므로 종래의 사용자 인증방식으로 사용자를 인증한 후 서비스를 제공하는 것에 비해 큰 효과가 없을 수 있다.As a result, according to the technical idea of the present invention, the intention of the user to perform the authentication is not to express a will to use the service after the user accesses the
하지만, 본 발명의 기술적 사상에 의하면, 상기 인증기관시스템(40) 또는 상기 인증제어시스템(100)에 접속하여 인증을 수행하는 것이 아니라, 정당한 사용자가 상기 단말기(예컨대, 20)를 통해 인증수행 의사를 표시 하지 않은 경우에는 인증이 수행되지 않게 된다. 따라서 본 발명의 기술적 사상에 의하면 사용자 명의의 단말기(예컨대, 20)를 소지하고 있지 않은 이상 상기 사용자의 대칭키 또는 비대칭키가 유출된다고 하더라도 인증이 정상적으로 수행되지 못하게 할 수 있는 효과가 있다.However, according to the technical idea of the present invention, instead of performing authentication by connecting to the
상기 이벤트 발생신호는 하나의 신호가 아니라, 본 명세서에서 정의되는 기능을 수행하는 복수의 신호들의 조합일 수 있다. 즉, 이벤트 발생신호는 1회성으로 상기 인증제어시스템(100)으로 전송될 필요는 없다.The event generation signal may not be a single signal but may be a combination of a plurality of signals that perform the functions defined herein. That is, the event generation signal does not need to be sent to the
한편, 전술한 필터링 조건에 대해서는 도2를 참조하여 설명하도록 한다.On the other hand, the above-described filtering conditions will be described with reference to FIG.
도2는 본 발명의 실시 예에 따른 필터링 조건을 설명하기 위한 도면이다.2 is a diagram for explaining filtering conditions according to an embodiment of the present invention.
도2를 참조하면, 상기 필터링 조건을 정의하기 위한 속성으로 인증을 요청하는 요청장치(예컨대, 20-1)의 속성, 상기 서비스 시스템(예컨대, 10)의 속성, 또는 서비스 요청시간, 서비스에 상응하는 금액이 특정될 수 있는 경우에는 상기 금액 등이 포함될 수 있다. 2, an attribute for defining the filtering condition includes attributes of a requesting apparatus (e.g., 20-1) requesting authentication, attributes of the service system (e.g., 10), service request time, The amount of money may be specified.
예컨대, 요청장치(예컨대, 20-1)의 속성(예컨대, 요청 단말기의 IP가 해외 IP인지 여부 등)이 필터링 조건으로 설정될 수 있다. 구현 예에 따라서는, 상기 서비스 시스템(예컨대, 10)의 속성(예컨대, 웹 서비스를 제공하는 웹 서비스 시스템의 종류(예컨대, 온라인 쇼핑몰 시스템, 게임사 시스템, 금융기관 시스템, 이동통신사 시스템 등))의 속성이 상기 필터링 조건으로 설정될 수도 있다. 상기 서비스 시스템(예컨대, 10)은 예컨대, 온라인 결제 등과 같이 상기 요청장치(예컨대, 20-1)가 접속해 있는 상태에서 상기 요청장치(예컨대, 20-1)로 인증을 요청하는 시스템을 의미할 수 있다.For example, the attribute of the requesting device (e.g., 20-1) (e.g., whether the IP of the requesting terminal is foreign IP, etc.) may be set as the filtering condition. Depending on the implementation, the attributes of the service system (e.g., 10) (e.g., the type of web service system that provides the web service (e.g., an online shopping mall system, a game company system, a financial institution system, May be set as the filtering condition. The service system (e.g., 10) refers to a system for requesting authentication with the requesting device (e.g., 20-1) while the requesting device (e.g., 20-1) is connected, .
따라서 사용자는 이러한 서비스 시스템(예컨대, 10)의 속성을 필터링 조건을 정의하는 속성으로 정의할 수 있으므로, 예컨대, 사용자는 온라인 쇼핑몰에 대해서는 본 발명의 기술적 사상이 적용되지 않도록 할 수 있고, 게임 사이트에서는 본 발명의 기술적 사상이 적용되도록 설정할 수 있다. Accordingly, the user can define the attribute of the service system (e.g., 10) as an attribute defining the filtering condition. For example, the user can prevent the technical idea of the present invention from being applied to the online shopping mall, So that the technical idea of the present invention can be applied.
예컨대, 도2에 도시된 바와 같이 상기 요청장치(예컨대, 20-1)로 인증을 요구하는 서비스 시스템(예컨대, 금융기관 시스템, 웹 서비스 시스템 등, 10)이 존재할 수도 있다. 이러한 경우에는 상기 서비스 시스템(예컨대, 10)의 속성이 필터링 조건으로 설정될 수도 있다. For example, there may be a service system (e.g., a financial institution system, a web service system, etc.) 10 requiring authentication with the requesting device (e.g., 20-1) as shown in FIG. In this case, the attribute of the service system (e.g., 10) may be set as a filtering condition.
또한, 상기 필터링 조건은 도2에 도시된 바와 같이 공인인증서들(예컨대, 인증서1 및 인증서2) 각각에 대해 설정될 수도 있음은 물론이다. Further, it goes without saying that the filtering condition may be set for each of the public certificates (for example,
또한, 상기 필터링 조건의 속성으로 인증요청 시간이 포함될 수도 있다. 예컨대, 인증서1에 대해서는 인증요청 시간이 21시에서 06시까지는 원칙적으로 본 발명의 기술적 사상에 따라 인증제어가 수행되는 시간으로 설정될 수 있으며, 인증서2에 대해서는 인증요청 시간이라는 속성으로는 필터링 조건이 설정되어 있지 않을 수 있다. 즉, 인증서2를 이용한 인증요청은 서비스 시스템(예컨대, 10)이 해외 시스템 또는 은행 시스템인 경우에만 본 발명의 기술적 사상에 따른 인증제어가 수행되도록 설정될 수도 있다.Also, an authentication request time may be included as an attribute of the filtering condition. For example, with respect to the
또한, 상기 필터링 조건의 속성으로 인증금액(예컨대, 전자상거래, 결제 또는 이체 등의 거래의 가치)이 포함될 수도 있다. 물론, 인증금액에 따라 필터링 조건을 정의하는 경우에는, 기존의 공인인증서를 이용한 인증의 경우에는 인증대상(즉, 거래대상)의 정보를 인증기관이 알 수 없는 경우도 있지만, 본 발명의 기술적 사상을 위해 거래대상(즉, 전자서명의 대상이 되는 거래)에 대한 정보가 인증기관 즉, 인증기관 시스템(40)으로 전송되도록 구현될 수도 있다.In addition, the attribute of the filtering condition may include an authentication amount (for example, a value of a transaction such as electronic commerce, settlement, or transfer). Of course, in the case of defining the filtering condition according to the authentication amount, in the case of the authentication using the existing authorized certificate, the information on the authentication object (that is, the transaction object) may not be known by the certification authority. However, (That is, a transaction subject to digital signature) is transmitted to the certification authority, that is, the
도2에서는 서비스가 공인인증서를 이용한 인증 서비스인 경우를 일예로 설명하였지만, 서비스의 종류 또는 구현 예에 따라 필터링 조건을 정의하는 속성은 다양할 수 있음은 물론이다. Although FIG. 2 illustrates an example in which the service is an authentication service using a public certificate, it goes without saying that the attributes defining the filtering condition may vary according to the type of service or implementation.
결국, 요청장치(예컨대, 20-1)의 속성 또는 서비스 시스템(예컨대, 10)의 속성에 따라 다양한 필터링 조건이 정의될 수 있다. 또한, 본 발명의 기술적 사상은 사용자 또는 인증제어시스템(100)에 의해 상기 필터링 조건이 정의될 수 있다. 따라서 사용자는 자신의 인증 이용행태에 따라 적응적으로 필터링 조건을 정의할 수 있는 효과도 있다. 왜냐하면, 비록 본 발명의 기술적 사상에 따른 인증수행 의사 표시가 비교적 간단한 절차(예컨대, 단말기(예컨대, 20)와 근거리 무선통신장치(30)의 근거리 무선통신)만으로도 수행될 수 있더라도, 자주 사용하는 인증 또는 크게 중요하지 않은 인증을 위해 매번 인증수행 의사 표시를 해야 하는 경우에는 번거로움이 있을 수도 있기 때문이다. 따라서 사용자는 자신이 잘 이용하지 않는 인증행태 또는 특히 보안성이 필요한 인증행태를 상기 필터링 조건으로 정의함으로써 가능한 한 서비스 이용에 불편을 느끼지 않으면서도 보안성은 높일 수 있는 효과가 있다.As a result, various filtering conditions may be defined depending on the attributes of the requesting device (e.g., 20-1) or the attributes of the service system (e.g., 10). Further, the technical idea of the present invention is that the filtering condition can be defined by the user or the
상기 인증제어시스템(100)은 사용자의 인증수행 의사가 표시된 것임을 나타내는 신호 즉, 이벤트 발생신호가 수신되면, 상기 이벤트 발생신호에 기초하여 인증 가능기간을 설정할 수 있다. The
상기 인증 가능기간은 상기 인증제어시스템(100)이 제한적으로 인증을 허용하도록 상기 인증기관 시스템(40)을 제어하는 제한된 기간을 의미할 수 있다. 즉, 상기 인증 가능기간에 인증요청이 상기 인증제어시스템(100) 또는 상기 인증기관 시스템(40)으로 수신되어야 상기 인증제어시스템(100)은 수신된 인증요청을 인증할 수 있다. The authenticatable period may mean a limited period of time during which the
일예에 의하면, 사용자는 인증요청을 하기 전에 인증수행 의사의 표시를 수행하여야 할 수 있다. 즉, 상기 인증요청의 수신시점 전에 이벤트 발생신호가 수신되어야 할 수 있다. 이러한 경우에는 인증 가능기간은 상기 이벤트 발생신호가 수신된 시점으로부터 미리 설정된 기간일 수 있으며, 수초, 수분, 또는 수십 분으로 설정될 수 있다. According to an example, a user may have to perform an indication of an intention to perform an authentication before making an authentication request. That is, an event generation signal may be received before the reception of the authentication request. In this case, the authentication enable period may be a predetermined period from the time when the event generation signal is received, and may be set to several seconds, several minutes, or several tens of minutes.
