KR101410969B1 - Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof - Google Patents

Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof Download PDF

Info

Publication number
KR101410969B1
KR101410969B1 KR1020130142087A KR20130142087A KR101410969B1 KR 101410969 B1 KR101410969 B1 KR 101410969B1 KR 1020130142087 A KR1020130142087 A KR 1020130142087A KR 20130142087 A KR20130142087 A KR 20130142087A KR 101410969 B1 KR101410969 B1 KR 101410969B1
Authority
KR
South Korea
Prior art keywords
authentication
terminal
authentication request
request
user
Prior art date
Application number
KR1020130142087A
Other languages
Korean (ko)
Inventor
김동진
김대진
심충섭
고진숙
Original Assignee
주식회사 씽크풀
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 씽크풀 filed Critical 주식회사 씽크풀
Priority to KR1020130142087A priority Critical patent/KR101410969B1/en
Application granted granted Critical
Publication of KR101410969B1 publication Critical patent/KR101410969B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Disclosed are an authentication control method for asymmetric cryptography and a system for the same. The authentication control method for asymmetric cryptography comprises the following steps: an authentication control system receives an authentication request using asymmetric cryptography which is output from an authentication requesting device; and the authentication control system selectively transmits the received authentication request to an authentication agency system depending on whether a predetermined authentication condition is satisfied and performs authentication control so that the authentication corresponding to the authentication request can be selectively performed, wherein, the authentication condition relates to whether the system receives an event occurrence signal which is output when a predetermined event occurs in a terminal, from the terminal of a user corresponding to the authentication request.

Description

비대칭 암호화 방식의 인증 제어방법 및 인증제어시스템{Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof}BACKGROUND OF THE INVENTION 1. Field of the Invention [0001] The present invention relates to an authentication control method and an authentication control system for asymmetric cryptosystems,

본 발명은 비대칭 암호화 방식의 인증 제어방법 및 그 시스템에 관한 것으로, 보다 상세하게는 비대칭 암호화 방식을 통한 인증을 수행할 때 인증이 가능한 상황을 제한적으로 설정함으로써 보안성을 높일 수 있는 인증 제어방법 및 그 시스템에 관한 것이다. The present invention relates to an authentication control method and system for asymmetric cryptography, and more particularly, to an authentication control method and an authentication control method for improving security by limiting a situation in which authentication can be performed when performing authentication using an asymmetric cryptosystem, Lt; / RTI >

특히 인증을 수행하는 시스템이 집중되어 있는 환경(예컨대, 공인 인증서를 이용한 인증 등)에 적합한 인증 제어방법 및 그 시스템에 관한 것이다.
And more particularly to an authentication control method and system suitable for an environment in which a system for performing authentication is concentrated (for example, authentication using an official certificate, etc.).

네트워크의 발달로 인해 많은 사람이 네트워크 시스템에 접속하여 다양한 서비스 또는 기능들을 이용하고 있다. 이러한 다양한 서비스를 이용하면서 서비스를 요청하는 사용자의 정당성을 인증하는 것에 대한 중요성은 갈수록 커지고 있다.Due to the development of the network, many people access the network system and use various services or functions. The importance of authenticating the legitimacy of a user requesting a service using these various services is becoming more and more important.

이러한 사용자의 정당성의 인증 즉, 서비스를 요청하는 자가 상기 서비스의 사용을 허락받은 정당한 사용자임을 인증하는 방식으로는 대칭 암호화 방식 및 비대칭 암호화 방식이 있다.There are a symmetric cryptosystem and an asymmetric cryptosystem for authenticating the validity of the user, that is, a method of authenticating that the requestor is a legitimate user permitted to use the service.

대칭형 암호화 방식은 동일한 키를 공유하고 있는 양당사자 간에 인증을 수행하는 방식으로 종래의 다양한 인증방식(예컨대, 비밀번호, 비밀패턴, 생체정보 등)에 이용되어 왔다. 하지만 이러한 대칭형 암호화 방식이 갖는 상대적인 보안상의 취약점으로 인해 최근에는 비대칭형 암호화 방식을 이용한 사용자 인증이 널리 이용되고 있다. Symmetric encryption schemes have been used for various conventional authentication schemes (e.g., passwords, secret patterns, biometric information, etc.) in a manner of performing authentication between two parties sharing the same key. However, due to the relative security weakness of the symmetric encryption method, user authentication using an asymmetric encryption method is widely used.

비대칭형 암호화 방식은 서로 다른 키를 가지고 있는 양당사자간에 인증을 수행하는 방식으로, 현재 전자상거래 등에 널리 사용되는 공인인증서 등을 이용한 사용자 인증이 그 대표적인 일예라 할 수 있다. The asymmetric encryption method is a method of performing authentication between two parties having different keys. User authentication using a public key certificate widely used in electronic commerce or the like is a representative example.

비대칭형 암호화 방식의 일예로 서로 쌍을 이루는 공개키와 개인키를 이용하여 양당사자를 인증하는 방식이 존재하는데, 이러한 비대칭 암호화 방식은 공개키만을 제3자에게 공유하고 개인키는 별도로 타인에게 유통할 필요가 없어서, 상대적으로 대칭키를 타인에게 유통해야 하는 대칭형 암호화 방식에 비해 상대적으로 보안성이 높은 방식으로 알려져 있다. There is a method of authenticating both parties using a public key and a private key which are paired with each other in an asymmetric encryption scheme. In this asymmetric encryption scheme, only a public key is shared by a third party, It is known that it is relatively secure compared to the symmetric encryption method in which the symmetric key should be distributed to the other person.

하지만, 이러한 비대칭 암호화 방식 역시 공격자(예컨대, 해커 등)에 의해 부정하게 인증이 성공하는 사례가 빈번히 발생하고 있어서 그 피해는 매우 심각한 수준에 이르고 있다. 비대칭 암호화 방식의 보안성의 취약점으로는 개인키가 한번 유출되면, 더 이상 정상적인 인증 기능을 수행하지 못한다는 데에 있다. However, such an asymmetric encryption method is also frequently encountered in an unauthorized authentication success by an attacker (for example, a hacker), and the damage is very serious. A weakness of the asymmetric cryptographic security is that once the private key is leaked, it can no longer perform normal authentication functions.

그런데 최근 들어 모바일 디바이스(예컨대, USB 저장장치, 스마트 폰 등)의 다양화로 인해 개인키 자체를 저장하고 있는 디바이스가 다양해지고 있어서 개인키(예컨대, 공인인증서 등) 자체가 유출될 위험이 매우 증가하고 있는 실정이다. 또한, 비록 개인키 자체가 암호화된 상태로 다양한 디바이스들에 저장되고는 있지만, 암호화된 개인키로부터 개인키를 추출하기 위한 패스워드가 다양한 공격기법(예컨대, 키 로깅(key logging), 메모리 해킹, 피싱(pishing) 또는 파밍(pharming) 등)에 의해 노출될 가능성이 있다. 따라서 설령 암호화되어 있더라도 개인키 자체가 유출되는 경우에는 심각한 보안상의 위협이 될 수 있다. 특히 개인키를 보관하는 디바이스가 다수화 또는 다양화됨으로 인해 위험은 배가 되고 있는 실정이다.[0003] However, due to diversification of mobile devices (for example, USB storage devices, smart phones, etc.) in recent years, the number of devices storing the private keys themselves has been diversified and the risk of leakage of private keys In fact. Also, although the private key itself is stored in various devices in an encrypted state, the password for extracting the private key from the encrypted private key may be used for various attack techniques (e.g., key logging, memory hacking, (e.g., piling or pharming). Therefore, if the private key itself is leaked even if it is encrypted, it could be a serious security threat. Especially, the number of devices that store private keys is increased or diversified.

더구나, 비대칭 암호화 방식 중 대표적으로 많이 쓰이고 있는 공인인증서는 금융기관의 금융거래 또는 전자상거래 등과 같이 다양한 용도에 범용적으로 사용될 수 있는 환경으로 설계가 되어 있고, 이로 인해 거래 상대방 또는 전자서명을 인증하는 주체가 개인이라기보다는 공인된 기관 또는 주체에 의해 수행된다는 특징이 있다. 따라서 공인인증서를 이용한 인증의 경우에는, 제한된 개인들끼리 서로를 인증하기 위한 환경이 아니라, 인증측에서는 다수의 불특정 사용자를 인증하게 되므로 특히 개인키를 포함하고 있는 인증서가 유출되는 경우에는 매우 심각한 보안상의 위협이 된다. In addition, the authentication certificate, which is widely used among asymmetric encryption schemes, is designed as an environment that can be universally used for various purposes such as financial transactions or e-commerce transactions of financial institutions. As a result, It is characterized by the subject being performed by an authorized body or entity rather than by an individual. Therefore, in the case of authentication using a public certificate, rather than an environment for mutually authenticating each other, the authentication side authenticates a large number of unspecified users. Therefore, when a certificate including a private key is leaked, It becomes a threat.

즉, 공격자는 사용자의 공인인증서 및 공인인증서의 인증 비밀번호까지 획득하게 되면 언제든지 상기 사용자를 사칭한 전자서명을 할 수 있게 된다. 그리고 공인인증서 및 인증 비밀번호가 탈취되고 사용자를 사칭한 공격자의 공격이 발생하는 경우, 이에 대해 방어를 할 수 있는 방법이 마땅히 마련되지 못하고 있는 실정이다.That is, if the attacker obtains the authentication certificate of the user's public key certificate and the public key certificate, the attacker can electronically sign the user at any time. In addition, if the authentication certificate and the authentication password are captured and an attack by an attacker who masquerades as a user occurs, a method to defend against the attack is inadequate.

이러한 문제점을 해결하기 위해 공인인증서를 재발급할 수 있는 단말기를 특정 단말기(지정 단말기)로 제한하는 방식이 강제적으로 시행되고 있기도 하다. 하지만 이러한 방식 역시 이미 공인인증서가 탈취된 상태이고, 정당 사용자가 이를 인지하지 못하거나 공인인증서를 재발급 받지 않는 경우에는 부정 인증을 막지 못하는 문제점이 여전히 존재하게 된다.
In order to solve such a problem, a method of restricting a terminal that can reissue an authorized certificate to a specific terminal (designated terminal) has been forcibly carried out. However, this method also has a problem that the authorized certificate is already captured, and the authorized user can not prevent the unauthorized authentication if the user does not recognize it or if the authorized certificate is not reissued.

1. 한국특허출원 공개번호 10-2010-0110064 "공인인증서 사용제한 시스템 및 그 방법"1. Korean Patent Application Publication No. 10-2010-0110064 "Authorized Certificate Usage Restriction System and Method" 2. 한국특허출원 공개번호 10-2010-0125518 "공인인증서 사용제한 시스템 및 그 방법"2. Korean Patent Application Publication No. 10-2010-0125518 "Authorized Certificate Usage Restriction System and Method"

따라서 본 발명이 이루고자 하는 기술적인 과제는 비대칭 암호화 방식을 통한 인증방법에 있어서, 인증을 수행하겠다는 의사표시를 정당한 사용자가 명시적으로 수행한 경우에만 제한적으로 상기 인증이 수행될 수 있도록 함으로써, 개인키가 유출된 경우에도 이러한 의사표시가 없는 경우에는 인증이 수행되지 않도록 하는 방법 및 시스템을 제공하는 것이다.SUMMARY OF THE INVENTION The present invention has been made in view of the above problems, and it is an object of the present invention to provide an authentication method using asymmetric cryptography, which can perform authentication only when a legitimate user explicitly performs an authentication, And to prevent the authentication from being performed in the case where there is no such indication.

또한, 이러한 의사표시를 비교적 간단하면서도 보안성이 높은 방식으로 정당한 사용자가 서비스 제어시스템에 전달할 수 있는 방법 및 시스템을 제공하는 것이다. It is also an object of the present invention to provide a method and system by which a legitimate user can transmit such a pseudo indication to a service control system in a relatively simple and highly secure manner.

또한, 인증요청 중에서도 특정 조건(예컨대, 필터링 조건)을 만족하는 요청에 대해서만 선택적으로 본 발명의 기술적 사상이 적용될 수 있도록 함으로써, 사용자의 인증 이용 형태에 맞추어 적응적으로 본 발명의 기술적 사상에 따른 보안 정책을 설정할 수 있는 방법 및 시스템을 제공하는 것이다.In addition, by selectively allowing the technical idea of the present invention to be applied only to a request satisfying a specific condition (for example, a filtering condition) among the authentication requests, the security according to the technical idea of the present invention And to provide a method and system for setting a policy.

또한, 사용의사를 표현하는데 사용되는 단말기를 인증을 요청하는 장치와 별개의 사용자 명의의 단말기로 설정할 수 있도록 함으로써, 인증을 요청하는 장치가 공격을 당하는 경우에 허위의 사용의사를 표현하는 것을 차단할 수 있으며, 2팩터 인증 또는 그 이상의 보안성이 높은 인증이 수행될 수 있도록 하는 방법 및 시스템을 제공하는 것이다.
In addition, by allowing the terminal used for expressing the intention to use to be set as a terminal of a user name different from the device requesting authentication, it is possible to prevent expressing false intention to use when an authentication requesting device is attacked And to provide a method and system for allowing two-factor authentication or higher-security authentication to be performed.

상기 기술적 과제를 해결하기 위한 본 발명의 실시 예에 따른 비대칭 암호화 방식의 인증 제어방법은 인증제어시스템이, 인증요청 장치로부터 출력된 비대칭 암호화방식을 이용한 인증요청을 수신하는 단계 및 상기 인증제어시스템이, 수신된 상기 인증요청을 소정의 인증조건의 만족여부에 따라 선택적으로 인증기관 시스템으로 전송함으로써 상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 단계를 포함하며, 상기 인증조건은 상기 인증요청에 상응하는 사용자의 단말기로부터 상기 단말기에 소정의 이벤트가 발생한 경우에 출력되는 이벤트 발생신호가 수신되는지 여부인 것을 특징으로 한다.According to another aspect of the present invention, there is provided an authentication control method of an asymmetric encryption scheme, the authentication control system comprising: receiving an authentication request using an asymmetric encryption scheme output from an authentication requesting apparatus; And performing authentication control so that authentication corresponding to the authentication request is selectively performed by selectively transmitting the received authentication request to the certification authority system according to whether the predetermined authentication condition is satisfied, And whether an event generation signal output when a predetermined event occurs in the terminal is received from a user terminal corresponding to the authentication request.