구현 예에 따라서는, 상기 사용자는 스스로 인증 가능기간을 설정할 수도 있다. 이러한 경우 사용자는 후술할 바와 같이 본 발명의 기술적 사상을 위한 클라이언트 시스템을 통해 인증 가능기간으로 설정할 기간정보를 입력할 수 있으며, 입력된 기간정보는 상기 이벤트 발생신호에 포함되어 또는 이벤트 발생신호와는 별개로 상기 인증제어시스템(100)으로 전송될 수 있다. 그러면, 상기 인증제어시스템(100)은 상기 기간정보에 상응하는 기간을 인증 가능기간으로 설정할 수 있다. 이러한 경우에는 상대적으로 긴 시간(예컨대, 몇 시간 또는 며칠 등) 동안 사용자가 해당 서비스를 이용하고자 하는 경우일 수 있다. 그리고 상기 인증 가능기간이 상대적으로 긴 시간일 수 있으므로, 상기 인증 가능기간 동안에는 다시 사용자가 인증 수행의사 표시를 위해 특정 이벤트를 수행하여야 할 필요는 없을 수도 있다. 물론, 인증 가능기간이 도과하면, 다시 인증은 수행되지 않을 수 있다. According to an embodiment, the user can set the authentication period himself / herself. In this case, the user can input period information to be set as the authentication enable period through the client system for the technical idea of the present invention as described later, and the input period information is included in the event generation signal, May be separately transmitted to the
사용자는 이벤트 발생신호를 상기 인증제어시스템(100)으로 출력하기 위해 소정의 이벤트에 상응하는 특정 행위를 상기 사용자의 단말기(예컨대, 20)를 통해 수행하여야 할 수 있다. 상기 특정 행위는 상기 특정 행위가 정당한 사용자(카드(30) 명의자 또는 단말기(예컨대, 20)의 명의자에 의해 수행되는 것임을 파악할 수 있는 행위이면 족하다. 사용자가 자신의 단말기(예컨대, 20)를 이용하여 특정 행위를 수행하면, 결과적으로 상기 단말기(예컨대, 20)에는 상기 특정 행위에 상응하는 특정 이벤트가 발생할 수 있다. The user may have to perform a specific action corresponding to a predetermined event through the user's terminal (e.g., 20) in order to output an event generation signal to the
상기 특정 행위는 후술할 클라이언트 시스템(200)이 사용자를 인증하기 위해 수행하여야할 행위일 수 있다. 상기 클라이언트 시스템(200)은 미리 등록된 인증정보(예컨대, 비밀번호, 비밀패턴, 생체정보 등)를 이용하여 사용자를 인증할 수 있다.The specific action may be an action to be performed by the
구현 예에 따라, 상기 특정 행위는 상기 클라이언트 시스템(200)과 연결될 수 있는 소정의 네트워크 시스템(미도시)에 의해 사용자가 인증되기 위해 수행하여야할 행위일 수도 있다. 예컨대, 공인인증서, OTP, 또는 보안카드를 이용한 인증 등이 수행될 수 있다. 사용자는 상기 단말기(예컨대, 20)를 통해 상기의 인증을 수행할 수 있다. According to an embodiment, the specific action may be an action to be performed by the user to be authenticated by a predetermined network system (not shown) that can be connected to the
한편, 상기 특정 행위는 소정의 근거리 무선통신장치(30)가 상기 사용자의 단말기(20)와 근거리 무선통신(예컨대, NFC 통신)이 수행되는 행위일 수도 있다. 그러면, 상기 특정 행위에 상응하는 이벤트는 상기 단말기(20)가 상기 근거리 무선통신장치(30)와 근거리 무선통신을 수행하는 이벤트일 수 있다. Meanwhile, the specific action may be an action in which a predetermined short range
이러한 경우에는 상기 특정 행위를 수행한 사용자가 상기 근거리 무선통신장치(30)와 상기 단말기(20)를 모두 소지하고 있음이 인증되는 효과가 있다. 사용자는 단말기(20)와 상기 근거리 무선통신장치(30)를 단순히 근거리 무선통신(예컨대, NFC 태깅)하는 행위만 수행하여 본 발명의 기술적 사상에 따라 인증을 수행하겠다는 의사표시를 할 수 있으므로, 사용자의 입장에서는 절차적으로 매우 간편한 효과가 있다. In this case, there is an effect that a user who has performed the specific action is authenticated to possess both the short-range
상기 단말기(예컨대, 20) 즉, 클라이언트 시스템(200)은 상기 근거리 무선통신장치(30)가 정당한 장치 즉, 사용자 명의의 장치인지를 인증할 수도 있다. 예컨대, 상기 클라이언트 시스템(200)에 미리 상기 사용자 명의의 근거리 무선통신장치(30)의 식별정보가 저장되어 있을 수 있으며, 상기 클라이언트 시스템(200)은 상기 근거리 무선통신장치(30)와 근거리 무선통신을 수행하면 근거리 무선통신장치(30)의 식별정보를 확인함으로써 근거리 무선통신장치(30)의 정당성을 인증할 수도 있다. 또는 종래의 스마트카드에 사용되는 크립토그램(cryptogram)을 이용하는 인증이 이용될 수도 있다. 또는 IC카드 등에 1회성 정보(예컨대, 랜덤 넘버 또는 OTP 등)를 생성할 수 있는 모듈이 탑재되고, 상기 1회성 정보를 이용한 인증이 이용될 수도 있다. 이처럼 상기 클라이언트 시스템(200)에 의해 상기 근거리 무선통신장치(30)가 인증되어야 상기 이벤트 발생신호가 상기 인증제어시스템(100)으로 출력될 수도 있다.The terminal (e.g., 20), i.e., the
이러한 기술적 사상을 구현하기 위한 본 발명의 실시 예에 따른 인증제어시스템(100)의 개략적인 구성은 도 3에 도시된다.A schematic configuration of an
도3은 본 발명의 실시 예에 따른 인증제어시스템의 개략적인 구성을 설명하기 위한 도면이다.3 is a diagram for explaining a schematic configuration of an authentication control system according to an embodiment of the present invention.
도3을 참조하면, 본 발명의 실시 예에 따른 인증제어시스템(100)은 제어부(110), 이벤트 처리부(120), 요청 처리부(130), 및 판단부(140)를 포함할 수 있다. 3, an
상기 인증제어시스템(100)은 본 발명의 기술적 사상을 구현하기 위해 필요한 하드웨어 리소스(resource) 및/또는 소프트웨어를 구비할 수 있으며, 반드시 하나의 물리적인 구성요소를 의미하거나 하나의 장치를 의미하는 것은 아니다. 즉, 상기 인증제어시스템(100)은 본 발명의 기술적 사상을 구현하기 위해 구비되는 하드웨어 및/또는 소프트웨어의 논리적인 결합을 의미할 수 있으며, 필요한 경우에는 서로 이격된 장치에 설치되어 각각의 기능을 수행함으로써 본 발명의 기술적 사상을 구현하기 위한 논리적인 구성들의 집합으로 구현될 수도 있다. 또한, 상기 인증제어시스템(100)은 본 발명의 기술적 사상을 구현하기 위한 각각의 기능 또는 역할별로 별도로 구현되는 구성들의 집합을 의미할 수도 있다. 예컨대, 상기 인증제어시스템(100)은 상기 인증기관 시스템(40)에 일부가 구비되어 구현될 수도 있다. The
또한, 본 명세서에서 '~부' 또는 '모듈'이라 함은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다. 예컨대, 상기 '~부' 또는 모듈은 소정의 코드와 상기 소정의 코드가 수행되기 위한 하드웨어 리소스(resource)의 논리적인 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나, 한 종류의 하드웨어를 의미하는 것은 아님은 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다.In the present specification, the term 'module' or 'module' may mean a functional and structural combination of hardware for carrying out the technical idea of the present invention and software for driving the hardware. For example, the 'to' or 'module' may refer to a logical unit of a predetermined code and a hardware resource for executing the predetermined code, May be easily deduced to the average expert in the field of the present invention.