상기 비대칭 암호화 방식의 인증 제어방법은 상기 인증제어시스템이 상기 인증요청을 수신하기 전에 상기 이벤트 발생신호를 상기 단말기로부터 수신하는 단계를 더 포함하며, 상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 단계는, 상기 인증제어시스템이 상기 이벤트 발생신호에 기초하여 설정되는 소정의 인증 가능기간 내에 상기 인증요청이 수신되어야 상기 인증조건을 만족했다고 판단하는 단계를 포함할 수 있다.Wherein the authentication control method of the asymmetric encryption scheme further comprises receiving the event generation signal from the terminal before the authentication control system receives the authentication request, The step of performing the control may include the step of determining that the authentication control system has satisfied the authentication condition if the authentication request is received within a predetermined authentication period in which the authentication control system is set based on the event generation signal.

상기 인증 가능기간은 상기 이벤트 발생신호가 상기 인증제어시스템으로 수신된 시점 또는 상기 이벤트가 발생한 시점으로부터 미리 결정된 기간 내이거나, 상기 단말기로부터 입력된 소정의 기간정보에 상응하는 기간인 것을 특징으로 할 수 있다.Wherein the authentication enable period is a period within a predetermined period from when the event generation signal is received by the authentication control system or when the event occurs or is a period corresponding to predetermined period information input from the terminal have.

상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 단계는 상기 인증제어시스템이 상기 인증 가능기간에 복수의 인증요청이 수신되어도, 미리 결정된 우선순위에 해당하는 인증요청에 대해서만 인증제어를 수행하는 것을 특징으로 할 수 있다.Wherein the step of performing the authentication control so that the authentication corresponding to the authentication request is selectively performed includes performing authentication control only for the authentication request corresponding to a predetermined priority even when a plurality of authentication requests are received during the authentication- And the like.

상기 비대칭 암호화 방식의 인증 제어방법은 상기 인증제어시스템 또는 상기 인증요청을 위해 상기 인증 요청장치에 설치된 인증서 클라이언트가 상기 이벤트의 실행을 상기 단말기 또는 상기 인증 요청장치에 요청하는 단계 및 상기 요청에 응답하여 상기 인증제어시스템은 상기 단말기로부터 상기 이벤트 발생신호를 수신하는 단계를 더 포함할 수 있다.Wherein the authentication control method of the asymmetric encryption method comprises the steps of: requesting, by the authentication control system or the certificate client installed in the authentication request apparatus for the authentication request, the execution of the event to the terminal or the authentication request apparatus; The authentication control system may further include receiving the event generation signal from the terminal.

상기 비대칭 암호화 방식의 인증 제어방법은 상기 인증제어시스템이 수신된 상기 이벤트 발생신호에 기초하여 인증이 허용될 상기 사용자를 특정하는 단계를 더 포함하며, 상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 단계는 상기 인증요청이 특정된 상기 사용자에 상응하여야, 상기 인증요청에 대한 인증제어를 수행하는 단계를 포함할 수 있다.Wherein the authentication control method of the asymmetric encryption method further includes the step of specifying the user to be permitted to be authenticated based on the event generation signal received by the authentication control system, The step of performing the authentication control may include performing authentication control for the authentication request, the authentication request corresponding to the user specified.

상기 인증제어시스템이 수신된 상기 이벤트 발생신호에 기초하여 인증이 허용될 상기 사용자를 특정하는 단계는 상기 인증제어시스템이 상기 이벤트 발생신호를 전송한 상기 단말기의 명의자를 상기 사용자로 특정하는 단계 또는 상기 인증제어시스템이 상기 이벤트의 발생을 위해 상기 단말기와 근거리 무선통신을 수행하는 근거리 무선통신장치의 명의자를 상기 사용자로 특정하는 단계를 포함할 수 있다.Wherein the step of specifying the user to be permitted to be authenticated based on the event generation signal received by the authentication control system includes the step of specifying, by the user, the name of the terminal to which the authentication control system has transmitted the event generation signal, And the authentication control system may identify the name of the short range wireless communication device for performing short range wireless communication with the terminal for the generation of the event as the user.

상기 비대칭 암호화 방식의 인증 제어방법은 상기 인증제어시스템이 수신된 상기 인증요청이 미리 설정된 필터링 조건을 만족하는지를 판단하는 단계를 더 포함하며, 상기 인증제어시스템은 상기 필터링 조건을 만족하는 인증요청에 대해서만 인증조건을 만족하여야 상기 인증요청을 상기 인증기관 시스템으로 전송하는 상기 인증제어를 수행하고, 상기 필터링 조건을 만족하지 않는 인증요청에 대해서는 상기 인증조건의 만족여부와 무관하게 상기 인증요청을 상기 인증기관 시스템으로 전송할 수 있다.Wherein the authentication control method of the asymmetric encryption scheme further includes a step of determining whether the authentication request received by the authentication control system satisfies a predetermined filtering condition, Wherein the authentication control unit performs the authentication control to transmit the authentication request to the certification authority system when the authentication condition is satisfied, and for the authentication request that does not satisfy the filtering condition, System.

상기 필터링 조건은 상기 인증 요청장치의 속성, 상기 인증 요청장치와 연결된 서비스 시스템의 속성, 인증요청 시간, 또는 상기 인증요청에 상응하는 금액 중 적어도 하나에 의해 결정되는 것을 특징으로 할 수 있다.The filtering condition may be determined by at least one of an attribute of the authentication requesting apparatus, an attribute of a service system connected to the authentication requesting apparatus, an authentication request time, or an amount corresponding to the authentication request.

상기 특정 이벤트는 상기 단말기와 소정의 근거리 무선통신장치가 근거리 무선통신을 하는 이벤트 또는 상기 단말기 또는 상기 단말기와 유무선 네트워크를 통해 연결된 소정의 인증시스템에 의해 상기 사용자가 인증되는 이벤트 중 적어도 하나를 포함하는 것을 특징으로 할 수 있다.The specific event includes at least one of an event in which the terminal and a predetermined local area wireless communication apparatus perform near field wireless communication or an event in which the user is authenticated by a predetermined authentication system connected to the terminal or the terminal via a wired / wireless network . ≪ / RTI >

상기 단말기는 상기 인증요청 장치와는 별개의 상기 사용자의 단말기인 것을 특징으로 할 수 있다. 상기 비대칭 암호화 방식의 인증 제어방법은 프로그램을 기록한 컴퓨터 판독가능한 기록매체에 기록될 수 있다.The terminal may be the user terminal different from the authentication requesting apparatus. The authentication control method of the asymmetric encryption scheme can be recorded in a computer-readable recording medium on which the program is recorded.

상기 기술적 과제를 해결하기 위한 인증제어 시스템은 인증요청 장치로부터 출력된 인증요청을 수신하기 위한 요청 처리부, 상기 인증요청에 상응하는 사용자의 단말기로부터 상기 단말기에 소정의 이벤트가 발생한 경우에 출력되는 이벤트 발생신호를 수신하기 위한 이벤트 처리부, 상기 이벤트 발생신호가 수신되는지 여부에 따라 소정의 인증조건의 만족여부를 판단하는 판단부, 및 상기 인증조건의 만족여부에 따라 상기 인증요청을 선택적으로 인증기관 시스템으로 전송함으로써 상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 제어부를 포함한다.According to an aspect of the present invention, there is provided an authentication control system including a request processing unit for receiving an authentication request output from an authentication requesting apparatus, an event processing unit for generating an event output when a predetermined event occurs in the terminal, A determination unit for determining whether a predetermined authentication condition is satisfied according to whether or not the event generation signal is received; and a determination unit for selectively receiving the authentication request according to whether the authentication condition is satisfied And performing authentication control so that authentication corresponding to the authentication request is selectively performed by transmitting the authentication request.

상기 이벤트 처리부는 상기 인증요청을 수신하기 전에 상기 이벤트 발생신호를 상기 단말기로부터 수신하며, 상기 판단부는 상기 이벤트 발생신호에 기초하여 설정되는 소정의 인증 가능기간 내에 상기 인증요청이 수신되어야 상기 인증조건을 만족했다고 판단할 수 있다.Wherein the event processing unit receives the event generation signal from the terminal before receiving the authentication request, and the determination unit determines that the authentication request is not received within a predetermined authentication period that is set based on the event generation signal, It can be judged satisfactory.

상기 제어부는 상기 인증 가능기간에 수신된 복수의 인증요청 중 미리 결정된 우선순위에 해당하는 인증요청만 상기 인증기관 시스템으로 전송하는 것을 특징으로 할 수 있다.The control unit transmits only the authentication request corresponding to the predetermined priority among the plurality of authentication requests received in the authentication enabling period to the certification authority system.

상기 이벤트 처리부는 상기 인증요청 장치에 설치된 인증서 클라이언트 또는 상기 단말기에 설치된 클라이언트 시스템을 통해 상기 이벤트의 실행을 요청하고, 상기 요청에 응답하여 상기 단말기로부터 상기 이벤트 발생신호를 수신할 수 있다.The event processing unit may request execution of the event through a certificate client installed in the authentication requesting apparatus or a client system installed in the terminal, and may receive the event generating signal from the terminal in response to the request.

상기 판단부는 수신된 상기 이벤트 발생신호에 기초하여 인증이 허용될 상기 사용자를 특정하고, 상기 제어부는 상기 인증요청이 특정된 상기 사용자에 상응하여야, 상기 인증요청에 대한 인증제어를 수행할 수 있다.The determination unit specifies the user to be permitted to be authenticated based on the received event generation signal, and the control unit can perform authentication control for the authentication request so that the authentication request should correspond to the specified user.

상기 판단부는 수신된 상기 인증요청이 미리 설정된 필터링 조건을 만족하는지를 판단하고, 상기 제어부는 상기 필터링 조건을 만족하는 인증요청에 대해서만 인증조건을 만족하여야 상기 인증요청을 상기 인증기관 시스템으로 전송하는 상기 인증제어를 수행하고, 상기 필터링 조건을 만족하지 않는 인증요청에 대해서는 상기 인증조건의 만족여부와 무관하게 상기 인증요청을 상기 인증기관 시스템으로 전송할 수 있다.
Wherein the determination unit determines whether the received authentication request satisfies a predetermined filtering condition, and the control unit determines that the authentication request satisfies the filtering condition only if the authentication request satisfies the filtering condition, And may transmit the authentication request to the certification authority system regardless of whether the authentication condition is satisfied or not for the authentication request that does not satisfy the filtering condition.

본 발명의 기술적 사상에 의하면, 사용자가 인증을 수행하겠다는 의사를 밝히는 경우에만(예컨대, 사용자의 단말기에 특정 이벤트가 발생한 경우에만) 인증이 가능하도록 함으로써, 부정한 사용자에게 인증을 받을 수 있는 가능성을 큰 폭으로 줄일 수 있는 효과가 있다.According to the technical idea of the present invention, it is possible to perform authentication only when a user indicates an intention to perform authentication (for example, only when a specific event occurs in a terminal of a user) Width can be reduced.

또한, 사용자가 인증 수행 의사를 사용자 명의의 장치(예컨대, 핸드폰 및/또는 IC 카드, OTP장치 등)를 적어도 하나 소지하고 있거나, 또는 사용자 본인의 생체정보를 통해서만 밝힐 수 있도록 함으로써, 다중 팩터 인증(2팩터 인증 또는 3팩터 인증 등)이 가능한 효과가 있다. 즉, 공격자가 온라인 등을 통해 공인인증서 등의 개인키를 탈취하고 있더라도 정당 사용자의 인증 수행 의사를 밝힐 수 있는 장치(예컨대, 단말기)를 소지할 수 없으므로 공격자가 인증이 성공하는 것을 방어할 수 있는 효과가 있다. Further, by allowing the user to have at least one device (e.g., a cell phone and / or an IC card, an OTP device, etc.) of the user's name or to disclose only through the biometric information of the user, Two-factor authentication, three-factor authentication, etc.). That is, even if an attacker seizes a private key such as a public certificate through online or the like, the attacker can not possess a device (e.g., a terminal) capable of disclosing an intention to perform authentication of the party user, It is effective.

또한, 본 발명의 기술적 사상에 따르면 개인키가 유출되는 경우라도 인증기관 또는 인증기관의 전단에서 한번 더 인증이 수행되는 효과가 있으므로, 인증의 수행이 중앙집중식으로 이루어질 수 있는 환경에 특히 유리하게 적용될 수 있는 효과가 있다. Also, according to the technical idea of the present invention, even if a private key is leaked, authentication is performed once more at the front end of the certification authority or the certification authority, so that it is particularly advantageously applied to an environment in which authentication can be performed centrally There is an effect that can be.

또한, 특정 조건에 해당하는 인증요청에 대해서만 선택적으로 본 발명의 기술적 사상을 적용할 수 있으므로, 사용자는 자신의 인증이용 행태에 따라 적응적인 보안정책의 설정이 가능하며 서비스 이용에도 불편함을 줄일 수 있는 효과가 있다. In addition, since the technical idea of the present invention can be selectively applied only to the authentication request corresponding to a specific condition, the user can set an adaptive security policy according to his / her own authentication use behavior and can reduce the inconvenience to use the service There is an effect.

또한, 인증을 수행하겠다는 의사표시가 근거리 무선통신인 경우, 간단히 근거리 무선통신을 통해 상기 인증 수행 의사를 밝힐 수 있으므로, 사용자의 입장에서도 절차적으로 간편한 효과가 있다.
Also, in the case of a short-distance wireless communication in which the intention to perform the authentication is to be performed, the intention to perform the authentication through short-distance wireless communication can be easily revealed.