상기 제어부(110)는 본 발명의 기술적 사상을 구현하기 위하여 다른 구성요소들(예컨대, 이벤트 처리부(120), 요청 처리부(130), 및/또는 판단부(140) 등)의 리소스 및/또는 기능을 제어할 수 있다.The
상기 이벤트 처리부(120)는 상기 사용자의 단말기(예컨대, 20)와 통신을 수행할 수 있다. 특히 상기 이벤트 처리부(120)는 상기 단말기(예컨대, 20)로부터 이벤트 발생신호를 수신할 수 있다. 상기 이벤트 발생신호는 전술한 바와 같이 사용자가 인증을 수행하겠다는 의사표시를 나타내는 신호일 수 있다. 상기 이벤트 발생신호는 상기 단말기(예컨대, 20)에 특정 이벤트가 발생한 경우에만 상기 단말기(예컨대, 20)로부터 상기 이벤트 처리부(120)로 출력되는 신호일 수 있다.The
상기 요청 처리부(130)는 상기 요청장치(예컨대, 20-1)로부터 상기 인증기관 시스템(40)으로 출력되는 인증요청을 수신할 수 있다. 또는 상기 요청 처리부(130)는 상기 인증요청의 수신시점을 확인할 수 있다. 일예에 의하면, 상기 인증요청은 상기 인증제어시스템(100)으로 수신될 수도 있고, 이러한 경우에 상기 수신시점은 상기 인증제어시스템(100)이 수신한 수신시점일 수도 있다. 구현에 따라서는 상기 인증요청은 상기 인증기관 시스템(40)으로 전송될 수도 있다. 이러한 경우에는 상기 수신시점은 상기 인증기관 시스템(40)이 상기 인증요청을 수신한 시점일 수도 있다. The
상기 판단부(140)는 수신된 인증요청이 인증조건을 만족하는지 여부를 확인할 수 있다. 상기 인증조건은 단순히 상기 인증요청에 상응하는 사용자의 단말기(예컨대, 20)로부터 상기 이벤트 발생신호가 수신되었는지 여부만일 수도 있다. 구현 예에 따라서는, 상기 인증요청이 상기 이벤트 발생신호에 기초하여 설정되는 인증 가능기간에 수신되었는지 여부에 의해 상기 인증조건의 만족여부가 판단될 수도 있다. 이를 위해 상기 판단부(140)는 상기 이벤트 발생신호가 수신되면, 수신된 상기 이벤트 발생신호에 기초하여 상기 인증 가능기간을 설정할 수 있다. The
상기 판단부(140)는 상기 이벤트 발생신호의 수신시점 이후 또는 수신시점 이후 소정의 기간 내(예컨대, 수초 또는 수분 등)를 상기 인증 가능기간으로 설정할 수 있다. 즉, 상기 이벤트 발생신호가 수신된 후 또는 상기 이벤트 발생신호가 수신된 후 소정의 기간 내에 상기 인증요청이 상기 인증제어시스템(100) 또는 상기 인증기관 시스템(40)으로 수신되면 서비스를 허용하도록 허용제어를 수행할 수 있다. 이러한 경우에는 사용자가 능동적으로 상기 이벤트 발생신호를 출력시키므로, 어떠한 공격자라도 상기 인증 가능기간을 미리 알 수 없게 되는 효과가 있다.The
다른 실시 예에 의하면, 상기 이벤트 발생신호에는 소정의 기간정보가 포함될 수도 있다. 예컨대, 후술할 클라이언트 시스템(200)은 상기 단말기에 이벤트가 발생했다고 판단하면 소정의 UI를 제공할 수 있다. 사용자는 상기 UI를 통해 서비스를 사용할 기간정보를 입력할 수 있다. 그러면, 상기 클라이언트 시스템(200)은 상기 기간정보를 포함하는 상기 이벤트 발생신호를 상기 인증제어시스템(100)으로 출력할 수도 있다. According to another embodiment, the event generation signal may include predetermined period information. For example, the
실시 예에 따라서는 사용자가 본 발명의 기술적 사상에 의한 서비스를 신청할 때에 미리 기간정보를 설정해둘 수도 있다. 그러면 상기 클라이언트 시스템(200)은 상기 이벤트 발생신호를 상기 인증제어시스템(100)으로 출력하고, 상기 인증제어시스템(100)에서 이벤트 발생신호에 상응하는 기간정보를 산정할 수도 있다.According to the embodiment, the user may set the period information in advance when requesting the service according to the technical idea of the present invention. Then, the
사용자가 별도로 기간정보를 설정하지 않는 경우에는, 상기 판단부(140)는 비교적 짧은 시간(예컨대, 수초 또는 수분)동안을 인증 가능기간으로 설정할 수 있다. 따라서 사용자는 서비스를 이용할 때마다 서비스 이용을 위한 의사표시 즉, 특정 행위를 수행하여야 할 수 있다. If the user does not separately set the period information, the
하지만, 공격자가 이러한 짧은 시간동안에 허위로 서비스 요청을 하는 경우가 존재할 수도 있다. 이러한 경우를 대비해 상기 제어부(110)는 상기 인증 가능기간동안이라도 소정의 우선순위에 해당하는 인증요청에 대해서만 한정적으로 인증제어를 수행할 수도 있다. 예컨대, 상기 우선순위는 인증요청의 수신순서에 의해 결정될 수 있다. 예컨대, 첫 번째(또는 미리 정해진 수 번째까지) 수신된 인증요청에 대해서만 인증제어를 수행할 수도 있다. 그리고 첫 번째(또는 미리 정해진 수 번째까지) 인증요청에 응답하여 인증을 수행하도록 상기 인증기관 시스템(40)을 제어한 후에는 인증 가능기간이 남은 경우라도 이후에 수신되는 인증요청에 대해서는 인증제어를 수행하지 않을 수도 있다. 다양한 우선순위의 실시 예가 존재할 수 있다.However, there may be cases where an attacker makes false service requests during such a short period of time. In this case, the
본 발명의 기술적 사상에 의하면 공격자는 사용자가 언제 특정행위를 수행할지 알지 못하므로, 짧은 시간동안만 인증 가능기간으로 설정되는 경우에, 상기 인증 가능기간에 허위의 인증요청을 할 수 있는 확률이 매우 낮아질 수 있다. 공격자가 인증 가능기간임을 알게 되는 경우라 하더라도, 첫 번째(또는 미리 정해진 수 번째까지)의 인증요청에 대해서만 서비스를 제공하는 경우에는 일반적으로 사용자가 공격자보다 먼저 인증요청을 하게 될 확률이 매우 크므로, 혹시 있을지 모를 인증 가능기간동안의 공격에도 이를 차단할 수 있는 효과를 얻을 수 있다.According to the technical idea of the present invention, since the attacker does not know when a user will perform a specific action, the probability that a false authentication request can be made in the authentication enabling period is very high Can be lowered. Even if the attacker knows that the authentication period is available, if the service is provided only for the first (or a predetermined number of) authentication requests, the probability that a user will request an authentication request before the attacker is very high , It is possible to prevent the attack even during an authentication possible period.
상기 판단부(140)에 의해 인증 가능기간이 설정되고, 상기 판단부(140)에 의해 상기 인증요청이 상기 인증 가능기간에 수신되었다고 판단되면, 상기 제어부(110)는 상기 인증요청에 상응하는 서비스를 수행하도록 상기 인증기관 시스템(40)을 제어할 수 있다. If it is determined by the
상기 제어부(110)는, 상기 판단부(140)에 의해 인증조건이 만족되었다고 판단되면, 상기 인증요청을 상기 인증기관 시스템(40)으로 전달함으로써 인증제어를 수행할 수 있다. 즉, 상기 인증요청은 상기 인증제어시스템(100)으로 수신될 수 있으며, 상기 제어부(110)에 의해 상기 인증요청을 상기 인증기관 시스템(40)으로 전송하는 것에 의해 인증의 수행여부가 제어될 수 있다. 이러한 경우에는 상기 인증기관 시스템(40)의 특별한 변경 없이 본 발명의 기술적 사상이 구현될 수 있는 유리한 효과가 있다.The
다른 실시 예에 의하면, 상기 인증요청은 상기 요청장치(예컨대, 20-1)로부터 직접 상기 인증기관 시스템(40)으로 전송될 수도 있다. 이때에는 상기 인증요청이, 상기 제어부(110)가 본 발명의 기술적 사상에 따른 제어신호를 상기 인증기관 시스템(40)으로 전송하기 전에, 이미 상기 인증기관 시스템(40)으로 전송되어 있거나 상기 제어신호가 전송된 후에 상기 인증기관 시스템(40)으로 전송될 수도 있다. 즉, 인증요청이 상기 요청장치(예컨대, 20-1)로부터 상기 인증기관 시스템(40)으로 직접 전송되는 경우에는, 이벤트가 인증요청 전에 발생하더라도 네트워크 사정 등 다양한 사정에 의해 인증요청이 상기 인증기관 시스템(40)으로 먼저 전송될 수도 있고, 그렇지 않을 수도 있다. 이러한 경우에는 상기 제어부(110)는 이미 전송되어 있거나 전송될 상기 인증요청의 인증 수행여부를 나타내는 제어신호를 상기 인증기관 시스템(40)으로 전송함으로써 인증제어를 수행할 수도 있다. 또는 상기 제어신호에 추후에 수신될 상기 인증요청의 인증 수행여부를 판단할 수 있는 정보(예컨대, 이벤트 발생신호의 수신시점, 이벤트 발생시점 등)를 포함시켜 상기 인증기관 시스템(40)으로 전송함으로써, 상기 인증기관 시스템(40)이 상기 제어신호에 응답하여 최종적으로 인증의 수행여부를 결정하도록 할 수도 있다. 구현 예에 따라서는, 상기 인증기관 시스템(40)이 상기 인증요청이 수신된 시점에 대한 정보를 상기 인증제어시스템(100)으로 전송하고, 상기 인증제어시스템(100)은 수신된 정보에 기초하여 상기 인증요청이 인증 가능기간 내에 수신되었는지를 판단할 수도 있다. 다양한 실시 예가 가능할 수 있음을 본 발명의 기술분야의 평균적 전문가가 용이하게 추론할 수 있을 것이다.According to another embodiment, the authentication request may be sent to the
한편, 상기 인증제어시스템(100)은 소정의 단말기(예컨대, 20)로부터 이벤트 발생신호가 수신된 경우, 상기 이벤트 발생신호가 어떤 사용자의 인증수행 의사 표시인지를 알아야 할 수 있다. 그래야만 상기 사용자 명의의 인증요청에 응답하여 인증을 수행하도록 제어를 수행할 수 있다. 이를 위해 상기 이벤트 발생신호에는 상기 사용자를 식별할 수 있는 정보가 포함될 수 있다. 사용자를 식별할 수 있는 정보로는 상기 단말기(예컨대, 20)의 식별정보, 상기 특정 행위가 상기 단말기(예컨대, 20)와 상기 근거리 무선통신장치(30)와의 근거리 무선통신일 경우에는 상기 근거리 무선통신장치(30)의 식별정보, 또는 사용자가 직접 자신의 식별정보를 입력하는 경우의 사용자 식별정보 중 적어도 하나일 수 있다. Meanwhile, when the event generation signal is received from a predetermined terminal (for example, 20), the
상기 판단부(140)는 수신된 상기 이벤트 발생신호에 기초하여 서비스가 제한적으로 허용될 사용자를 특정할 수 있다. 즉, 상기 이벤트 발생신호에 상응하는 사용자를 특정할 수 있다. 그러면, 상기 제어부(110)는 상기 특정된 사용자에 상응하는 인증요청에 대해서만 제한적으로 인증제어를 수행할 수 있다. The
예컨대, 상기 판단부(140)는 상기 단말기의 식별정보를 확인할 수 있다. 상기 단말기(예컨대, 20)의 식별정보는 상기 이벤트 발생신호에 포함될 수도 있고, 상기 단말기(예컨대, 20)와 상기 인증제어시스템(100)간에 통신에 의해 판단될 수도 있다. 그러면, 상기 판단부(140)는 상기 단말기(예컨대, 20)의 식별정보에 기초하여 상기 단말기(예컨대, 20)의 명의자 즉, 상기 사용자를 특정할 수 있다. 상기 판단부(140)는 상기 단말기(예컨대, 20)의 식별정보를 이용하여 소정의 외부시스템(예컨대, 이동통신사 시스템 등)으로부터 상기 단말기(예컨대, 20)의 명의자에 대한 정보를 획득할 수도 있다. 구현 예에 따라서는, 상기 단말기(예컨대, 20)의 식별정보 및 명의자의 정보가 연계되어 미리 상기 인증제어시스템(100)에 저장되어 있을 수도 있다. 그러면 상기 제어부(110)는 상기 이벤트 발생신호에 상응하는 사용자 명의의 인증요청에 대해서만 인증제어를 수행할 수 있다. For example, the
구현 예에 따라서, 상기 판단부(140)는 상기 이벤트(예컨대, 근거리 무선통신)의 발생을 위해 상기 단말기(예컨대, 20)와 근거리 무선통신을 수행하는 근거리 무선통신장치(30)의 명의자를 상기 사용자로 특정할 수도 있다. 예컨대, 상기 이벤트 발생신호에는 상기 근거리 무선통신장치(30)의 식별정보가 포함될 수 있다. 그러면, 상기 판단부(140)는 상기 근거리 무선통신장치(30)의 식별정보에 기초하여 상기 사용자를 특정할 수 있다. 상기 근거리 무선통신장치(30)의 식별정보에 대응되는 사용자의 정보가 미리 상기 인증제어시스템(100)에 저장되어 있을 수 있음은 물론이다. 실시 예에 따라서는, 상기 단말기(예컨대, 20)가 상기 근거리 무선통신장치(30)를 인증할 수도 있다. 이러한 경우에는 상기 이벤트 발생신호에 상기 근거리 무선통신장치(30)의 명의자에 대한 정보가 포함될 수도 있다. 다양한 방식으로 상기 단말기(예컨대, 20)의 명의자가 상기 판단부(140)에 의해 특정될 수도 있다. The
일 실시 예에 의하면, 상기 판단부(140)는 상기 단말기(예컨대, 20)의 명의자와 상기 근거리 무선통신장치(30)의 명의자가 일치하여야 상기 명의자를 상기 사용자로 특정할 수도 있다. 이러한 경우에는 복수의 사용자 명의의 장치(즉, 상기 단말기(예컨대, 20) 및 상기 근거리 무선통신장치(30))를 소지하여야 인증이 수행되므로, 보안성은 매우 높아질 수 있다. 이외에도 다양한 방식으로 상기 판단부(140)는 상기 이벤트 발생신호에 기초하여 상기 사용자를 특정할 수 있다.According to an exemplary embodiment, the
또한, 사용자가 수행하는 특정 행위가 상술한 근거리 무선통신장치(30)와 상기 단말기(예컨대, 20)의 근거리 무선통신이 아니라, 상기 단말기(예컨대, 20)를 통한 소정의 인증인 경우라 하더라도 적어도 사용자 명의의 상기 단말기(예컨대, 20)를 소지하여야 하므로 2팩터 인증이 가능한 효과가 있다.Even if the specific action performed by the user is not limited to short-range wireless communication between the near-field
한편, 인증을 요청하는 요청장치(예컨대, 20-1)와 상기 의사표시를 수행하는 상기 단말기(예컨대, 휴대폰, 20)는 별개의 단말기일 수도 있다. 즉, 사용자는 상기 요청장치(예컨대, 20-1)를 통해 인증요청을 하고, 인증요청 전 또는 후에 상기 단말기(예컨대, 20)를 통해 상기 특정 행위를 수행할 수도 있다. 물론, 상기 단말기(예컨대, 20)를 통해 인증요청을 하고, 상기 단말기(예컨대, 20)를 통해 상기 특정 행위를 수행할 수도 있다. 이때에는 상기 단말기(예컨대, 20)가 상기 요청장치(예컨대, 20-1)가가 될 수 있음은 물론이다. 물론, 상기 요청장치(예컨대, 20-1)를 통해 인증요청을 하고, 상기 요청장치(예컨대, 20-1)를 통해 특정 행위를 수행할 수도 있다. 이러한 경우에는 상기 요청장치(예컨대, 20-1)가 사용자 명의임을 상기 인증제어시스템(100)이 알 수 있도록 소정의 정보(예컨대, 상기 요청장치(예컨대, 20-1)의 명의자의 정보)가 미리 상기 인증제어시스템(100)에 저장되어 있거나, 구현 예에 따라서는 상기 특정 행위를 수행하는 단말기(예컨대, 20-1)가 사용자 명의이어야 할 요건이 생략될 수도 있다. 이처럼 사용자 명의의 단말기를 통해서만 이벤트 발생신호가 전송되도록 하는 강제조건이 없더라도 본 발명의 기술적 사상은 종래의 공인인증서 방식에 비해 보안성이 뛰어난 효과는 여전히 존재한다.Meanwhile, the requesting device (e.g., 20-1) requesting authentication and the terminal (e.g., cellular phone 20) performing the pseudo display may be separate terminals. That is, the user may make an authentication request through the requesting device (e.g., 20-1), and may perform the specific action through the terminal (e.g., 20) before or after the authentication request. Of course, an authentication request may be made through the terminal (e.g., 20), and the specific operation may be performed through the terminal (e.g., 20). At this time, it is needless to say that the terminal (for example, 20) can be the requesting device (for example, 20-1). Of course, an authentication request may be made through the requesting device (e.g., 20-1) and a specific action may be performed through the requesting device (e.g., 20-1). In this case, the predetermined information (for example, the information of the name of the requesting device (e.g., 20-1)) is set so that the
또한, 상기 판단부(140)는 전술한 바와 같이 상기 인증제어시스템(100) 또는 상기 인증기관 시스템(40)으로 수신되는 인증요청이 필터링 조건을 만족하는지 여부를 판단할 수 있다. 그리고 판단결과 상기 인증요청이 상기 필터링 조건을 만족하는 필터링 인증요청인 경우에만, 상기 제어부(110)에 의해 인증제어가 수행되도록 할 수도 있다. In addition, the
예컨대, 상기 인증요청이 상기 인증제어시스템(100)으로 수신되면, 상기 판단부(140)는 상기 인증요청이 필터링 조건을 만족하는 인증요청 즉, 필터링 인증요청인지를 판단하고, 판단결과 필터링 인증요청인 경우에는 인증조건을 만족하는지 여부를 판단하고 판단결과에 따라 인증이 수행되도록 인증제어를 수행할 수 있다. For example, when the authentication request is received by the
만약, 상기 판단부(140)에 의해 상기 인증요청이 상기 필터링 인증요청이 아니라고 판단되면, 상기 제어부(110)는 상기 인증요청이 상기 인증조건을 만족하는지 여부와 무관하게 상기 인증요청이 인증되도록 상기 인증기관 시스템(40)을 제어할 수 있다.If it is determined by the
상기 인증요청이 상기 인증기관 시스템(40)으로 직접 전송되는 경우에는, 상기 인증기관 시스템(40)은 상기 인증제어시스템(100)으로부터 소정의 제어신호를 미리 받은 경우에는 인증을 수행하면 되고, 상기 인증제어시스템(100)으로부터 소정의 제어신호를 수신하지 못한 경우에는 상기 인증제어시스템(100)으로부터 소정의 제어신호가 수신되기 전까지 인증을 수행하지 않고 대기할 수 있다. 그러면, 상기 인증요청이 필터링 인증요청인지가 상기 인증기관 시스템(40) 또는 상기 판단부(140)에 의해 판단될 수 있다. 이를 위해 상기 인증기관 시스템(40)은 상기 인증요청에 대한 정보(예컨대, 금액, 요청장치(예컨대, 20-1)의 속성, 서비스 시스템(예컨대, 10)의 속성 등과 같은 필터링 조건의 만족여부를 판단할 수 있는 정보)를 상기 인증제어시스템(100)으로 전송할 수도 있다. 상기 인증요청이 필터링 인증요청으로 판단된 경우, 상기 판단부(140)는 상기 필터링 인증요청이 인증조건을 만족하는지를 판단하고, 판단결과에 따라 상기 제어부(110)는 인증제어를 위한 제어신호를 상기 인증기관 시스템(40)으로 전송할 수 있다. 또한, 상기 제어부(110)는 인증조건을 만족하지 않으면, 상기 인증기관 시스템(40)이 서비스를 거부하도록 하는 제어신호를 상기 인증기관 시스템(40)으로 전송할 수도 있다. When the authentication request is directly transmitted to the
만약, 상기 인증기관 시스템(40)으로 수신된 인증요청이 필터링 인증요청이 아니라고 상기 판단부(140)에 의해 판단된 경우, 상기 판단부(140)는 상기 인증요청이 인증조건을 만족하는지를 판단할 필요 없이 상기 제어부(110)가 상기 인증요청을 인증하도록 하는 제어신호를 상기 인증기관 시스템(40)으로 전송할 수도 있다.If the
한편, 본 발명의 기술적 사상을 구현하기 위해서는 상기 단말기(예컨대, 20)에 소정의 클라이언트 즉, 애플리케이션(또는 소프트웨어)이 설치될 수 있다. 상기 애플리케이션이 설치되면, 상기 단말기(예컨대, 20)의 하드웨어와 상기 애플리케이션이 유기적으로 결합하여 본 발명의 기술적 사상에 따른 클라이언트 시스템(200)이 구현될 수 있다. In order to implement the technical idea of the present invention, a predetermined client, that is, an application (or software), may be installed in the terminal (for example, 20). When the application is installed, the
도4는 본 발명의 실시 예에 따른 클라이언트 시스템의 개략적인 구성을 나타낸다.4 shows a schematic configuration of a client system according to an embodiment of the present invention.