본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도1은 본 발명의 실시 예에 따른 비대칭 암호화 방식의 인증 제어방법을 위한 개략적인 시스템을 나타낸다.
도2는 본 발명의 실시 예에 따른 필터링 조건을 설명하기 위한 도면이다.
도3은 본 발명의 실시 예에 따른 인증제어시스템의 개략적인 구성을 설명하기 위한 도면이다.
도4는 본 발명의 일 실시 예에 따른 클라이언트 시스템의 개략적인 구성을 설명하기 위한 도면이다.
도5는 본 발명의 일 실시 예에 따른 비대칭 암호화 방식의 인증 제어방법의 개략적인 과정을 설명하기 위한 플로우차트이다.
도6은 본 발명의 다른 실시 예에 따른 비대칭 암호화 방식의 인증 제어방법의 개략적인 과정을 설명하기 위한 플로우차트이다.BRIEF DESCRIPTION OF THE DRAWINGS A brief description of each drawing is provided to more fully understand the drawings recited in the description of the invention.
1 shows a schematic system for an authentication control method of an asymmetric encryption scheme according to an embodiment of the present invention.
2 is a diagram for explaining filtering conditions according to an embodiment of the present invention.
3 is a diagram for explaining a schematic configuration of an authentication control system according to an embodiment of the present invention.
4 is a diagram for explaining a schematic configuration of a client system according to an embodiment of the present invention.
5 is a flowchart illustrating an outline process of an asymmetric encryption method authentication control method according to an embodiment of the present invention.
6 is a flowchart illustrating an outline process of an asymmetric cipher authentication control method according to another embodiment of the present invention.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시 예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.In order to fully understand the present invention, operational advantages of the present invention, and objects achieved by the practice of the present invention, reference should be made to the accompanying drawings and the accompanying drawings which illustrate preferred embodiments of the present invention.

또한, 본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터를 '전송'하는 경우에는 상기 구성요소는 상기 다른 구성요소로 직접 상기 데이터를 전송할 수도 있고, 적어도 하나의 또 다른 구성요소를 통하여 상기 데이터를 상기 다른 구성요소로 전송할 수도 있는 것을 의미한다. Also, in this specification, when any one element 'transmits' data to another element, the element may transmit the data directly to the other element, or may be transmitted through at least one other element And may transmit the data to the other component.

반대로 어느 하나의 구성요소가 다른 구성요소로 데이터를 '직접 전송'하는 경우에는 상기 구성요소에서 다른 구성요소를 통하지 않고 상기 다른 구성요소로 상기 데이터가 전송되는 것을 의미한다.Conversely, when one element 'directly transmits' data to another element, it means that the data is transmitted to the other element without passing through another element in the element.

이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시 예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, the present invention will be described in detail with reference to the preferred embodiments of the present invention with reference to the accompanying drawings. Like reference symbols in the drawings denote like elements.

도1은 본 발명의 실시 예에 따른 비대칭 암호화 방식의 인증 제어방법을 위한 개략적인 시스템을 나타낸다.1 shows a schematic system for an authentication control method of an asymmetric encryption scheme according to an embodiment of the present invention.

도1을 참조하면, 본 발명의 실시 예에 따른 비대칭 암호화 방식의 인증 제어방법(이하, '인증 제어방법')을 구현하기 위해서는 인증제어시스템(100)이 구비될 수 있다. 상기 인증제어시스템(100)은 소정의 데이터 프로세싱 장치(예컨대, 서버 등)에 설치되어 구현될 수 있다. 상기 인증제어시스템(100)이 상기 데이터 프로세싱 장치에 설치된다고 함은, 상기 인증제어시스템(100)의 기능을 구현하기 위한 소프트웨어가 상기 데이터 프로세싱 장치에 설치되어, 상기 소프트웨어와 상기 데이터 프로세싱 장치의 하드웨어가 유기적으로 결합되어 본 발명의 기술적 사상을 구현함을 의미할 수 있다. Referring to FIG. 1, an authentication control system 100 may be provided to implement an asymmetric-encryption-type authentication control method (hereinafter referred to as an 'authentication control method') according to an embodiment of the present invention. The authentication control system 100 may be installed and implemented in a predetermined data processing apparatus (e.g., a server, etc.). The authentication control system 100 is installed in the data processing apparatus, wherein software for implementing the functions of the authentication control system 100 is installed in the data processing apparatus, and the hardware of the software and the data processing apparatus May be organically combined to realize the technical idea of the present invention.

일 실시 예에 의하면, 상기 인증제어시스템(100)은 인증요청이 수신되면, 수신된 인증요청에 대해 비대칭 암호화 방식으로 인증을 수행하는 인증기관 시스템에 설치될 수도 있다. 즉, 상기 인증제어시스템(100)은 인증기관 시스템(40)의 데이터 프로세싱 장치에 설치될 수도 있다. 이러한 경우, 상기 인증제어시스템(100)은 상기 인증기관 시스템(40)과는 동일한 적어도 하나의 물리적 장치를 이용하면서도, 기능적으로는 독립적인 시스템으로 취급될 수 있다. 이러한 경우 상기 인증제어시스템(100)과 상기 인증기관 시스템(40)은 소정의 함수 호출, 클래스(class) 또는 라이브러리(library)의 공유, 파라미터(parameter)의 전달을 통해 필요한 정보 또는 신호를 교환할 수 있다. According to one embodiment, the authentication control system 100 may be installed in an authentication authority system that performs authentication with an asymmetric encryption scheme for a received authentication request when an authentication request is received. That is, the authentication control system 100 may be installed in the data processing apparatus of the certification authority system 40. In this case, the authentication control system 100 may be treated as a functionally independent system, while using at least one physical device that is the same as the certification authority system 40. In this case, the authentication control system 100 and the certification authority system 40 exchange necessary information or signals through the transmission of a predetermined function call, a class or a library, a parameter, .

물론 구현 예에 따라서는 도1에 도시된 바와 같이 상기 인증제어시스템(100)은 상기 인증기관 시스템(40)과는 별개의 독립적인 데이터 프로세싱 장치에 설치될 수도 있다. 이러한 경우에는 상기 인증제어시스템(100) 즉, 상기 데이터 프로세싱 장치와 상기 인증기관 시스템(40)은 유선 또는 무선 네트워크를 통해 통신을 수행하면서 본 발명의 기술적 사상을 구현할 수 있다. Of course, depending on an implementation, the authentication control system 100 may be installed in an independent data processing device separate from the certification authority system 40, as shown in FIG. In this case, the authentication control system 100, that is, the data processing apparatus and the certification authority system 40 can implement the technical idea of the present invention while performing communication via a wired or wireless network.

또한, 구현 예에 따라서는, 상기 인증제어시스템(100)의 일부의 구성은 상기 인증기관 시스템(40)에 설치되고, 나머지 일부의 구성은 상기 인증기관 시스템(40)과는 별개의 데이터 프로세싱 장치로 구현될 수도 있다. 따라서 본 명세서에서 정의되는 상기 인증제어시스템(100)의 일부의 기능은 상기 인증기관 시스템(40)에서 구현될 수도 있음은 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.Further, according to an embodiment, a configuration of a part of the authentication control system 100 is installed in the certification authority system 40, and the configuration of the rest is part of a data processing apparatus 40 that is separate from the certification authority system 40 . ≪ / RTI > Thus, it will be readily apparent to one of ordinary skill in the art that the functionality of a portion of the authentication control system 100 as defined herein may be implemented in the certification authority system 40.

이하에서는 설명의 편의를 위해 상기 인증제어시스템(100)은 상기 인증기관 시스템(40)과는 별개의 물리적 장치인 데이터 프로세싱 장치에 설치되어 구현되는 경우를 일예로 설명하지만, 본 발명의 권리범위는 이에 한정되지는 않는다.Hereinafter, for convenience of description, the authentication control system 100 will be described as an example in which the authentication control system 100 is installed and implemented in a data processing apparatus that is a separate physical apparatus from the certification authority system 40. However, But is not limited thereto.

이하 본 명세서에서는 설명의 편의를 위해 비대칭 암호화 방식을 이용한 인증의 일예로 공인인증서를 이용하는 경우를 주로 설명하지만, 그 밖에 다양한 비대칭 암호화 방식을 이용한 인증에도 본 발명의 기술적 사상이 적용될 수 있음은 물론이다. Hereinafter, for convenience of description, the case of using the public key certificate as an example of the authentication using the asymmetric encryption scheme will be mainly described, but the technical idea of the present invention can also be applied to the authentication using various asymmetric encryption schemes .

공인인증서를 이용한 인증의 경우에는 인증이 공인된 인증기관 시스템에 의해 수행되므로, 다수의 인증 요청장치(예컨대, 20-1)로부터 출력된 다수의 인증요청은 상기 인증기관 시스템(40)으로 집중되는 구조를 가질 수 있다. 이처럼 인증요청이 특정 주체 또는 특정 시스템으로 집중되는 환경에서 본 발명의 기술적 사상은 더욱 효과적으로 적용될 수 있다. 왜냐하면, 종래의 비대칭 암호화 방식은 개인키는 정당한 사용자만이 소지하고 있다는 가정을 가지며 이러한 가정이 어긋나는 경우(즉, 개인키가 타인에게 유출되는 경우)에는 유효한 인증을 수행할 수 없는 반면, 도1에 도시된 바와 같이 본 발명의 기술적 사상에 의하면 상기 인증기관 시스템(40)으로 인증요청이 집중되는 경우에는 본 발명의 기술적 사상에 의한 인증제어시스템(100)을 통해 중앙집중식으로 추가적인 보안 수단이 구비되는 것과 같은 효과를 얻을 수 있다.In the case of the authentication using the public certificate, since the authentication is performed by the authorized certification authority system, a plurality of authentication requests output from the plurality of authentication requesting devices (for example, 20-1) are concentrated in the certification authority system 40 Structure. In this way, the technical idea of the present invention can be applied more effectively in an environment in which the authentication request is concentrated to a specific subject or a specific system. This is because, in the conventional asymmetric encryption scheme, it is assumed that only a legitimate user carries the private key, and valid authentication can not be performed when the assumption is misaligned (that is, the private key is leaked to another person) According to the technical idea of the present invention, when the authentication request is concentrated in the certification authority system 40, additional security means is provided centrally through the authentication control system 100 according to the technical idea of the present invention Can be obtained.

종래에는 소정의 인증요청장치(이하, '요청장치', 20-1)가 소정의 서비스 시스템(예컨대, 10)에 접속하여 서비스(예컨대, 로그인, 전자상거래, 금융거래, 증명서의 발급 등)를 이용하고자 하는 경우, 상기 서비스 시스템(10)은 공인인증서를 이용한 인증(본 명세서에서는 공인인증서를 이용한 전자서명을 포함하는 의미로 정의됨)을 상기 요청장치(예컨대, 20-1)로 요구하였다. 상기 요청장치(예컨대, 20-1)에는 개인키를 포함하는 공인인증서가 저장되어 있거나, 또는 상기 공인인증서를 저장하고 있는 디바이스가 상기 요청장치(예컨대, 20-1)에 연결될 수 있다. 그러면 상기 요청장치(예컨대, 20-1)에는 인증을 위한 인증서 클라이언트가 실행되고, 상기 인증서 클라이언트를 통해 사용자가 인증서의 비밀번호를 입력하면, 상기 인증서 클라이언트는 상기 비밀번호를 이용하여 개인키를 복호화하고 복호화된 개인키를 상기 인증기관 시스템(40)으로 전송할 수 있다. 복호화된 개인키는 상기 인증기관 시스템(40)에 저장된 공개키를 통해 인증이 될 수 있으며, 인증이 성공하면 상기 인증기관 시스템(40)은 상기 요청장치(예컨대, 20-1) 즉, 상기 인증서 클라이언트로 인증이 성공하였음을 통지하게 되고, 상기 인증서 클라이언트는 상기 서비스 시스템(예컨대, 10)으로 인증완료 신호를 전송하거나 전자서명을 하게 된다.Conventionally, a predetermined authentication requesting device (hereinafter referred to as a "requesting device") 20-1 is connected to a predetermined service system (for example, 10) to provide services (for example, login, electronic commerce, financial transactions, The service system 10 requests the requesting device (for example, 20-1) to authenticate using the public key certificate (in this specification, a meaning including a digital signature using the public key certificate). The requesting device (e.g., 20-1) stores a public certificate including the private key, or a device storing the public certificate may be connected to the requesting device (e.g., 20-1). When a user enters a password of a certificate through the certificate client, the certificate client decrypts and decrypts the private key using the secret key, To the certification authority system (40). The decrypted private key may be authenticated through the public key stored in the certification authority system 40. If the authentication is successful, the certification authority system 40 transmits the decryption key to the requesting device (e.g., 20-1) The client is notified that the authentication has been successful, and the certificate client transmits an authentication completion signal to the service system (for example, 10) or performs digital signature.

본 발명의 기술적 사상에 의하면, 상기 요청장치(예컨대, 20-1)로부터 복호화된 개인키를 포함하는 인증요청이 출력되면 상기 인증요청은 요청장치(예컨대, 20-1)와 상기 인증기관 시스템(40) 사이에 존재하는 상기 인증제어시스템(100)으로 전송될 수 있다. 그리고 상기 인증제어시스템(100)은 본 발명의 기술적 사상에 따라 소정의 인증조건이 만족하는 경우에만, 상기 인증요청을 상기 인증기관 시스템(40)으로 전송할 수 있다. 이처럼 본 발명의 기술적 사상에 따라 인증요청이 소정의 인증조건을 만족하는지 여부를 판단하고, 판단결과에 따라 선택적으로 수신된 인증요청을 상기 인증기관 시스템(40)으로 전송하는 과정을 본 명세서에서는 인증제어로 정의하기로 한다.According to the technical idea of the present invention, when an authentication request including the decrypted private key is output from the requesting device (e.g., 20-1), the authentication request is transmitted to the requesting device (e.g., 20-1) 40 to the authentication control system 100, The authentication control system 100 can transmit the authentication request to the certification authority system 40 only when a predetermined authentication condition is satisfied according to the technical idea of the present invention. The process of determining whether the authentication request satisfies a predetermined authentication condition according to the technical idea of the present invention and transmitting the selectively received authentication request to the certification authority system 40 according to the determination result is referred to as authentication Control.

이처럼 상기 인증제어시스템(100)에 의해 수행되는 인증제어를 통해 본 발명의 기술적 사상은 구현될 수 있다. 상기 인증제어가 성공되기 위해서는 인증요청에 상응하는 정당한 사용자로부터 출력된 인증수행 의사가 상기 인증제어시스템(100)에 수신되어야 할 수 있다. 따라서 정당한 사용자로부터 상기 인증수행 의사가 출력되지 않은 이상, 인증요청은 거부될 수 있다. 결국, 부정한 사용자가 개인키를 소지하고 있다고 하더라도(즉, 인증서를 소지하고 인증서의 비밀번호를 알고 있다고 하더라도), 정당한 사용자가 인증수행 의사를 출력하지 않은 이상 부정한 사용자에 의한 인증은 허용되지 않을 수 있다.The technical idea of the present invention can be implemented through the authentication control performed by the authentication control system 100 as described above. In order for the authentication control to be successful, the authentication control system 100 may be required to receive an authentication execution output from a legitimate user corresponding to the authentication request. Therefore, the authentication request may be rejected unless the authentication intention is outputted from a legitimate user. As a result, even if an unauthorized user has a private key (i.e., even if he or she has a certificate and knows the password of the certificate), authentication by an unauthorized user may not be allowed unless a legitimate user outputs an intention to perform authentication .

또한, 본 발명의 기술적 사상에 의한 인증제어는 모든 인증요청에 대해 수행되는 것이 아니라, 미리 정해진 소정의 조건(이하, 필터링 조건)에 부합하는 인증요청에 대해서만 수행될 수도 있다. 따라서 상기 필터링 조건에 부합하지 않는 인증요청은 종래와 같이 인증조건의 만족여부와 무관하게 상기 인증기관시스템(40)으로 전송되어 인증이 될 수도 있다. 이처럼 상기 필터링 조건을 만족하는 인증요청에 대해서만 인증제어를 수행함으로써 사용자가 자주 사용하는 인증행태에 대해서는 종래의 방식대로 인증이 수행되고, 사용자가 특별히 보안성을 높여야겠다고 판단한 인증행태에 대해서만 인증제어가 수행되도록 할 수도 있다. 이를 통해 사용자의 사용성이 크게 저하되지 않고도 높은 보안성을 제공할 수 있는 효과가 있다. In addition, the authentication control according to the technical idea of the present invention is not performed for all authentication requests, but may be performed only for authentication requests meeting a predetermined condition (hereinafter, filtering condition). Therefore, the authentication request that does not meet the filtering condition may be transmitted to the certification authority system 40 regardless of whether the authentication condition is satisfied or not, as in the conventional case. By performing the authentication control only for the authentication request satisfying the filtering condition, authentication is performed according to the conventional method for the authentication behavior frequently used by the user, and authentication control is performed only for the authentication behavior that the user has determined to enhance the security. . Thus, it is possible to provide high security without significantly deteriorating the usability of the user.

사용자의 인증수행 의사는 사용자의 단말기(예컨대, 20)를 이용하여 사용자가 특정 행위를 수행함으로써 표현될 수 있다. 즉, 상기 단말기(예컨대, 20)에서 상기 특정 행위에 상응하는 소정의 이벤트가 발생한 경우에 상기 사용자는 인증수행 의사를 표현한 것으로 취급될 수 있다. 상기 단말기(예컨대, 20)는 상기 인증제어시스템(100)에 미리 등록된 특정 단말기이거나, 상기 사용자 명의의 단말기일 수 있다. 또한, 상기 이벤트는 상기 단말기(예컨대, 20)와 소정의 근거리 무선통신장치(30)가 근거리 무선통신을 수행하는 이벤트일 수도 있다. 물론, 이외에도 상기 단말기(예컨대, 20)를 통해 정당한 사용자가 상기 이벤트를 수행한 것임을 특정할 수 있는 다양한 이벤트가 본 발명에 적용될 수 있다. 상기 이벤트가 상기 단말기(예컨대, 20)에서 발생하면 상기 단말기(예컨대, 20)는 이벤트 발생신호를 상기 인증제어시스템(100)으로 출력할 수 있다. The user's intention to perform the authentication can be expressed by the user performing a specific action using the user's terminal (e.g., 20). That is, when a predetermined event corresponding to the specific action occurs in the terminal (e.g., 20), the user can be regarded as expressing an intention to perform authentication. The terminal (for example, 20) may be a specific terminal registered in advance in the authentication control system 100 or a terminal of the user name. In addition, the event may be an event in which the terminal (e.g., 20) and the predetermined local area wireless communication apparatus 30 perform short-range wireless communication. Of course, various events that can specify that a legitimate user has performed the event through the terminal (for example, 20) may be applied to the present invention. When the event occurs in the terminal (e.g., 20), the terminal (e.g., 20) may output an event generation signal to the authentication control system 100. [

상기 인증기관시스템(40)은 공인인증서를 이용한 인증을 수행하는 인증기관에 상응하는 시스템일 수 있다. 상기 인증기관시스템(40)은 구현 예에 따라서는 상기 서비스시스템(예컨대, 10)과 동일한 시스템일 수도 있다. 즉, 서비스시스템(예컨대, 10)이 직접 인증서를 이용한 인증요청을 인증할 수도 있다. 예컨대, 상기 인증기관시스템(40)은 소정의 웹서비스(예컨대, 온라인 금융서비스)를 제공하는 웹서비스 주체의 시스템(예컨대, 금융기관 시스템)일 수도 있고, 상기 웹서비스 주체의 시스템(예컨대, 금융기관 시스템)과 연동하여 인증을 수행하는 공인인증서의 공인인증기관 시스템(예컨대, 금융결제원, 증권전산 등의 시스템)일 수도 있다. 서비스의 종류에 따라 인증기관시스템(40)의 구현 예 또한 다양할 수 있음을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.The certification authority system 40 may be a system corresponding to a certification authority that performs authentication using a public certificate. The certification authority system 40 may be the same system as the service system (e.g., 10), depending on the implementation. That is, the service system (e.g., 10) may authenticate the authentication request using the direct certificate. For example, the certification authority system 40 may be a system (e.g., a financial institution system) of a web service entity that provides a predetermined web service (e.g., an online financial service) (For example, a system of a financial settlement office, a securities computing system, etc.) of an authorized certificate that performs authentication in cooperation with an institutional system (e.g., an institutional system). It will be readily apparent to one of ordinary skill in the art that the implementation of the certification authority system 40 may vary according to the type of service.

또한, 본 발명의 기술적 사상을 구현하기 위해서는 사용자의 단말기(20 또는 20-1)가 구비될 수 있다. 또한 실시 예에 따라 상기 사용자의 단말기(20 또는 20-1)와 근거리 무선통신을 수행할 수 있는 근거리 무선통신장치(30)가 더 구비될 수 있다.In order to implement the technical idea of the present invention, a user terminal 20 or 20-1 may be provided. In addition, according to the embodiment, a short range wireless communication device 30 capable of short range wireless communication with the terminal 20 or 20-1 of the user may be further provided.

상기 인증제어시스템(100)은 상기 인증기관시스템(40)을 제어하여, 요청장치(예컨대, 20-1)로부터 상기 인증기관시스템(40)으로 출력되는 인증요청이 인증되도록 할지 또는 인증이 아예 수행되지 않도록 할지를 제어할 수 있다.The authentication control system 100 controls the certification authority system 40 to determine whether an authentication request output from the requesting device (e.g., 20-1) to the certification authority system 40 is to be authenticated, Can be controlled.

이를 위해 상기 인증제어시스템(100)은 요청장치(예컨대, 20-1)로부터 인증기관시스템(40)으로 출력되는 인증요청을 수신하고, 수신된 인증요청을 상기 인증기관 시스템(40)으로 전달하도록 구현될 수 있다. 이러한 경우에는 상기 인증요청를 전달하는지 여부에 따라 인증이 수행되도록 할지여부를 제어할 수 있다. 따라서 상기 인증기관시스템(40)은 특별한 변경을 하지 않아도 본 발명의 기술적 사상이 적용될 수 있는 효과가 있다.To this end, the authentication control system 100 receives an authentication request output from the requesting device (e.g., 20-1) to the certification authority system 40 and passes the received authentication request to the certification authority system 40 Can be implemented. In this case, it is possible to control whether authentication is performed according to whether the authentication request is transmitted or not. Therefore, the certification authority system 40 has the effect that the technical idea of the present invention can be applied without special modification.

다른 구현 예에 의하면, 상기 인증요청은 상기 인증제어시스템(100)을 거쳐서 상기 인증기관시스템(40)으로 전송되는 것이 아니라, 상기 인증기관시스템(40)으로 직접 전송될 수도 있다. 이러한 경우에는, 상기 인증기관시스템(40)으로 이미 전송된 인증요청 또는 전송될 인증요청에 대해 인증을 수행할지 여부를 제어하기 위한 제어신호를 상기 인증제어시스템(100)이 상기 인증기관시스템(40)으로 전송함으로써, 상기 인증제어시스템(100)은 상기 인증기관시스템(40)을 제어할 수도 있다. 물론, 이러한 경우에는 상기 인증제어시스템(100)은 상기 인증기관시스템(40)으로부터 상기 인증요청이 언제 수신되었는지 또는 어떤 사용자 명의의 인증요청인지에 대한 정보를 수신할 수도 있다. 또는, 상기 제어신호에 상기 이벤트 발생신호가 수신된 시점에 대한 정보 또는 이벤트 발생시점에 대한 정보를 포함하여 전송함으로써, 최종적으로는 상기 인증기관시스템(40)이 수신된 정보에 기초하여 상기 인증요청을 인증할지 여부를 결정할 수도 있다. According to another embodiment, the authentication request may be sent directly to the certification authority system 40, rather than being sent to the certification authority system 40 via the authentication control system 100. In this case, the authentication control system 100 sends a control signal to the certification authority system 40 to control whether to perform authentication for the authentication request already sent to the certification authority system 40 or for the authentication request to be transmitted , The authentication control system 100 may control the certification authority system 40. [ Of course, in this case, the authentication control system 100 may receive information on when the authentication request was received from the certification authority system 40 or which user name is the authentication request. Alternatively, the control signal may include information on the time at which the event generation signal was received or information about the time at which the event occurred, so that the certification authority system 40 may finally transmit the authentication request May be determined.

필요에 따라 상기 인증제어시스템(100)은 상기 인증요청의 수신시점을 확인할 수 있다. 상기 수신시점은 상기 인증요청이 상기 인증기관시스템(40)으로 직접 전송되는 경우에는 상기 인증기관시스템(40)에 수신된 시점을 의미할 수 있으며, 상기 인증요청이 상기 인증제어시스템(100)으로 수신되는 경우에는 상기 인증제어시스템(100)에 수신된 시점을 의미할 수 있다.The authentication control system 100 can confirm the reception time of the authentication request. The receiving time may refer to a time point when the authentication request is directly transmitted to the certification authority system 40 when the authentication request is sent to the certification authority system 40, And when it is received, it means a time point when it is received by the authentication control system 100.

그러면 상기 인증제어시스템(100)은 상기 수신시점이 후술할 바와 같은 이벤트 발생신호에 기초하여 설정되는 인증 가능기간 내에 포함되는 경우에만 상기 인증기관시스템(40)이 인증을 수행하도록 제어할 수 있다. Then, the authentication control system 100 can control the certification authority system 40 to perform authentication only when the reception time point is included in the authentication possible period set based on the event occurrence signal, which will be described later.

상기 인증제어시스템(100)은 소정의 단말기(예컨대, 20)로부터 수신되는 이벤트 발생신호가 수신되어야만 소정의 인증 가능기간을 설정하고, 상기 인증 가능기간 내에 상기 인증요청이 상기 인증제어시스템(100) 또는 상기 인증기관 시스템(40)으로 수신되어야만 인증을 하도록 제어함으로써 본 발명이 목적하는 보안성을 취득할 수 있다. 따라서 상기 인증 가능기간이 아니면 정당한 사용자에 의한 인증요청이든 부정한 사용자에 의한 인증요청이든 관계없이 인증은 수행되지 않을 수 있다.The authentication control system 100 sets a predetermined authentication period only when an event generation signal received from a predetermined terminal (e.g., 20) is received, and the authentication request is transmitted to the authentication control system 100 within the authentication period. Or to be authenticated only when it is received by the certification authority system 40, the desired security of the present invention can be obtained. Accordingly, if the authentication period is not the authentication period, authentication may not be performed irrespective of whether the authentication request is a legitimate user or an unauthorized user.

상기 이벤트 발생신호를 출력하는 사용자의 단말기(예컨대, 20)는 요청장치(예컨대, 20-1)와 독립적인 단말기일 수 있다. 이처럼 인증을 요청하는 요청장치(예컨대, 20-1)와 별도의 단말기(예컨대, 20)를 통해 이벤트 발생신호를 출력하도록 함으로써, 2팩터 인증이 가능한 효과가 있다. 구현 예에 따라서는, 상기 이벤트 발생신호가 상기 단말기(예컨대, 20)뿐만 아니라 사용자 명의의 다른 장치, 예컨대, 근거리 무선통신장치(사용자의 신용카드, IC 카드, OTP 장치 등)까지 소지하고 있어야만 출력되도록 구현될 수도 있다. 예컨대, 상기 단말기(예컨대, 20)와 상기 근거리 무선통신장치가 근거리 무선통신을 수행하는 이벤트가 발생하여야 상기 단말기(예컨대, 20)가 이벤트 발생신호를 출력하도록 구현될 수도 있다. 이러한 경우에는 3팩터 인증이 가능해지므로 매우 뛰어난 보안성이 제공될 수 있는 효과가 있다. The user terminal 20 (e.g., 20) that outputs the event signal may be a terminal independent of the requesting device (e.g., 20-1). By outputting the event generation signal through a separate terminal (for example, 20) from the requesting apparatus (for example, 20-1) requesting authentication, two-factor authentication can be achieved. According to an embodiment, if the event generation signal is held not only by the terminal (for example, 20) but also by another device of the user's name, for example, a short range wireless communication device (user's credit card, IC card, OTP device, . For example, the terminal (e.g., 20) and the short-range wireless communication apparatus may be configured to output an event generation signal when an event for performing short-range wireless communication occurs. In such a case, three-factor authentication is possible, and therefore, excellent security can be provided.