우선 도4를 참조하면, 본 발명의 기술적 사상을 구현하기 위한 클라이언트 시스템(200)은 사용자의 단말기(예컨대, 20)에 포함되어 구현될 수 있다.4, a
따라서 상기 단말기(예컨대, 20)가 본 발명의 기술적 사상을 구현하기 위한 소정의 기능을 수행한다고 함은, 상기 단말기(예컨대, 20)에 설치된 상기 클라이언트 시스템(200)이 상기 기능을 수행함을 의미할 수도 있다. 예컨대, 상기 이벤트 발생신호를 출력하거나, 상기 특정 이벤트가 발생함을 판단하는 등의 기능은 상기 클라이언트 시스템(200)에 의해 수행될 수 있다. Accordingly, when the terminal (for example, 20) performs a predetermined function for realizing the technical idea of the present invention, it means that the
상기 클라이언트 시스템(200)은 제어모듈(210) 및 판단모듈(220)을 포함할 수 있다. 상기 제어모듈(210)은 상기 판단모듈(220) 및/또는 상기 단말기(예컨대, 20)의 다른 구성들의 기능 및/또는 리소스를 제어할 수 있도록 구현될 수 있다. The
상기 판단모듈(220)은 상기 단말기(예컨대, 20)에 특정 이벤트가 발생했는지 판단할 수 있다. 상기 특정 이벤트는 전술한 바와 같이 상기 단말기(예컨대, 20)와 상기 근거리 무선통신장치(30)가 근거리 무선통신을 수행하는 이벤트일 수도 있고, 상기 단말기(예컨대, 20)를 통해 소정의 인증정보(예컨대, 비밀번호, 생체정보, OTP, 공인인증서 등)를 이용한 인증 이벤트일 수도 있다. 상기 단말기(예컨대, 20)를 통해 인증 이벤트가 수행되는 경우에는, 상기 인증정보는 상기 단말기(예컨대, 20)에 저장되어 있을 수도 있지만 상기 인증정보를 인증할 수 있는 소정의 네트워크 시스템(예컨대, OTP 인증시스템, 생체정보 인증시스템, 또는 공인인증서 인증시스템 등)에 상기 인증정보가 저장되어 있을 수도 있다. 이러한 경우에는 상기 네트워크 시스템으로부터 인증이 성공했음을 상기 판단모듈(220)이 수신하여야 상기 특정 이벤트가 수행되었다고 판단할 수 있다. The
상기 판단모듈(220)에 의해 상기 특정 이벤트가 발생했다고 판단되면, 상기 제어모듈(210)은 상기 인증제어시스템(100)으로 이벤트 발생신호를 전송할 수 있으며, 상기 이벤트 발생신호가 상기 제어모듈(210)로부터 상기 인증제어시스템(100)으로 출력되면, 상기 인증제어시스템(100)은 전술한 바와 같이 인증 가능기간동안에만 제한적으로 요청장치(예컨대, 20-1)로부터 수신되는 인증요청에 응답하여 상기 인증기관 시스템(40)이 인증을 수행하도록 인증제어를 수행할 수 있다. If it is determined by the
상기 제어모듈(210)은 상기 단말기(예컨대, 20)의 식별정보(예컨대, 전화번호, IMEI 등)를 추출할 수 있고, 추출된 정보를 상기 이벤트 발생신호에 포함시킬 수 있다. 구현 예에 따라서는, 상기 특정 이벤트가 상기 단말기(예컨대, 20)와 상기 근거리 무선통신장치(30)의 근거리 무선통신인 경우, 상기 근거리 무선통신장치(30)의 식별정보를 상기 근거리 무선통신을 통해 수신한 후 상기 이벤트 발생신호에 포함시킬 수도 있다. 또는 소정의 방식으로 상기 근거리 무선통신장치(30)의 사용자를 인증하고, 인증결과에 따라 상기 근거리 무선통신장치(30)의 명의자의 정보를 상기 이벤트 발생신호에 포함시킬 수도 있다. 예컨대, 상기 제어모듈(210)은 사용자로부터(상기 단말기(예컨대, 20)로부터) 직접 사용자 식별정보(예컨대, ID, 이름, 주민번호 등)를 입력받고, 입력받은 정보를 상기 이벤트 발생신호에 포함시킬 수도 있다.The
또한, 전술한 바와 같이 상기 제어모듈(210)은 상기 근거리 무선통신장치(30)를 인증할 수도 있다. 상기 제어모듈(210)이 상기 근거리 무선통신장치(30)를 인증하는 방식은 다양할 수 있다. 예컨대, 상기 근거리 무선통신장치(30)의 식별정보가 미리 상기 단말기(20)에 저장되어 있는 경우에는, 상기 근거리 무선통신을 수행한 상기 근거리 무선통신장치(30)의 식별정보가 상기 단말기(20)에 미리 저장된 식별정보에 상응하는지를 상기 제어모듈(210)이 판단함으로써 상기 제어모듈(210)은 상기 근거리 무선통신장치(30)를 인증할 수 있다. 또한, 보다 높은 보안성을 위해서는 상기 근거리 무선통신장치(예컨대, IC카드, 30)가 소정의 난수(random number)를 생성하고, 생성된 난수를 비대칭 암호화 방식을 통해 인증하는 크립토그램 방식이 이용될 수도 있다. 구현 예에 따라서는 상기 근거리 무선통신장치(30)가 OTP를 생성하는 OTP클라이언트 역할을 수행하고, 상기 제어모듈(210)이 OTP를 인증하는 OTP 서버 역할을 수행할 수도 있다. 다양한 방식으로 상기 제어모듈(210)은 상기 근거리 무선통신장치(30)를 인증할 수 있다. 물론, 상기 근거리 무선통신장치(30)의 인증은 전술한 바와 같이 상기 인증제어시스템(100)에 의해 수행될 수도 있다. 예컨대, 상기 근거리 무선통신장치(30)가 생성한 난수를 비대칭 암호화 방식을 통해 인증하는 두 장치가 상기 인증제어시스템(100) 및 상기 근거리 무선통신장치(30)일 수도 있다. 이러한 경우, 상기 클라이언트 시스템(200)은 단순히 상기 인증제어시스템(100)과 상기 근거리 무선통신장치(30)사이의 통신을 중개하는 기능을 수행할 수도 있다. 상기 근거리 무선통신장치(30)가 OTP 클라이언트 역할을 수행하는 경우에도, 상기 인증제어시스템(100)이 OTP 서버의 역할을 수행하여 상기 근거리 무선통신장치(30)를 인증할 수도 있다.Also, as described above, the
상기 이벤트가 상기 근거리 무선통신인 경우, 사용자는 간단히 자신의 단말기(예컨대, 20) 및/또는 자신의 근거리 무선통신장치(30)를 통해 인증 수행의사 표시를 수행할 수 있고, 이러한 의사표시가 있을 때에만 상기 인증기관 시스템(40)에 의해 인증이 수행될 수 있다. If the event is the short-range wireless communication, the user can simply perform a willingness to perform authentication through his / her terminal (e.g., 20) and / or his / her local area
사용자는 비교적 오랜 기간 동안 인증을 수행하고자 할 때 상기 제어모듈(210)이 제공하는 소정의 UI를 통해 기간정보를 입력할 수도 있고, 상기 제어모듈(210)은 상기 기간정보를 상기 이벤트 발생신호에 포함시켜 상기 인증제어시스템(100)으로 전송할 수도 있다. 그러면, 상기 인증 가능기간 동안에는 반복적으로 특정 행위를 수행하지 않더라도 서비스가 수행될 수도 있다.The user may input period information through a predetermined UI provided by the
도5는 본 발명의 일 실시 예에 따른 비대칭 암호화 방식의 인증 제어방법의 개략적인 과정을 설명하기 위한 플로우차트이다.5 is a flowchart illustrating an outline process of an asymmetric encryption method authentication control method according to an embodiment of the present invention.