물론, 상기 단말기(예컨대, 20)에 의해 사용자가 인증되면 상기 이벤트 발생신호가 상기 인증제어시스템(100)으로 출력될 수도 있다. 예컨대, 상기 단말기(예컨대, 20)에 본 발명의 기술적 사상을 구현하기 위한 소정의 클라이언트(소프트웨어)가 설치되어 있으며, 상기 클라이언트에 의해 사용자가 소정의 방식으로 인증될 수도 있다. 그리고 인증이 되면 상기 단말기(예컨대, 20)는 상기 인증제어시스템(100)으로 이벤트 발생신호를 출력할 수 있다. Of course, the event generation signal may be output to the authentication control system 100 when the user is authenticated by the terminal (e.g., 20). For example, a predetermined client (software) for implementing the technical idea of the present invention is installed in the terminal (for example, 20), and the user may be authenticated in a predetermined manner by the client. Then, the terminal (e.g., 20) can output an event generation signal to the authentication control system 100 when the authentication is performed.

상기 소정의 방식은 예컨대, 상기 단말기(예컨대, 20)에 소정의 인증정보가 미리 저장되어 있고, 상기 인증정보를 이용하여 인증이 되는 방식일 수 있다. 상기 인증정보는 대칭키(예컨대, 비밀번호, 비밀패턴, 생체정보 등)를 이용한 인증일 수도 있다. 구현 예에 따라서는 비대칭키를 이용한 인증방식이 이용될 수도 있다. 이러한 경우에는 상기 단말기(예컨대, 20)가 소정의 인증시스템(미도시)과 통신을 함으로써 사용자가 인증될 수도 있다. 상기 비대칭키를 이용한 인증방식 이외에도 OTP 등을 이용한 방식이 존재할 수 있다. 어떠한 경우든 상기 단말기(예컨대, 20)는 상기 사용자의 인증에 참여할 수 있다. For example, the predetermined method may be a method in which predetermined authentication information is stored in advance in the terminal (e.g., 20), and authentication is performed using the authentication information. The authentication information may be authentication using a symmetric key (e.g., password, secret pattern, biometric information, etc.). An authentication scheme using an asymmetric key may be used according to an implementation. In this case, the user may be authenticated by the terminal (e.g., 20) communicating with a predetermined authentication system (not shown). In addition to the authentication method using the asymmetric key, a method using OTP or the like may exist. In any case, the terminal (e.g., 20) may participate in the authentication of the user.

이처럼 사용자 명의의 상기 단말기(예컨대, 20)를 통해 사용자가 인증되면, 상기 이벤트 발생신호는 상기 인증제어시스템(100)으로 출력될 수 있다.When the user is authenticated through the terminal (e.g., 20) of the user name, the event generation signal may be output to the authentication control system 100. [

결국, 본 발명의 기술적 사상에 의하면 사용자의 인증수행 의사는 사용자가 상기 인증기관시스템(40)에 접속하여 소정의 방식으로 자신을 인증한 후 서비스를 사용할 의사표시를 표현하는 것이 아니라, 사용자 명의의 단말기(예컨대, 20)에 의해 소정의 이벤트를 발생시키는지 여부에 따라 수행될 수 있다. 즉, 사용자가 소정의 단말기(예컨대, 20)를 통해 인증기관시스템(40)에 접속하여 사용자 인증(예컨대, 로그인, 공인인증서, OTP 등)을 거친 후, 사용자가 인증이 되면 서비스를 사용하겠다는 의사표시를 하는 것인 경우에는, 상기 사용자 인증이 뚫리는 경우(즉, 공격자에 의한 인증이 성공하는 경우) 공격자가 얼마든지 임의로 인증 수행의사를 할 수 있으므로 종래의 사용자 인증방식으로 사용자를 인증한 후 서비스를 제공하는 것에 비해 큰 효과가 없을 수 있다.As a result, according to the technical idea of the present invention, the intention of the user to perform the authentication is not to express a will to use the service after the user accesses the certification authority system 40 and authenticates himself / herself in a predetermined manner, And may be performed depending on whether or not the predetermined event is generated by the terminal (e.g., 20). That is, when a user accesses the certification authority system 40 through a predetermined terminal (for example, 20) and performs user authentication (e.g., login, authorized certificate, OTP, etc.) If the user authentication is successful (that is, if the authentication by the attacker is successful), the attacker may arbitrarily perform authentication arbitrarily. Therefore, the user is authenticated by the conventional user authentication method, It may not have a great effect.

하지만, 본 발명의 기술적 사상에 의하면, 상기 인증기관시스템(40) 또는 상기 인증제어시스템(100)에 접속하여 인증을 수행하는 것이 아니라, 정당한 사용자가 상기 단말기(예컨대, 20)를 통해 인증수행 의사를 표시 하지 않은 경우에는 인증이 수행되지 않게 된다. 따라서 본 발명의 기술적 사상에 의하면 사용자 명의의 단말기(예컨대, 20)를 소지하고 있지 않은 이상 상기 사용자의 대칭키 또는 비대칭키가 유출된다고 하더라도 인증이 정상적으로 수행되지 못하게 할 수 있는 효과가 있다.However, according to the technical idea of the present invention, instead of performing authentication by connecting to the certification authority system 40 or the authentication control system 100, a legitimate user may perform authentication via the terminal 20 The authentication is not performed. Therefore, according to the technical idea of the present invention, even if the symmetric key or the asymmetric key of the user is leaked, the authentication can be prevented from being normally performed unless the terminal (e.g., 20) of the user's name is carried.

상기 이벤트 발생신호는 하나의 신호가 아니라, 본 명세서에서 정의되는 기능을 수행하는 복수의 신호들의 조합일 수 있다. 즉, 이벤트 발생신호는 1회성으로 상기 인증제어시스템(100)으로 전송될 필요는 없다.The event generation signal may not be a single signal but may be a combination of a plurality of signals that perform the functions defined herein. That is, the event generation signal does not need to be sent to the authentication control system 100 in one-time.

한편, 전술한 필터링 조건에 대해서는 도2를 참조하여 설명하도록 한다.On the other hand, the above-described filtering conditions will be described with reference to FIG.

도2는 본 발명의 실시 예에 따른 필터링 조건을 설명하기 위한 도면이다.2 is a diagram for explaining filtering conditions according to an embodiment of the present invention.

도2를 참조하면, 상기 필터링 조건을 정의하기 위한 속성으로 인증을 요청하는 요청장치(예컨대, 20-1)의 속성, 상기 서비스 시스템(예컨대, 10)의 속성, 또는 서비스 요청시간, 서비스에 상응하는 금액이 특정될 수 있는 경우에는 상기 금액 등이 포함될 수 있다. 2, an attribute for defining the filtering condition includes attributes of a requesting apparatus (e.g., 20-1) requesting authentication, attributes of the service system (e.g., 10), service request time, The amount of money may be specified.

예컨대, 요청장치(예컨대, 20-1)의 속성(예컨대, 요청 단말기의 IP가 해외 IP인지 여부 등)이 필터링 조건으로 설정될 수 있다. 구현 예에 따라서는, 상기 서비스 시스템(예컨대, 10)의 속성(예컨대, 웹 서비스를 제공하는 웹 서비스 시스템의 종류(예컨대, 온라인 쇼핑몰 시스템, 게임사 시스템, 금융기관 시스템, 이동통신사 시스템 등))의 속성이 상기 필터링 조건으로 설정될 수도 있다. 상기 서비스 시스템(예컨대, 10)은 예컨대, 온라인 결제 등과 같이 상기 요청장치(예컨대, 20-1)가 접속해 있는 상태에서 상기 요청장치(예컨대, 20-1)로 인증을 요청하는 시스템을 의미할 수 있다.For example, the attribute of the requesting device (e.g., 20-1) (e.g., whether the IP of the requesting terminal is foreign IP, etc.) may be set as the filtering condition. Depending on the implementation, the attributes of the service system (e.g., 10) (e.g., the type of web service system that provides the web service (e.g., an online shopping mall system, a game company system, a financial institution system, May be set as the filtering condition. The service system (e.g., 10) refers to a system for requesting authentication with the requesting device (e.g., 20-1) while the requesting device (e.g., 20-1) is connected, .

따라서 사용자는 이러한 서비스 시스템(예컨대, 10)의 속성을 필터링 조건을 정의하는 속성으로 정의할 수 있으므로, 예컨대, 사용자는 온라인 쇼핑몰에 대해서는 본 발명의 기술적 사상이 적용되지 않도록 할 수 있고, 게임 사이트에서는 본 발명의 기술적 사상이 적용되도록 설정할 수 있다. Accordingly, the user can define the attribute of the service system (e.g., 10) as an attribute defining the filtering condition. For example, the user can prevent the technical idea of the present invention from being applied to the online shopping mall, So that the technical idea of the present invention can be applied.

예컨대, 도2에 도시된 바와 같이 상기 요청장치(예컨대, 20-1)로 인증을 요구하는 서비스 시스템(예컨대, 금융기관 시스템, 웹 서비스 시스템 등, 10)이 존재할 수도 있다. 이러한 경우에는 상기 서비스 시스템(예컨대, 10)의 속성이 필터링 조건으로 설정될 수도 있다. For example, there may be a service system (e.g., a financial institution system, a web service system, etc.) 10 requiring authentication with the requesting device (e.g., 20-1) as shown in FIG. In this case, the attribute of the service system (e.g., 10) may be set as a filtering condition.

또한, 상기 필터링 조건은 도2에 도시된 바와 같이 공인인증서들(예컨대, 인증서1 및 인증서2) 각각에 대해 설정될 수도 있음은 물론이다. Further, it goes without saying that the filtering condition may be set for each of the public certificates (for example, certificate 1 and certificate 2) as shown in FIG.

또한, 상기 필터링 조건의 속성으로 인증요청 시간이 포함될 수도 있다. 예컨대, 인증서1에 대해서는 인증요청 시간이 21시에서 06시까지는 원칙적으로 본 발명의 기술적 사상에 따라 인증제어가 수행되는 시간으로 설정될 수 있으며, 인증서2에 대해서는 인증요청 시간이라는 속성으로는 필터링 조건이 설정되어 있지 않을 수 있다. 즉, 인증서2를 이용한 인증요청은 서비스 시스템(예컨대, 10)이 해외 시스템 또는 은행 시스템인 경우에만 본 발명의 기술적 사상에 따른 인증제어가 수행되도록 설정될 수도 있다.Also, an authentication request time may be included as an attribute of the filtering condition. For example, with respect to the certificate 1, the authentication request time may be set from 21:00 to 06:00, in principle, to the time at which the authentication control is performed according to the technical idea of the present invention. For the certificate 2, May not be set. That is, the authentication request using the certificate 2 may be set so that the authentication control according to the technical idea of the present invention is performed only when the service system (for example, 10) is an overseas system or a bank system.

또한, 상기 필터링 조건의 속성으로 인증금액(예컨대, 전자상거래, 결제 또는 이체 등의 거래의 가치)이 포함될 수도 있다. 물론, 인증금액에 따라 필터링 조건을 정의하는 경우에는, 기존의 공인인증서를 이용한 인증의 경우에는 인증대상(즉, 거래대상)의 정보를 인증기관이 알 수 없는 경우도 있지만, 본 발명의 기술적 사상을 위해 거래대상(즉, 전자서명의 대상이 되는 거래)에 대한 정보가 인증기관 즉, 인증기관 시스템(40)으로 전송되도록 구현될 수도 있다.In addition, the attribute of the filtering condition may include an authentication amount (for example, a value of a transaction such as electronic commerce, settlement, or transfer). Of course, in the case of defining the filtering condition according to the authentication amount, in the case of the authentication using the existing authorized certificate, the information on the authentication object (that is, the transaction object) may not be known by the certification authority. However, (That is, a transaction subject to digital signature) is transmitted to the certification authority, that is, the certification authority system 40. [

도2에서는 서비스가 공인인증서를 이용한 인증 서비스인 경우를 일예로 설명하였지만, 서비스의 종류 또는 구현 예에 따라 필터링 조건을 정의하는 속성은 다양할 수 있음은 물론이다. Although FIG. 2 illustrates an example in which the service is an authentication service using a public certificate, it goes without saying that the attributes defining the filtering condition may vary according to the type of service or implementation.

결국, 요청장치(예컨대, 20-1)의 속성 또는 서비스 시스템(예컨대, 10)의 속성에 따라 다양한 필터링 조건이 정의될 수 있다. 또한, 본 발명의 기술적 사상은 사용자 또는 인증제어시스템(100)에 의해 상기 필터링 조건이 정의될 수 있다. 따라서 사용자는 자신의 인증 이용행태에 따라 적응적으로 필터링 조건을 정의할 수 있는 효과도 있다. 왜냐하면, 비록 본 발명의 기술적 사상에 따른 인증수행 의사 표시가 비교적 간단한 절차(예컨대, 단말기(예컨대, 20)와 근거리 무선통신장치(30)의 근거리 무선통신)만으로도 수행될 수 있더라도, 자주 사용하는 인증 또는 크게 중요하지 않은 인증을 위해 매번 인증수행 의사 표시를 해야 하는 경우에는 번거로움이 있을 수도 있기 때문이다. 따라서 사용자는 자신이 잘 이용하지 않는 인증행태 또는 특히 보안성이 필요한 인증행태를 상기 필터링 조건으로 정의함으로써 가능한 한 서비스 이용에 불편을 느끼지 않으면서도 보안성은 높일 수 있는 효과가 있다.As a result, various filtering conditions may be defined depending on the attributes of the requesting device (e.g., 20-1) or the attributes of the service system (e.g., 10). Further, the technical idea of the present invention is that the filtering condition can be defined by the user or the authentication control system 100. Therefore, the user can define the filtering condition adaptively according to his or her own authentication usage behavior. This is because even though the authentication intention to perform the authentication according to the technical idea of the present invention can be performed by a relatively simple procedure (for example, a short-range wireless communication of the short-range wireless communication device 30 and the terminal 20 Or if there is a need to indicate that authentication is to be performed each time for non-critical authentication, it may be cumbersome. Therefore, the user can define the filtering behavior as an authentication behavior that he or she does not use well, or in particular, an authentication behavior that requires security, so that the security can be enhanced without feeling inconvenience in using the service as much as possible.

상기 인증제어시스템(100)은 사용자의 인증수행 의사가 표시된 것임을 나타내는 신호 즉, 이벤트 발생신호가 수신되면, 상기 이벤트 발생신호에 기초하여 인증 가능기간을 설정할 수 있다. The authentication control system 100 can set an authenticatable period based on a signal indicating that the user intends to perform authentication, that is, an event generation signal, is received, based on the event generation signal.

상기 인증 가능기간은 상기 인증제어시스템(100)이 제한적으로 인증을 허용하도록 상기 인증기관 시스템(40)을 제어하는 제한된 기간을 의미할 수 있다. 즉, 상기 인증 가능기간에 인증요청이 상기 인증제어시스템(100) 또는 상기 인증기관 시스템(40)으로 수신되어야 상기 인증제어시스템(100)은 수신된 인증요청을 인증할 수 있다. The authenticatable period may mean a limited period of time during which the authentication control system 100 controls the certification authority system 40 to permit limited authentication. That is, the authentication control system 100 can authenticate the received authentication request when the authentication request is received by the authentication control system 100 or the certification authority system 40 in the authentication enabling period.

일예에 의하면, 사용자는 인증요청을 하기 전에 인증수행 의사의 표시를 수행하여야 할 수 있다. 즉, 상기 인증요청의 수신시점 전에 이벤트 발생신호가 수신되어야 할 수 있다. 이러한 경우에는 인증 가능기간은 상기 이벤트 발생신호가 수신된 시점으로부터 미리 설정된 기간일 수 있으며, 수초, 수분, 또는 수십 분으로 설정될 수 있다. According to an example, a user may have to perform an indication of an intention to perform an authentication before making an authentication request. That is, an event generation signal may be received before the reception of the authentication request. In this case, the authentication enable period may be a predetermined period from the time when the event generation signal is received, and may be set to several seconds, several minutes, or several tens of minutes.

구현 예에 따라서는, 상기 사용자는 스스로 인증 가능기간을 설정할 수도 있다. 이러한 경우 사용자는 후술할 바와 같이 본 발명의 기술적 사상을 위한 클라이언트 시스템을 통해 인증 가능기간으로 설정할 기간정보를 입력할 수 있으며, 입력된 기간정보는 상기 이벤트 발생신호에 포함되어 또는 이벤트 발생신호와는 별개로 상기 인증제어시스템(100)으로 전송될 수 있다. 그러면, 상기 인증제어시스템(100)은 상기 기간정보에 상응하는 기간을 인증 가능기간으로 설정할 수 있다. 이러한 경우에는 상대적으로 긴 시간(예컨대, 몇 시간 또는 며칠 등) 동안 사용자가 해당 서비스를 이용하고자 하는 경우일 수 있다. 그리고 상기 인증 가능기간이 상대적으로 긴 시간일 수 있으므로, 상기 인증 가능기간 동안에는 다시 사용자가 인증 수행의사 표시를 위해 특정 이벤트를 수행하여야 할 필요는 없을 수도 있다. 물론, 인증 가능기간이 도과하면, 다시 인증은 수행되지 않을 수 있다. According to an embodiment, the user can set the authentication period himself / herself. In this case, the user can input period information to be set as the authentication enable period through the client system for the technical idea of the present invention as described later, and the input period information is included in the event generation signal, May be separately transmitted to the authentication control system 100. Then, the authentication control system 100 may set a period corresponding to the period information as an authenticatable period. In this case, the user may want to use the service for a relatively long time (for example, several hours or a few days). Since the authenticatable period may be a relatively long time, it may not be necessary for the user to perform a specific event again in order to indicate that the authentication is to be performed during the authenticatable period. Of course, if the validity period expires, authentication may not be performed again.

사용자는 이벤트 발생신호를 상기 인증제어시스템(100)으로 출력하기 위해 소정의 이벤트에 상응하는 특정 행위를 상기 사용자의 단말기(예컨대, 20)를 통해 수행하여야 할 수 있다. 상기 특정 행위는 상기 특정 행위가 정당한 사용자(카드(30) 명의자 또는 단말기(예컨대, 20)의 명의자에 의해 수행되는 것임을 파악할 수 있는 행위이면 족하다. 사용자가 자신의 단말기(예컨대, 20)를 이용하여 특정 행위를 수행하면, 결과적으로 상기 단말기(예컨대, 20)에는 상기 특정 행위에 상응하는 특정 이벤트가 발생할 수 있다. The user may have to perform a specific action corresponding to a predetermined event through the user's terminal (e.g., 20) in order to output an event generation signal to the authentication control system 100. [ The specific action may be an action that allows the specific action to be understood to be performed by a legitimate user (the name of the card 30 or the name of the terminal 20, for example.) When the user uses his or her terminal As a result, the terminal (for example, 20) may generate a specific event corresponding to the specific action.

상기 특정 행위는 후술할 클라이언트 시스템(200)이 사용자를 인증하기 위해 수행하여야할 행위일 수 있다. 상기 클라이언트 시스템(200)은 미리 등록된 인증정보(예컨대, 비밀번호, 비밀패턴, 생체정보 등)를 이용하여 사용자를 인증할 수 있다.The specific action may be an action to be performed by the client system 200 to be described later to authenticate the user. The client system 200 can authenticate a user using previously registered authentication information (e.g., password, secret pattern, biometric information, etc.).

구현 예에 따라, 상기 특정 행위는 상기 클라이언트 시스템(200)과 연결될 수 있는 소정의 네트워크 시스템(미도시)에 의해 사용자가 인증되기 위해 수행하여야할 행위일 수도 있다. 예컨대, 공인인증서, OTP, 또는 보안카드를 이용한 인증 등이 수행될 수 있다. 사용자는 상기 단말기(예컨대, 20)를 통해 상기의 인증을 수행할 수 있다. According to an embodiment, the specific action may be an action to be performed by the user to be authenticated by a predetermined network system (not shown) that can be connected to the client system 200. For example, authentication using an authorized certificate, OTP, or a security card may be performed. The user can perform the authentication through the terminal (e.g., 20).

한편, 상기 특정 행위는 소정의 근거리 무선통신장치(30)가 상기 사용자의 단말기(20)와 근거리 무선통신(예컨대, NFC 통신)이 수행되는 행위일 수도 있다. 그러면, 상기 특정 행위에 상응하는 이벤트는 상기 단말기(20)가 상기 근거리 무선통신장치(30)와 근거리 무선통신을 수행하는 이벤트일 수 있다. Meanwhile, the specific action may be an action in which a predetermined short range wireless communication device 30 performs short range wireless communication (e.g., NFC communication) with the user's terminal 20. [ Then, the event corresponding to the specific action may be an event in which the terminal 20 performs short-range wireless communication with the short-range wireless communication device 30. [

이러한 경우에는 상기 특정 행위를 수행한 사용자가 상기 근거리 무선통신장치(30)와 상기 단말기(20)를 모두 소지하고 있음이 인증되는 효과가 있다. 사용자는 단말기(20)와 상기 근거리 무선통신장치(30)를 단순히 근거리 무선통신(예컨대, NFC 태깅)하는 행위만 수행하여 본 발명의 기술적 사상에 따라 인증을 수행하겠다는 의사표시를 할 수 있으므로, 사용자의 입장에서는 절차적으로 매우 간편한 효과가 있다. In this case, there is an effect that a user who has performed the specific action is authenticated to possess both the short-range wireless communication device 30 and the terminal 20. The user can perform a simple short-range wireless communication (e.g., NFC tagging) with the terminal 20 and the short-range wireless communication device 30 to display the intention to perform the authentication according to the technical idea of the present invention, There is a procedural and very simple effect.

상기 단말기(예컨대, 20) 즉, 클라이언트 시스템(200)은 상기 근거리 무선통신장치(30)가 정당한 장치 즉, 사용자 명의의 장치인지를 인증할 수도 있다. 예컨대, 상기 클라이언트 시스템(200)에 미리 상기 사용자 명의의 근거리 무선통신장치(30)의 식별정보가 저장되어 있을 수 있으며, 상기 클라이언트 시스템(200)은 상기 근거리 무선통신장치(30)와 근거리 무선통신을 수행하면 근거리 무선통신장치(30)의 식별정보를 확인함으로써 근거리 무선통신장치(30)의 정당성을 인증할 수도 있다. 또는 종래의 스마트카드에 사용되는 크립토그램(cryptogram)을 이용하는 인증이 이용될 수도 있다. 또는 IC카드 등에 1회성 정보(예컨대, 랜덤 넘버 또는 OTP 등)를 생성할 수 있는 모듈이 탑재되고, 상기 1회성 정보를 이용한 인증이 이용될 수도 있다. 이처럼 상기 클라이언트 시스템(200)에 의해 상기 근거리 무선통신장치(30)가 인증되어야 상기 이벤트 발생신호가 상기 인증제어시스템(100)으로 출력될 수도 있다.The terminal (e.g., 20), i.e., the client system 200, may authenticate whether the short-range wireless communication device 30 is a legitimate device, i.e., a device of a user name. For example, the client system 200 may store the identification information of the local area wireless communication apparatus 30 of the user name in advance, and the client system 200 may communicate with the local area wireless communication apparatus 30 through short- The authenticity of the short range wireless communication device 30 can be authenticated by checking the identification information of the short range wireless communication device 30. [ Or authentication using a cryptogram used in a conventional smart card may be used. Or a module capable of generating one-time information (e.g., a random number or OTP) on an IC card, etc., and authentication using the one-time information may be used. The event generation signal may be output to the authentication control system 100 when the local wireless communication device 30 is authenticated by the client system 200. [

이러한 기술적 사상을 구현하기 위한 본 발명의 실시 예에 따른 인증제어시스템(100)의 개략적인 구성은 도 3에 도시된다.A schematic configuration of an authentication control system 100 according to an embodiment of the present invention for implementing such a technical idea is shown in FIG.

도3은 본 발명의 실시 예에 따른 인증제어시스템의 개략적인 구성을 설명하기 위한 도면이다.3 is a diagram for explaining a schematic configuration of an authentication control system according to an embodiment of the present invention.

도3을 참조하면, 본 발명의 실시 예에 따른 인증제어시스템(100)은 제어부(110), 이벤트 처리부(120), 요청 처리부(130), 및 판단부(140)를 포함할 수 있다. 3, an authentication control system 100 according to an embodiment of the present invention may include a control unit 110, an event processing unit 120, a request processing unit 130, and a determination unit 140.

상기 인증제어시스템(100)은 본 발명의 기술적 사상을 구현하기 위해 필요한 하드웨어 리소스(resource) 및/또는 소프트웨어를 구비할 수 있으며, 반드시 하나의 물리적인 구성요소를 의미하거나 하나의 장치를 의미하는 것은 아니다. 즉, 상기 인증제어시스템(100)은 본 발명의 기술적 사상을 구현하기 위해 구비되는 하드웨어 및/또는 소프트웨어의 논리적인 결합을 의미할 수 있으며, 필요한 경우에는 서로 이격된 장치에 설치되어 각각의 기능을 수행함으로써 본 발명의 기술적 사상을 구현하기 위한 논리적인 구성들의 집합으로 구현될 수도 있다. 또한, 상기 인증제어시스템(100)은 본 발명의 기술적 사상을 구현하기 위한 각각의 기능 또는 역할별로 별도로 구현되는 구성들의 집합을 의미할 수도 있다. 예컨대, 상기 인증제어시스템(100)은 상기 인증기관 시스템(40)에 일부가 구비되어 구현될 수도 있다. The authentication control system 100 may include hardware resources and / or software necessary to implement the technical idea of the present invention. The authentication control system 100 necessarily means one physical component or one device no. That is, the authentication control system 100 may mean a logical combination of hardware and / or software provided to implement the technical idea of the present invention. If necessary, the authentication control system 100 may be installed in a separate apparatus, The present invention may be embodied as a set of logical structures for realizing the technical idea of the present invention. In addition, the authentication control system 100 may mean a set of configurations separately implemented for each function or role for implementing the technical idea of the present invention. For example, the authentication control system 100 may be partially implemented in the certification authority system 40.

또한, 본 명세서에서 '~부' 또는 '모듈'이라 함은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다. 예컨대, 상기 '~부' 또는 모듈은 소정의 코드와 상기 소정의 코드가 수행되기 위한 하드웨어 리소스(resource)의 논리적인 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나, 한 종류의 하드웨어를 의미하는 것은 아님은 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다.In the present specification, the term 'module' or 'module' may mean a functional and structural combination of hardware for carrying out the technical idea of the present invention and software for driving the hardware. For example, the 'to' or 'module' may refer to a logical unit of a predetermined code and a hardware resource for executing the predetermined code, May be easily deduced to the average expert in the field of the present invention.

상기 제어부(110)는 본 발명의 기술적 사상을 구현하기 위하여 다른 구성요소들(예컨대, 이벤트 처리부(120), 요청 처리부(130), 및/또는 판단부(140) 등)의 리소스 및/또는 기능을 제어할 수 있다.The control unit 110 may be configured to control the resources and / or functions of other components (e.g., the event processing unit 120, the request processing unit 130, and / or the determination unit 140) to implement the technical idea of the present invention. Can be controlled.

상기 이벤트 처리부(120)는 상기 사용자의 단말기(예컨대, 20)와 통신을 수행할 수 있다. 특히 상기 이벤트 처리부(120)는 상기 단말기(예컨대, 20)로부터 이벤트 발생신호를 수신할 수 있다. 상기 이벤트 발생신호는 전술한 바와 같이 사용자가 인증을 수행하겠다는 의사표시를 나타내는 신호일 수 있다. 상기 이벤트 발생신호는 상기 단말기(예컨대, 20)에 특정 이벤트가 발생한 경우에만 상기 단말기(예컨대, 20)로부터 상기 이벤트 처리부(120)로 출력되는 신호일 수 있다.The event processing unit 120 may perform communication with the user's terminal (e.g., 20). In particular, the event processing unit 120 may receive an event generation signal from the terminal (e.g., 20). The event generation signal may be a signal indicating a user's intention to perform authentication as described above. The event generation signal may be a signal output from the terminal 20 (for example, 20) to the event processing unit 120 only when a specific event occurs in the terminal 20 (e.g., 20).