도5는 사용자가 인증을 수행하기 전에 사전적으로 특정 행위 즉, 소정의 이벤트를 발생시키는 일예를 도시하고 있다. 도5를 참조하면, 사용자는 인증을 위해 특정 행위를 수행함으로써 특정 이벤트를 상기 단말기(예컨대, 20)에 발생시킬 수 있다. 그러면, 상기 클라이언트 시스템(200)은 상기 특정 이벤트의 발생을 판단하고, 상기 인증제어시스템(100)으로 이벤트 발생신호를 전송할 수 있다(S100). 사용자는 상기 특정 행위를 수행한 후 소정의 서비스 시스템(10)에서 인증(전자서명)을 요구받고(S110), 이에 응답하여 요청장치(예컨대, 20-1)를 이용하여 인증요청을 출력할 수 있다(S120). 상기 인증요청을 출력하기 위해 사용자는 상기 요청장치(예컨대, 20-1)에서 실행되는 인증서 클라이언트에 인증서의 비밀번호를 입력하여야 함은 물론이다. 상기 인증요청에는 인증서의 개인키뿐만 아니라, 인증기관, 다양한 인증서 정보가 포함될 수 있음은 널리 공지된 바와 같다.FIG. 5 shows an example of generating a specific event, that is, a predetermined event, before the user performs authentication. Referring to FIG. 5, a user may generate a specific event in the terminal (for example, 20) by performing a specific action for authentication. Then, the
상기 요청장치(예컨대, 20-1)로부터 출력된 인증요청은 상기 인증제어시스템(100)으로 전송될 수 있다(S120). 상기 인증제어시스템(100)은 수신된 인증요청이 인증조건을 만족하는지 여부를 판단할 수 있다(S130). 그리고 인증조건이 만족한다고 판단한 경우에는 상기 인증요청을 상기 인증기관 시스템(40)으로 전송할 수 있다(S140). 그러면 상기 인증기관 시스템(40)은 수신된 인증요청을 인증하고, 인증결과를 상기 인증제어시스템(100)을 통해서 또는 상기 요청장치(예컨대, 20-1) 즉, 상기 인증서 클라이언트로 직접 전송할 수 있다(S150). 그러면 상기 요청장치(예컨대, 20-1)는 상기 서비스 시스템(10)으로 인증결과를 전송함으로써, 사용자가 인증(또는 요청된 거래가 전자서명)될 수 있다(S160).The authentication request output from the requesting device (e.g., 20-1) may be transmitted to the authentication control system 100 (S120). The
상기 인증조건이 만족하는 경우는 인증 가능기간에 상기 인증요청이 수신된 경우일 수 있다. 상기 인증 가능기간은 예컨대, 상기 이벤트 발생신호가 수신된 수신시점으로부터 일정 기간 내일 수 있다. 구현 예에 따라서는, 상기 인증요청이 먼저 수신되고 상기 이벤트 발생신호가 수신될 수도 있다. 즉, 사용자는 인증요청을 먼저 출력하고 상기 단말기(20)를 통해 특정 행위를 수행할 수도 있다. 이러한 경우에는 상기 인증 가능기간은 상기 이벤트 발생신호가 수신된 시점 이전의 일정 기간내일 수도 있다. 물론, 상기 이벤트 발생신호에 소정의 기간정보가 포함될 수도 있으며, 이러한 경우에는 상기 기간정보에 상응하는 기간이 인증 가능기간일 수도 있다. If the authentication condition is satisfied, the authentication request may be received in the authentication enable period. The authenticatable period may be, for example, a predetermined period of time after the receipt of the event generation signal. In some implementations, the authentication request may be received first and the event generation signal may be received. That is, the user may output an authentication request first and perform a specific action through the terminal 20. In this case, the authenticatable period may be a predetermined period before the event generation signal is received. Of course, the event generation signal may include predetermined period information, and in this case, the period corresponding to the period information may be an authenticable period.
일예에 의하면, 사용자는 상기 클라이언트 시스템(200)을 상기 단말기(예컨대, 20)에서 실행시킨 후 상기 특정 행위를 수행할 수 있다. 구현 예에 따라서는, 상기 특정 행위(예컨대, 근거리 무선통신)를 수행하면 자동으로 상기 클라이언트 시스템(200)이 상기 단말기(예컨대, 20)에서 실행될 수도 있다. For example, the user may execute the
만약, 상기 인증제어시스템(100)의 판단결과, 상기 인증조건이 만족하지 않는다고 판단되면 상기 인증제어시스템(100)은 수신된 인증요청을 상기 인증기관 시스템(40)으로 전송하지 않을 수 있다. 그럼으로써 상기 인증요청은 인증이 수행되지 않을 수 있다. If it is determined by the
다른 실시 예에 의하면, 상기 인증요청은 상기 인증제어시스템(100)으로 전송되는 것이 아니라, 직접 상기 인증기관 시스템(40)으로 전송될 수도 있다. 이러한 경우에는 상기 인증기관 시스템(40)은 상기 인증제어시스템(100)의 제어신호에 기초하여 수신되는 인증요청의 인증을 수행할지 여부를 판단할 수 있다.According to another embodiment, the authentication request may not be sent to the
한편, 상기 인증제어시스템(100)은 상기 인증요청이 필터링 조건을 만족하는지 여부를 더 판단할 수도 있다. 그리고 필터링 조건을 만족하는 인증요청에 대해서만 인증조건의 만족여부를 판단하고, 필터링 조건을 만족하지 않는 인증요청에 대해서는 인증조건의 만족여부와 무관하게 인증이 수행되도록 할 수도 있음은 전술한 바와 같다. 또한, 소정의 우선순위를 만족하는 인증요청에 대해서만 인증이 수행되도록 제어할 수 있음도 전술한 바와 같다.Meanwhile, the
도6는 본 발명의 다른 실시 예에 따른 비대칭 암호화 방식의 인증 제어방법의 개략적인 과정을 설명하기 위한 플로우차트이다.6 is a flowchart illustrating an outline process of an asymmetric encryption method authentication control method according to another embodiment of the present invention.
도6은 도5와는 달리 사용자가 능동적으로 특정 행위를 수행하는 것이 아니라, 상기 인증제어시스템(100) 또는 클라이언트 시스템(200)에 의해 특정 행위의 요청이 되는 경우를 도시하고 있다. FIG. 6 illustrates a case where a user does not actively perform a specific action but requests a specific action by the
도6을 참조하면, 사용자 즉, 요청장치(예컨대, 20-1)는 소정의 서비스 시스템(10)으로부터 인증(전자서명)을 요구받을 수 있다(S200). 그러면, 상기 요청장치(예컨대, 20-1)에는 인증서 클라이언트가 로딩될 수 있다. 상기 인증서 클라이언트는 사용자로부터 인증서 비밀번호를 입력받기 전 또는 후에 사용자에게 소정의 단말기(20)를 통해 특정 행위를 수행하라는 정보를 상기 요청장치(예컨대, 20-1)에 출력할 수 있다(S210). 그러면 사용자는 상기 특정 행위를 수행함으로써 상기 단말기(20)를 통해 이벤트 발생신호를 상기 인증제어시스템(100)으로 출력할 수 있다(S230). 이러한 경우에는 상기 인증서 클라이언트가 본 발명의 기술적 사상에 따라 상기 사용자에게 상기 특정 행위를 요청하는 기능을 수행할 수 있도록 구현될 수 있다. 상기 인증서 클라이언트는 상기 단말기(20)에서 상기 특정 행위가 수행되기 전에는 상기 인증요청을 상기 인증제어시스템(100) 또는 상기 인증기관 시스템(40)으로 출력하지 않도록 구현될 수도 있다. 이러한 경우, 상기 인증서 클라이언트는 상기 인증제어시스템(100)으로부터 이벤트 발생신호가 수신되었음을 나타내는 신호를 수신하고, 상기 신호가 수신되어야 개인키를 추출하거나 또는 이미 추출된 개인키를 포함하는 인증요청을 출력할 수도 있다. 물론, 상기 단말기(20)가 상기 요청장치(예컨대, 20-1)인 경우에는 이벤트가 발생하였음을 상기 인증서 클라이언트가 판단할 수 있다. 즉, 이러한 경우에는 상기 인증서 클라이언트가 전술한 바와 같은 클라이언트 시스템(200)의 기능 또는 역할을 수행할 수도 있다.Referring to FIG. 6, a user (e.g., 20-1) may be requested to authenticate (digital signature) from a predetermined service system 10 (S200). Then, the requesting device (e.g., 20-1) may be loaded with a certificate client. The certificate client may output information to the requesting device (e.g., 20-1) to perform a specific action through a predetermined terminal 20 (S210) before or after receiving the certificate password from the user. Then, the user can output an event generation signal to the
다른 실시 예에 의하면, 상기 인증서 클라이언트를 통해 인증요청이 상기 인증제어시스템(100)으로 출력되면(S220), 상기 인증제어시스템(100)은 상기 인증요청에 상응하는 사용자를 특정하고 특정된 사용자의 상기 단말기(20)에 설치된 클라이언트 시스템(200)을 통해 특정 행위 즉, 이벤트를 요청할 수 있다(S220-1). 그러면 사용자는 요청에 응답하여 이벤트를 발생시키기 위한 상기 특정행위를 수행함으로써 이벤트 발생신호를 상기 인증제어시스템(100)으로 출력할 수 있다(S230). According to another embodiment of the present invention, when an authentication request is output to the
이처럼 사용자에게 특정 행위를 수행하도록 상기 인증제어시스템(100) 또는 상기 인증서 클라이언트가 요청하는 경우에는 요청에 응답하여 상기 이벤트가 발생하는지 여부가 인증조건의 만족여부일 수 있다. 따라서 이러한 경우에는 별도로 인증조건의 만족여부를 판단하지 않을 수도 있다. 물론, 구현 예에 따라서는 일정 시간 내에 상기 이벤트가 발생하는지를 판단함으로써 인증조건의 만족여부를 더 판단할 수도 있다. In the case where the
상기 인증제어시스템(100)은 상기 이벤트 발생신호가 수신되면 상기 요청장치(예컨대, 20-1)로부터 수신된 인증요청을 상기 인증기관 시스템(40)으로 전송할 수 있다(S240). The
그러면 상기 인증기관 시스템(40)은 인증을 수행하고, 인증결과를 상기 인증제어시스템(100)을 통해 또는 직접 상기 요청장치(예컨대, 20-1)로 출력할 수 있다(S250). 그러면 요청장치(예컨대, 20-1)는 상기 서비스 시스템(10)과 통신을 수행하여 인증(전자서명)을 완료할 수 있다(S260). Then, the
물론, 도6의 경우에도 필터링 조건을 만족하는지 여부, 미리 설정된 우선순위를 만족하는지 여부 등이 상기 인증제어시스템(100)에 의해 더 판단될 수 있음은 물론이다. Of course, in the case of FIG. 6, it is needless to say that the
결국, 본 발명의 기술적 사상에 따르면 소정의 특정 행위를 수행한 자는 정당한 명의자로 추정이 되고, 상기 명의자의 행위(예컨대, 근거리 무선통신을 수행하는 행위)에 의해 제한적으로 인증이 수행되는 효과가 있다. As a result, according to the technical idea of the present invention, a person who has performed a predetermined action is estimated to be a legitimate person, and the effect is that limited authentication is performed by the act of the person (for example, performing a short-range wireless communication) .
또한, 서비스 이용을 위한 의사표시가, 상기 인증기관 시스템(40) 또는 상기 인증제어시스템(100)에 의한 사용자 인증을 통해서가 아니라, 의사표시를 하는 자가 사용자 명의의 장치(예컨대, 인증정보를 이용한 인증이 특정 행위인 경우에는 상기 단말기(예컨대, 20), 근거리 무선통신이 특정 행위인 경우에는 상기 단말기(예컨대, 20) 또는 상기 근거리 무선통신장치(30))를 적어도 하나 소지하고 있음이 확인되어야 수행될 수 있으므로 인증기관 시스템(40) 또는 인증제어시스템(100)이 제공하는 사용자 인증(예컨대, 로그인 등)이 공격자에 의해 더 이상 제 기능을 발휘하지 못하는 경우에도 여전히 공격자에게 인증이 수행될 수 있는 것이 차단되는 효과가 있다. It is also possible that the intention to use the service is displayed not by the user authentication by the
더구나 사용자의 입장에서도 비교적 간단한 행위(예컨대, 근거리 무선통신 등)만으로 안전하게 인증요청에 대한 인증 또는 필터링 조건을 만족하는 인증요청에 대한 선택적인 인증이 수행될 수 있는 효과가 있다. In addition, the user can securely perform the authentication for the authentication request or the selective authentication for the authentication request satisfying the filtering condition with a relatively simple action (e.g., near-field wireless communication).
본 발명의 실시 예에 따른 인증 제어방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.The authentication control method according to the embodiment of the present invention can be implemented as a computer-readable code on a computer-readable recording medium. A computer-readable recording medium includes all kinds of recording apparatuses in which data that can be read by a computer system is stored. Examples of the computer-readable recording medium include a ROM, a RAM, a CD-ROM, a magnetic tape, a hard disk, a floppy disk, an optical data storage device, and the like in the form of a carrier wave (for example, . The computer readable recording medium may also be distributed over a networked computer system so that computer readable code can be stored and executed in a distributed manner. And functional programs, codes, and code segments for implementing the present invention can be easily inferred by programmers skilled in the art to which the present invention pertains.
본 발명은 도면에 도시된 일 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, is intended to cover various modifications and equivalent arrangements included within the spirit and scope of the appended claims. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.
Claims (18)
상기 인증제어시스템이, 수신된 상기 인증요청을 소정의 인증조건의 만족여부에 따라 선택적으로 인증기관 시스템으로 전송함으로써 상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 단계를 포함하며,
상기 인증조건은,
상기 인증요청에 상응하는 사용자의 단말기로부터 상기 단말기에 소정의 이벤트가 발생한 경우에 출력되는 이벤트 발생신호가 수신되는지 여부인 것을 특징으로 하는 비대칭 암호화 방식의 인증 제어방법.
The authentication control system comprising: receiving an authentication request using an asymmetric encryption scheme output from the authentication requesting apparatus; And
Wherein the authentication control system includes performing authentication control such that authentication corresponding to the authentication request is selectively performed by selectively transmitting the received authentication request to the certification authority system according to whether the predetermined authentication condition is satisfied ,
The authentication condition includes:
And whether an event generation signal output when a predetermined event occurs in the terminal is received from a user terminal corresponding to the authentication request.
상기 인증제어시스템이 상기 인증요청을 수신하기 전에 상기 이벤트 발생신호를 상기 단말기로부터 수신하는 단계를 더 포함하며,
상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 단계는,
상기 인증제어시스템이 상기 이벤트 발생신호에 기초하여 설정되는 소정의 인증 가능기간 내에 상기 인증요청이 수신되어야 상기 인증조건을 만족했다고 판단하는 단계를 포함하는 비대칭 암호화 방식의 인증 제어방법.
The method as claimed in claim 1, wherein the asymmetric encryption method comprises:
Further comprising receiving the event generation signal from the terminal before the authentication control system receives the authentication request,
Wherein performing authentication control such that authentication corresponding to the authentication request is selectively performed comprises:
Wherein the authentication control system determines that the authentication condition is satisfied if the authentication request is received within a predetermined authentication period set based on the event generation signal.
상기 이벤트 발생신호가 상기 인증제어시스템으로 수신된 시점 또는 상기 이벤트가 발생한 시점으로부터 미리 결정된 기간 내이거나,
상기 단말기로부터 입력된 소정의 기간정보에 상응하는 기간인 것을 특징으로 하는 비대칭 암호화 방식의 인증 제어방법.
3. The method according to claim 2,
Wherein the event generation signal is within a predetermined period from when the event generation signal is received by the authentication control system or when the event occurs,
Wherein the period is a period corresponding to predetermined period information input from the terminal.
상기 인증제어시스템이 상기 인증 가능기간에 복수의 인증요청이 수신되어도, 미리 결정된 우선순위에 해당하는 인증요청에 대해서만 인증제어를 수행하는 것을 특징으로 하는 비대칭 암호화 방식의 인증 제어방법.
3. The method of claim 2, wherein performing authentication control to selectively perform authentication corresponding to the authentication request comprises:
Wherein the authentication control system performs authentication control only for an authentication request corresponding to a predetermined priority even if a plurality of authentication requests are received in the authentication enabling period.
상기 인증제어시스템 또는 상기 인증요청을 위해 상기 인증 요청장치에 설치된 인증서 클라이언트가 상기 이벤트의 실행을 상기 단말기 또는 상기 인증 요청장치에 요청하는 단계; 및
상기 요청에 응답하여 상기 인증제어시스템은 상기 단말기로부터 상기 이벤트 발생신호를 수신하는 단계를 더 포함하는 비대칭 암호화 방식의 인증 제어방법.
The method as claimed in claim 1, wherein the asymmetric encryption method comprises:
Requesting, by the authentication control system or a certificate client installed in the authentication request device for the authentication request, the execution of the event to the terminal or the authentication requesting device; And
Wherein the authentication control system further comprises receiving the event generation signal from the terminal in response to the request.
상기 인증제어시스템이 수신된 상기 이벤트 발생신호에 기초하여 인증이 허용될 상기 사용자를 특정하는 단계를 더 포함하며,
상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 단계는,
상기 인증요청이 특정된 상기 사용자에 상응하여야, 상기 인증요청에 대한 인증제어를 수행하는 단계를 포함하는 비대칭 암호화 방식의 인증 제어방법.
The method as claimed in claim 1, wherein the asymmetric encryption method comprises:
Further comprising the step of the authentication control system specifying the user to be permitted to authenticate based on the received event occurrence signal,
Wherein performing authentication control such that authentication corresponding to the authentication request is selectively performed comprises:
And performing an authentication control on the authentication request, the authentication request corresponding to the user identified as the authentication request.
상기 인증제어시스템이 상기 이벤트 발생신호를 전송한 상기 단말기의 명의자를 상기 사용자로 특정하는 단계; 또는
상기 인증제어시스템이 상기 이벤트의 발생을 위해 상기 단말기와 근거리 무선통신을 수행하는 근거리 무선통신장치의 명의자를 상기 사용자로 특정하는 단계를 포함하는 비대칭 암호화 방식의 인증 제어방법.