상기 요청 처리부(130)는 상기 요청장치(예컨대, 20-1)로부터 상기 인증기관 시스템(40)으로 출력되는 인증요청을 수신할 수 있다. 또는 상기 요청 처리부(130)는 상기 인증요청의 수신시점을 확인할 수 있다. 일예에 의하면, 상기 인증요청은 상기 인증제어시스템(100)으로 수신될 수도 있고, 이러한 경우에 상기 수신시점은 상기 인증제어시스템(100)이 수신한 수신시점일 수도 있다. 구현에 따라서는 상기 인증요청은 상기 인증기관 시스템(40)으로 전송될 수도 있다. 이러한 경우에는 상기 수신시점은 상기 인증기관 시스템(40)이 상기 인증요청을 수신한 시점일 수도 있다. The request processing unit 130 may receive an authentication request output from the requesting device (e.g., 20-1) to the certification authority system 40. [ Alternatively, the request processing unit 130 may confirm the reception time of the authentication request. According to an example, the authentication request may be received by the authentication control system 100, and in this case, the reception time may be a reception time point received by the authentication control system 100. [ Depending on the implementation, the authentication request may be sent to the certification authority system 40. In this case, the reception time may be a time point at which the certification authority system 40 receives the authentication request.

상기 판단부(140)는 수신된 인증요청이 인증조건을 만족하는지 여부를 확인할 수 있다. 상기 인증조건은 단순히 상기 인증요청에 상응하는 사용자의 단말기(예컨대, 20)로부터 상기 이벤트 발생신호가 수신되었는지 여부만일 수도 있다. 구현 예에 따라서는, 상기 인증요청이 상기 이벤트 발생신호에 기초하여 설정되는 인증 가능기간에 수신되었는지 여부에 의해 상기 인증조건의 만족여부가 판단될 수도 있다. 이를 위해 상기 판단부(140)는 상기 이벤트 발생신호가 수신되면, 수신된 상기 이벤트 발생신호에 기초하여 상기 인증 가능기간을 설정할 수 있다. The determination unit 140 may determine whether the received authentication request satisfies the authentication condition. The authentication condition may simply be whether or not the event generation signal has been received from the user's terminal (e.g., 20) corresponding to the authentication request. According to an embodiment, whether or not the authentication condition is satisfied may be determined depending on whether the authentication request is received in the authentication enabling period set based on the event generation signal. For this, the determination unit 140 may set the authentication period based on the received event generation signal when the event generation signal is received.

상기 판단부(140)는 상기 이벤트 발생신호의 수신시점 이후 또는 수신시점 이후 소정의 기간 내(예컨대, 수초 또는 수분 등)를 상기 인증 가능기간으로 설정할 수 있다. 즉, 상기 이벤트 발생신호가 수신된 후 또는 상기 이벤트 발생신호가 수신된 후 소정의 기간 내에 상기 인증요청이 상기 인증제어시스템(100) 또는 상기 인증기관 시스템(40)으로 수신되면 서비스를 허용하도록 허용제어를 수행할 수 있다. 이러한 경우에는 사용자가 능동적으로 상기 이벤트 발생신호를 출력시키므로, 어떠한 공격자라도 상기 인증 가능기간을 미리 알 수 없게 되는 효과가 있다.The determination unit 140 may set the authentication period to a predetermined time period (e.g., several seconds or a few minutes) after or after the reception of the event generation signal. That is, when the authentication request is received by the authentication control system 100 or the certification authority system 40 within a predetermined time period after the event generation signal is received or after the event generation signal is received, Control can be performed. In this case, since the user actively outputs the event generation signal, any attacker can not know the authentication period in advance.

다른 실시 예에 의하면, 상기 이벤트 발생신호에는 소정의 기간정보가 포함될 수도 있다. 예컨대, 후술할 클라이언트 시스템(200)은 상기 단말기에 이벤트가 발생했다고 판단하면 소정의 UI를 제공할 수 있다. 사용자는 상기 UI를 통해 서비스를 사용할 기간정보를 입력할 수 있다. 그러면, 상기 클라이언트 시스템(200)은 상기 기간정보를 포함하는 상기 이벤트 발생신호를 상기 인증제어시스템(100)으로 출력할 수도 있다. According to another embodiment, the event generation signal may include predetermined period information. For example, the client system 200, which will be described later, may provide a predetermined UI when it determines that an event has occurred in the terminal. The user can input period information for using the service through the UI. Then, the client system 200 may output the event generation signal including the period information to the authentication control system 100.

실시 예에 따라서는 사용자가 본 발명의 기술적 사상에 의한 서비스를 신청할 때에 미리 기간정보를 설정해둘 수도 있다. 그러면 상기 클라이언트 시스템(200)은 상기 이벤트 발생신호를 상기 인증제어시스템(100)으로 출력하고, 상기 인증제어시스템(100)에서 이벤트 발생신호에 상응하는 기간정보를 산정할 수도 있다.According to the embodiment, the user may set the period information in advance when requesting the service according to the technical idea of the present invention. Then, the client system 200 may output the event generation signal to the authentication control system 100, and may calculate period information corresponding to the event generation signal in the authentication control system 100.

사용자가 별도로 기간정보를 설정하지 않는 경우에는, 상기 판단부(140)는 비교적 짧은 시간(예컨대, 수초 또는 수분)동안을 인증 가능기간으로 설정할 수 있다. 따라서 사용자는 서비스를 이용할 때마다 서비스 이용을 위한 의사표시 즉, 특정 행위를 수행하여야 할 수 있다. If the user does not separately set the period information, the determination unit 140 may set the authentication period to a relatively short time (e.g., several seconds or several minutes). Therefore, each time a user uses a service, he or she may have to perform a specific action, that is, a willingness to use the service.

하지만, 공격자가 이러한 짧은 시간동안에 허위로 서비스 요청을 하는 경우가 존재할 수도 있다. 이러한 경우를 대비해 상기 제어부(110)는 상기 인증 가능기간동안이라도 소정의 우선순위에 해당하는 인증요청에 대해서만 한정적으로 인증제어를 수행할 수도 있다. 예컨대, 상기 우선순위는 인증요청의 수신순서에 의해 결정될 수 있다. 예컨대, 첫 번째(또는 미리 정해진 수 번째까지) 수신된 인증요청에 대해서만 인증제어를 수행할 수도 있다. 그리고 첫 번째(또는 미리 정해진 수 번째까지) 인증요청에 응답하여 인증을 수행하도록 상기 인증기관 시스템(40)을 제어한 후에는 인증 가능기간이 남은 경우라도 이후에 수신되는 인증요청에 대해서는 인증제어를 수행하지 않을 수도 있다. 다양한 우선순위의 실시 예가 존재할 수 있다.However, there may be cases where an attacker makes false service requests during such a short period of time. In this case, the controller 110 may perform authentication control only for authentication requests corresponding to a predetermined priority even during the authentication period. For example, the priority may be determined by a reception order of the authentication request. For example, authentication control may be performed only on the first (or a predetermined number of) received authentication requests. After controlling the certification authority system 40 to perform the authentication in response to the first (or a predetermined number of times) authentication request, even if the authentication period remains, It may not be performed. There may be embodiments of various priorities.

본 발명의 기술적 사상에 의하면 공격자는 사용자가 언제 특정행위를 수행할지 알지 못하므로, 짧은 시간동안만 인증 가능기간으로 설정되는 경우에, 상기 인증 가능기간에 허위의 인증요청을 할 수 있는 확률이 매우 낮아질 수 있다. 공격자가 인증 가능기간임을 알게 되는 경우라 하더라도, 첫 번째(또는 미리 정해진 수 번째까지)의 인증요청에 대해서만 서비스를 제공하는 경우에는 일반적으로 사용자가 공격자보다 먼저 인증요청을 하게 될 확률이 매우 크므로, 혹시 있을지 모를 인증 가능기간동안의 공격에도 이를 차단할 수 있는 효과를 얻을 수 있다.According to the technical idea of the present invention, since the attacker does not know when a user will perform a specific action, the probability that a false authentication request can be made in the authentication enabling period is very high Can be lowered. Even if the attacker knows that the authentication period is available, if the service is provided only for the first (or a predetermined number of) authentication requests, the probability that a user will request an authentication request before the attacker is very high , It is possible to prevent the attack even during an authentication possible period.

상기 판단부(140)에 의해 인증 가능기간이 설정되고, 상기 판단부(140)에 의해 상기 인증요청이 상기 인증 가능기간에 수신되었다고 판단되면, 상기 제어부(110)는 상기 인증요청에 상응하는 서비스를 수행하도록 상기 인증기관 시스템(40)을 제어할 수 있다. If it is determined by the determination unit 140 that the authentication period is set and the determination unit 140 determines that the authentication request is received in the authentication period, the control unit 110 determines whether the service corresponding to the authentication request The certificate authority system 40 may be configured to perform the following functions.

상기 제어부(110)는, 상기 판단부(140)에 의해 인증조건이 만족되었다고 판단되면, 상기 인증요청을 상기 인증기관 시스템(40)으로 전달함으로써 인증제어를 수행할 수 있다. 즉, 상기 인증요청은 상기 인증제어시스템(100)으로 수신될 수 있으며, 상기 제어부(110)에 의해 상기 인증요청을 상기 인증기관 시스템(40)으로 전송하는 것에 의해 인증의 수행여부가 제어될 수 있다. 이러한 경우에는 상기 인증기관 시스템(40)의 특별한 변경 없이 본 발명의 기술적 사상이 구현될 수 있는 유리한 효과가 있다.The control unit 110 may perform authentication control by transmitting the authentication request to the certification authority system 40 when the determination unit 140 determines that the authentication condition is satisfied. That is, the authentication request can be received by the authentication control system 100, and whether or not authentication is performed can be controlled by transmitting the authentication request to the certification authority system 40 by the control unit 110 have. In this case, there is an advantageous effect that the technical idea of the present invention can be implemented without changing the certification authority system 40.

다른 실시 예에 의하면, 상기 인증요청은 상기 요청장치(예컨대, 20-1)로부터 직접 상기 인증기관 시스템(40)으로 전송될 수도 있다. 이때에는 상기 인증요청이, 상기 제어부(110)가 본 발명의 기술적 사상에 따른 제어신호를 상기 인증기관 시스템(40)으로 전송하기 전에, 이미 상기 인증기관 시스템(40)으로 전송되어 있거나 상기 제어신호가 전송된 후에 상기 인증기관 시스템(40)으로 전송될 수도 있다. 즉, 인증요청이 상기 요청장치(예컨대, 20-1)로부터 상기 인증기관 시스템(40)으로 직접 전송되는 경우에는, 이벤트가 인증요청 전에 발생하더라도 네트워크 사정 등 다양한 사정에 의해 인증요청이 상기 인증기관 시스템(40)으로 먼저 전송될 수도 있고, 그렇지 않을 수도 있다. 이러한 경우에는 상기 제어부(110)는 이미 전송되어 있거나 전송될 상기 인증요청의 인증 수행여부를 나타내는 제어신호를 상기 인증기관 시스템(40)으로 전송함으로써 인증제어를 수행할 수도 있다. 또는 상기 제어신호에 추후에 수신될 상기 인증요청의 인증 수행여부를 판단할 수 있는 정보(예컨대, 이벤트 발생신호의 수신시점, 이벤트 발생시점 등)를 포함시켜 상기 인증기관 시스템(40)으로 전송함으로써, 상기 인증기관 시스템(40)이 상기 제어신호에 응답하여 최종적으로 인증의 수행여부를 결정하도록 할 수도 있다. 구현 예에 따라서는, 상기 인증기관 시스템(40)이 상기 인증요청이 수신된 시점에 대한 정보를 상기 인증제어시스템(100)으로 전송하고, 상기 인증제어시스템(100)은 수신된 정보에 기초하여 상기 인증요청이 인증 가능기간 내에 수신되었는지를 판단할 수도 있다. 다양한 실시 예가 가능할 수 있음을 본 발명의 기술분야의 평균적 전문가가 용이하게 추론할 수 있을 것이다.According to another embodiment, the authentication request may be sent to the certification authority system 40 directly from the requesting device (e.g., 20-1). At this time, the authentication request is transmitted to the certification authority system 40 before the control section 110 transmits the control signal according to the technical idea of the present invention to the certification authority system 40, May be transmitted to the certification authority system 40 after it is transmitted. That is, when the authentication request is directly transmitted from the requesting device (e.g., 20-1) to the certification authority system 40, even if the event occurs before the authentication request, May or may not be transmitted first to the system 40. In this case, the control unit 110 may perform authentication control by transmitting a control signal indicating whether the authentication request is already transmitted or to be transmitted to the certification authority system 40. Or information (e.g., a reception time of an event generation signal, an event generation time, etc.) that can be used to determine whether to perform authentication of the authentication request to be received later in the control signal is transmitted to the certification authority system 40 , The certification authority system 40 may determine in response to the control signal whether or not to finally perform authentication. According to an embodiment, the certification authority system 40 transmits information on when the authentication request is received to the authentication control system 100, and the authentication control system 100 determines, based on the received information, And may determine whether the authentication request has been received within the authenticatable period. It will be readily apparent to one of ordinary skill in the art that various embodiments may be possible.

한편, 상기 인증제어시스템(100)은 소정의 단말기(예컨대, 20)로부터 이벤트 발생신호가 수신된 경우, 상기 이벤트 발생신호가 어떤 사용자의 인증수행 의사 표시인지를 알아야 할 수 있다. 그래야만 상기 사용자 명의의 인증요청에 응답하여 인증을 수행하도록 제어를 수행할 수 있다. 이를 위해 상기 이벤트 발생신호에는 상기 사용자를 식별할 수 있는 정보가 포함될 수 있다. 사용자를 식별할 수 있는 정보로는 상기 단말기(예컨대, 20)의 식별정보, 상기 특정 행위가 상기 단말기(예컨대, 20)와 상기 근거리 무선통신장치(30)와의 근거리 무선통신일 경우에는 상기 근거리 무선통신장치(30)의 식별정보, 또는 사용자가 직접 자신의 식별정보를 입력하는 경우의 사용자 식별정보 중 적어도 하나일 수 있다. Meanwhile, when the event generation signal is received from a predetermined terminal (for example, 20), the authentication control system 100 may know which user's intention to perform the authentication. So that the control can be performed to perform the authentication in response to the authentication request of the user name. To this end, the event generation signal may include information for identifying the user. The information that can identify the user includes identification information of the terminal 20, for example, when the specific action is a short-range wireless communication between the terminal 20 and the short- The identification information of the communication device 30, or the user identification information when the user inputs his / her identification information directly.