7. The method of claim 6, wherein the authenticating control system specifies the user to be authenticated based on the received event occurrence signal,
Identifying the name of the terminal to which the authentication control system has transmitted the event generation signal as the user; or
Wherein the authentication control system identifies, as the user, a name of a short-range wireless communication device that performs short-range wireless communication with the terminal for the generation of the event.
상기 인증제어시스템이 수신된 상기 인증요청이 미리 설정된 필터링 조건을 만족하는지를 판단하는 단계를 더 포함하며,
상기 인증제어시스템은 상기 필터링 조건을 만족하는 인증요청에 대해서만 인증조건을 만족하여야 상기 인증요청을 상기 인증기관 시스템으로 전송하는 상기 인증제어를 수행하고, 상기 필터링 조건을 만족하지 않는 인증요청에 대해서는 상기 인증조건의 만족여부와 무관하게 상기 인증요청을 상기 인증기관 시스템으로 전송하는 비대칭 암호화 방식의 인증 제어방법.
The method as claimed in claim 1, wherein the asymmetric encryption method comprises:
Wherein the authentication control system further comprises determining whether the authentication request received satisfies a predetermined filtering condition,
Wherein the authentication control system performs the authentication control for transmitting the authentication request to the certification authority system only if the authentication request satisfies the authentication condition only when the filtering condition is satisfied, Wherein the authentication request is transmitted to the certification authority system regardless of whether the authentication condition is satisfied or not.
상기 인증 요청장치의 속성, 상기 인증 요청장치와 연결된 서비스 시스템의 속성, 인증요청 시간, 또는 상기 인증요청에 상응하는 금액 중 적어도 하나에 의해 결정되는 것을 특징으로 하는 비대칭 암호화 방식의 인증 제어방법.
9. The method of claim 8,
An attribute of the authentication request device, an attribute of a service system connected to the authentication request device, an authentication request time, or an amount corresponding to the authentication request.
상기 단말기와 소정의 근거리 무선통신장치가 근거리 무선통신을 하는 이벤트; 또는
상기 단말기 또는 상기 단말기와 유무선 네트워크를 통해 연결된 소정의 인증시스템에 의해 상기 사용자가 인증되는 이벤트;
중 적어도 하나를 포함하는 것을 특징으로 하는 비대칭 암호화 방식의 인증 제어방법.
The method according to claim 1,
An event in which the terminal and a predetermined short range wireless communication apparatus perform short range wireless communication; or
An event in which the user is authenticated by a predetermined authentication system connected to the terminal or the terminal through a wire / wireless network;
Wherein the at least one authentication method comprises at least one of an asynchronous encryption method and an asynchronous encryption method.
상기 인증요청 장치와는 별개의 상기 사용자의 단말기인 것을 특징으로 하는 비대칭 암호화 방식의 인증 제어방법.
The terminal according to claim 1,
Wherein the authentication requesting device is a terminal of the user different from the authentication requesting device.
A computer-readable recording medium recording a program for performing the method according to any one of claims 1 to 11.
상기 인증요청에 상응하는 사용자의 단말기로부터 상기 단말기에 소정의 이벤트가 발생한 경우에 출력되는 이벤트 발생신호를 수신하기 위한 이벤트 처리부;
상기 이벤트 발생신호가 수신되는지 여부에 따라 소정의 인증조건의 만족여부를 판단하는 판단부; 및
상기 인증조건의 만족여부에 따라 상기 인증요청을 선택적으로 인증기관 시스템으로 전송함으로써 상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 제어부를 포함하는 인증제어시스템.
A request processing unit for receiving an authentication request output from the authentication requesting apparatus;
An event processing unit for receiving an event generation signal output when a predetermined event occurs in the terminal from a user terminal corresponding to the authentication request;
A determination unit determining whether a predetermined authentication condition is satisfied according to whether the event generation signal is received; And
And a controller for performing authentication control so that authentication corresponding to the authentication request is selectively performed by selectively transmitting the authentication request to the certification authority system according to whether the authentication condition is satisfied.
상기 인증요청을 수신하기 전에 상기 이벤트 발생신호를 상기 단말기로부터 수신하며,
상기 판단부는,
상기 이벤트 발생신호에 기초하여 설정되는 소정의 인증 가능기간 내에 상기 인증요청이 수신되어야 상기 인증조건을 만족했다고 판단하는 인증제어시스템.
14. The apparatus of claim 13,
Receiving the event generation signal from the terminal before receiving the authentication request,
Wherein,
And determines that the authentication condition is satisfied if the authentication request is received within a predetermined authentication period set based on the event occurrence signal.
상기 인증 가능기간에 수신된 복수의 인증요청 중 미리 결정된 우선순위에 해당하는 인증요청만 상기 인증기관 시스템으로 전송하는 것을 특징으로 하는 인증제어시스템.
15. The apparatus of claim 14,
Wherein only the authentication requests corresponding to the predetermined priority among the plurality of authentication requests received in the authentication enabling period are transmitted to the certification authority system.
상기 인증요청 장치에 설치된 인증서 클라이언트 또는 상기 단말기에 설치된 클라이언트 시스템을 통해 상기 이벤트의 실행을 요청하고, 상기 요청에 응답하여 상기 단말기로부터 상기 이벤트 발생신호를 수신하는 인증제어시스템.
14. The apparatus of claim 13,
Requesting execution of the event through a certificate client installed in the authentication requesting apparatus or a client system installed in the terminal, and receiving the event generating signal from the terminal in response to the request.
수신된 상기 이벤트 발생신호에 기초하여 인증이 허용될 상기 사용자를 특정하고,
상기 제어부는,
상기 인증요청이 특정된 상기 사용자에 상응하여야, 상기 인증요청에 대한 인증제어를 수행하는 인증제어시스템.
14. The apparatus of claim 13,
The user specifying the user to be permitted to be authenticated based on the received event generation signal,
Wherein,
And performs authentication control for the authentication request such that the authentication request should correspond to the user specified.
수신된 상기 인증요청이 미리 설정된 필터링 조건을 만족하는지를 판단하고,
상기 제어부는,
상기 필터링 조건을 만족하는 인증요청에 대해서만 인증조건을 만족하여야 상기 인증요청을 상기 인증기관 시스템으로 전송하는 상기 인증제어를 수행하고, 상기 필터링 조건을 만족하지 않는 인증요청에 대해서는 상기 인증조건의 만족여부와 무관하게 상기 인증요청을 상기 인증기관 시스템으로 전송하는 인증제어시스템.14. The apparatus of claim 13,
Determining whether the received authentication request satisfies a predetermined filtering condition,
Wherein,
Wherein the authentication control unit performs the authentication control to transmit the authentication request to the certification authority system only if the authentication request satisfies the filtering condition and the authentication condition is satisfied with respect to the authentication request that does not satisfy the filtering condition, And transmits the authentication request to the certification authority system irrespective of the authentication request.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150060013A KR20150059643A (en) | 2015-04-28 | 2015-04-28 | Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150060013A KR20150059643A (en) | 2015-04-28 | 2015-04-28 | Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130142088A Division KR20150058829A (en) | 2013-11-21 | 2013-11-21 | Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20150059643A true KR20150059643A (en) | 2015-06-01 |
Family
ID=53490654
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020150060013A KR20150059643A (en) | 2015-04-28 | 2015-04-28 | Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20150059643A (en) |
-
2015
- 2015-04-28 KR KR1020150060013A patent/KR20150059643A/en not_active Application Discontinuation
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2359526B1 (en) | System and methods for online authentication | |
AU2010215040B2 (en) | System and methods for online authentication | |
EP1933252A1 (en) | Dynamic OTP Token | |
US20160156598A1 (en) | A computer implemented method to improve security in authentication/authorization systems and computer programs products thereof | |
JP2009140231A (en) | Communication system and communication terminal apparatus | |
KR101498120B1 (en) | Digital certificate system for cloud-computing environment and method thereof | |
KR20140011924A (en) | Digital system for pair user authentication, authentication system, and providing method thereof | |
US20240129139A1 (en) | User authentication using two independent security elements | |
Arnosti et al. | Secure physical access with NFC-enabled smartphones | |
KR101410969B1 (en) | Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof | |
AU2016228254A1 (en) | System and methods for online authentication | |
Gruntz et al. | MOONACS: a mobile on-/offline NFC-based physical access control system | |
KR20150077379A (en) | Method for authentication using user apparatus, digital system, and authentication system thereof | |
KR20150059643A (en) | Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof | |
KR20150059642A (en) | Method for providing authentication control, authentication control system thereof | |
JP4578352B2 (en) | Communication mediating apparatus, data providing apparatus, and data providing system | |
KR20150058829A (en) | Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof | |
KR101491515B1 (en) | Method for authentication using user apparatus, digital system, and authentication system thereof | |
KR101572565B1 (en) | Method for providing active service control, active service control system, and client system thereof | |
Reddy et al. | A comparative analysis of various multifactor authentication mechanisms | |
KR20150089960A (en) | Authentication method, digital system, and authentication system thereof | |
KR101584219B1 (en) | Authentication method, digital system, and authentication system thereof | |
AU2015202677B2 (en) | System and methods for online authentication | |
KR20160087519A (en) | Authentication method for financial transaction, transaction apparatus, authentication apparatus, and financial transaction system | |
KR20140047058A (en) | Digital certificate system for cloud-computing environment and providing method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A107 | Divisional application of patent | ||
WITN | Withdrawal due to no request for examination |