상기 판단부(140)는 수신된 상기 이벤트 발생신호에 기초하여 서비스가 제한적으로 허용될 사용자를 특정할 수 있다. 즉, 상기 이벤트 발생신호에 상응하는 사용자를 특정할 수 있다. 그러면, 상기 제어부(110)는 상기 특정된 사용자에 상응하는 인증요청에 대해서만 제한적으로 인증제어를 수행할 수 있다. The determination unit 140 may identify a user to which the service is limited based on the received event generation signal. That is, a user corresponding to the event generation signal can be specified. Then, the control unit 110 can perform limited authentication control only for the authentication request corresponding to the specified user.

예컨대, 상기 판단부(140)는 상기 단말기의 식별정보를 확인할 수 있다. 상기 단말기(예컨대, 20)의 식별정보는 상기 이벤트 발생신호에 포함될 수도 있고, 상기 단말기(예컨대, 20)와 상기 인증제어시스템(100)간에 통신에 의해 판단될 수도 있다. 그러면, 상기 판단부(140)는 상기 단말기(예컨대, 20)의 식별정보에 기초하여 상기 단말기(예컨대, 20)의 명의자 즉, 상기 사용자를 특정할 수 있다. 상기 판단부(140)는 상기 단말기(예컨대, 20)의 식별정보를 이용하여 소정의 외부시스템(예컨대, 이동통신사 시스템 등)으로부터 상기 단말기(예컨대, 20)의 명의자에 대한 정보를 획득할 수도 있다. 구현 예에 따라서는, 상기 단말기(예컨대, 20)의 식별정보 및 명의자의 정보가 연계되어 미리 상기 인증제어시스템(100)에 저장되어 있을 수도 있다. 그러면 상기 제어부(110)는 상기 이벤트 발생신호에 상응하는 사용자 명의의 인증요청에 대해서만 인증제어를 수행할 수 있다. For example, the determination unit 140 can identify the identification information of the terminal. The identification information of the terminal (e.g., 20) may be included in the event generation signal, or may be determined by communication between the terminal (e.g., 20) and the authentication control system 100. [ Then, the determination unit 140 can identify the name of the terminal (e.g., 20), that is, the user, based on the identification information of the terminal (e.g., 20). The determination unit 140 may obtain information on the name of the terminal 20 (e.g., 20) from a predetermined external system (e.g., a mobile communication company system) using the identification information of the terminal 20 . According to an embodiment, identification information and name information of the terminal (for example, 20) may be linked and stored in the authentication control system 100 in advance. Then, the control unit 110 may perform authentication control only for a user name authentication request corresponding to the event generation signal.

구현 예에 따라서, 상기 판단부(140)는 상기 이벤트(예컨대, 근거리 무선통신)의 발생을 위해 상기 단말기(예컨대, 20)와 근거리 무선통신을 수행하는 근거리 무선통신장치(30)의 명의자를 상기 사용자로 특정할 수도 있다. 예컨대, 상기 이벤트 발생신호에는 상기 근거리 무선통신장치(30)의 식별정보가 포함될 수 있다. 그러면, 상기 판단부(140)는 상기 근거리 무선통신장치(30)의 식별정보에 기초하여 상기 사용자를 특정할 수 있다. 상기 근거리 무선통신장치(30)의 식별정보에 대응되는 사용자의 정보가 미리 상기 인증제어시스템(100)에 저장되어 있을 수 있음은 물론이다. 실시 예에 따라서는, 상기 단말기(예컨대, 20)가 상기 근거리 무선통신장치(30)를 인증할 수도 있다. 이러한 경우에는 상기 이벤트 발생신호에 상기 근거리 무선통신장치(30)의 명의자에 대한 정보가 포함될 수도 있다. 다양한 방식으로 상기 단말기(예컨대, 20)의 명의자가 상기 판단부(140)에 의해 특정될 수도 있다. The determination unit 140 may determine the name of the short range wireless communication apparatus 30 that performs short-range wireless communication with the terminal 20 (e.g., 20) in order to generate the event (e.g., short range wireless communication) It can also be specified as a user. For example, the event occurrence signal may include identification information of the short-range wireless communication device 30. [ Then, the determination unit 140 can identify the user based on the identification information of the short-range wireless communication device 30. [ It is a matter of course that the information of the user corresponding to the identification information of the short-range wireless communication device 30 may be stored in the authentication control system 100 in advance. Depending on the embodiment, the terminal (e.g., 20) may authenticate the short-range wireless communication device 30. In this case, information on the name of the short-range wireless communication apparatus 30 may be included in the event occurrence signal. The name of the terminal (e.g., 20) may be specified by the determination unit 140 in various manners.

일 실시 예에 의하면, 상기 판단부(140)는 상기 단말기(예컨대, 20)의 명의자와 상기 근거리 무선통신장치(30)의 명의자가 일치하여야 상기 명의자를 상기 사용자로 특정할 수도 있다. 이러한 경우에는 복수의 사용자 명의의 장치(즉, 상기 단말기(예컨대, 20) 및 상기 근거리 무선통신장치(30))를 소지하여야 인증이 수행되므로, 보안성은 매우 높아질 수 있다. 이외에도 다양한 방식으로 상기 판단부(140)는 상기 이벤트 발생신호에 기초하여 상기 사용자를 특정할 수 있다.According to an exemplary embodiment, the determination unit 140 may specify the name of the user (e.g., 20) and the name of the local area wireless communication device 30 as the user. In this case, since the authentication is carried out by holding devices of a plurality of user names (i.e., the terminal (e.g., 20) and the short-range wireless communication device 30), the security can be very high. In addition, the determination unit 140 can identify the user based on the event generation signal in various ways.

또한, 사용자가 수행하는 특정 행위가 상술한 근거리 무선통신장치(30)와 상기 단말기(예컨대, 20)의 근거리 무선통신이 아니라, 상기 단말기(예컨대, 20)를 통한 소정의 인증인 경우라 하더라도 적어도 사용자 명의의 상기 단말기(예컨대, 20)를 소지하여야 하므로 2팩터 인증이 가능한 효과가 있다.Even if the specific action performed by the user is not limited to short-range wireless communication between the near-field wireless communication device 30 and the terminal 20 (e.g., 20) (For example, 20) of the user name, so that there is an effect that two-factor authentication can be performed.

한편, 인증을 요청하는 요청장치(예컨대, 20-1)와 상기 의사표시를 수행하는 상기 단말기(예컨대, 휴대폰, 20)는 별개의 단말기일 수도 있다. 즉, 사용자는 상기 요청장치(예컨대, 20-1)를 통해 인증요청을 하고, 인증요청 전 또는 후에 상기 단말기(예컨대, 20)를 통해 상기 특정 행위를 수행할 수도 있다. 물론, 상기 단말기(예컨대, 20)를 통해 인증요청을 하고, 상기 단말기(예컨대, 20)를 통해 상기 특정 행위를 수행할 수도 있다. 이때에는 상기 단말기(예컨대, 20)가 상기 요청장치(예컨대, 20-1)가가 될 수 있음은 물론이다. 물론, 상기 요청장치(예컨대, 20-1)를 통해 인증요청을 하고, 상기 요청장치(예컨대, 20-1)를 통해 특정 행위를 수행할 수도 있다. 이러한 경우에는 상기 요청장치(예컨대, 20-1)가 사용자 명의임을 상기 인증제어시스템(100)이 알 수 있도록 소정의 정보(예컨대, 상기 요청장치(예컨대, 20-1)의 명의자의 정보)가 미리 상기 인증제어시스템(100)에 저장되어 있거나, 구현 예에 따라서는 상기 특정 행위를 수행하는 단말기(예컨대, 20-1)가 사용자 명의이어야 할 요건이 생략될 수도 있다. 이처럼 사용자 명의의 단말기를 통해서만 이벤트 발생신호가 전송되도록 하는 강제조건이 없더라도 본 발명의 기술적 사상은 종래의 공인인증서 방식에 비해 보안성이 뛰어난 효과는 여전히 존재한다.Meanwhile, the requesting device (e.g., 20-1) requesting authentication and the terminal (e.g., cellular phone 20) performing the pseudo display may be separate terminals. That is, the user may make an authentication request through the requesting device (e.g., 20-1), and may perform the specific action through the terminal (e.g., 20) before or after the authentication request. Of course, an authentication request may be made through the terminal (e.g., 20), and the specific operation may be performed through the terminal (e.g., 20). At this time, it is needless to say that the terminal (for example, 20) can be the requesting device (for example, 20-1). Of course, an authentication request may be made through the requesting device (e.g., 20-1) and a specific action may be performed through the requesting device (e.g., 20-1). In this case, the predetermined information (for example, the information of the name of the requesting device (e.g., 20-1)) is set so that the authentication control system 100 knows that the requesting device (e.g., 20-1) Stored in the authentication control system 100, or according to an embodiment, the requirement that the terminal (e.g., 20-1) performing the specific action should be a user name may be omitted. Although there is no compulsory condition for transmitting an event generation signal only through the terminal of the user's name, the technical idea of the present invention still has an excellent security effect as compared with the conventional authorized certificate method.

또한, 상기 판단부(140)는 전술한 바와 같이 상기 인증제어시스템(100) 또는 상기 인증기관 시스템(40)으로 수신되는 인증요청이 필터링 조건을 만족하는지 여부를 판단할 수 있다. 그리고 판단결과 상기 인증요청이 상기 필터링 조건을 만족하는 필터링 인증요청인 경우에만, 상기 제어부(110)에 의해 인증제어가 수행되도록 할 수도 있다. In addition, the determination unit 140 may determine whether the authentication request received by the authentication control system 100 or the certification authority system 40 satisfies the filtering condition, as described above. The control unit 110 may perform authentication control only when the authentication request is a filtering authentication request that satisfies the filtering condition.

예컨대, 상기 인증요청이 상기 인증제어시스템(100)으로 수신되면, 상기 판단부(140)는 상기 인증요청이 필터링 조건을 만족하는 인증요청 즉, 필터링 인증요청인지를 판단하고, 판단결과 필터링 인증요청인 경우에는 인증조건을 만족하는지 여부를 판단하고 판단결과에 따라 인증이 수행되도록 인증제어를 수행할 수 있다. For example, when the authentication request is received by the authentication control system 100, the determination unit 140 determines whether the authentication request is an authentication request satisfying a filtering condition, that is, a filtering authentication request, , It is judged whether or not the authentication condition is satisfied and the authentication control is performed so that the authentication is performed according to the determination result.

만약, 상기 판단부(140)에 의해 상기 인증요청이 상기 필터링 인증요청이 아니라고 판단되면, 상기 제어부(110)는 상기 인증요청이 상기 인증조건을 만족하는지 여부와 무관하게 상기 인증요청이 인증되도록 상기 인증기관 시스템(40)을 제어할 수 있다.If it is determined by the determination unit 140 that the authentication request is not the filtering authentication request, the controller 110 determines whether the authentication request is authenticated regardless of whether the authentication request satisfies the authentication condition The certification authority system 40 can be controlled.

상기 인증요청이 상기 인증기관 시스템(40)으로 직접 전송되는 경우에는, 상기 인증기관 시스템(40)은 상기 인증제어시스템(100)으로부터 소정의 제어신호를 미리 받은 경우에는 인증을 수행하면 되고, 상기 인증제어시스템(100)으로부터 소정의 제어신호를 수신하지 못한 경우에는 상기 인증제어시스템(100)으로부터 소정의 제어신호가 수신되기 전까지 인증을 수행하지 않고 대기할 수 있다. 그러면, 상기 인증요청이 필터링 인증요청인지가 상기 인증기관 시스템(40) 또는 상기 판단부(140)에 의해 판단될 수 있다. 이를 위해 상기 인증기관 시스템(40)은 상기 인증요청에 대한 정보(예컨대, 금액, 요청장치(예컨대, 20-1)의 속성, 서비스 시스템(예컨대, 10)의 속성 등과 같은 필터링 조건의 만족여부를 판단할 수 있는 정보)를 상기 인증제어시스템(100)으로 전송할 수도 있다. 상기 인증요청이 필터링 인증요청으로 판단된 경우, 상기 판단부(140)는 상기 필터링 인증요청이 인증조건을 만족하는지를 판단하고, 판단결과에 따라 상기 제어부(110)는 인증제어를 위한 제어신호를 상기 인증기관 시스템(40)으로 전송할 수 있다. 또한, 상기 제어부(110)는 인증조건을 만족하지 않으면, 상기 인증기관 시스템(40)이 서비스를 거부하도록 하는 제어신호를 상기 인증기관 시스템(40)으로 전송할 수도 있다. When the authentication request is directly transmitted to the certification authority system 40, the certification authority system 40 performs authentication when receiving a predetermined control signal from the authentication control system 100 in advance, If a predetermined control signal is not received from the authentication control system 100, the authentication control system 100 can wait without performing authentication until a predetermined control signal is received from the authentication control system 100. Then, the certification authority system 40 or the determination unit 140 can determine whether the authentication request is a filtering authentication request. For this, the certification authority system 40 determines whether or not the filtering conditions such as the information on the authentication request (for example, the amount, the attribute of the request device (for example, 20-1), the attribute of the service system (E.g., information that can be determined) to the authentication control system 100. If it is determined that the authentication request is a filtering authentication request, the determination unit 140 determines whether the filtering authentication request satisfies the authentication condition, and the control unit 110 transmits a control signal for authentication control To the certification authority system (40). If the authentication condition is not satisfied, the control unit 110 may transmit a control signal to the certification authority system 40 to cause the certification authority system 40 to reject the service.

만약, 상기 인증기관 시스템(40)으로 수신된 인증요청이 필터링 인증요청이 아니라고 상기 판단부(140)에 의해 판단된 경우, 상기 판단부(140)는 상기 인증요청이 인증조건을 만족하는지를 판단할 필요 없이 상기 제어부(110)가 상기 인증요청을 인증하도록 하는 제어신호를 상기 인증기관 시스템(40)으로 전송할 수도 있다.If the determination unit 140 determines that the authentication request received by the certification authority system 40 is not a filtering authentication request, the determination unit 140 determines whether the authentication request satisfies the authentication condition The control unit 110 may send a control signal to the certification authority system 40 so that the control unit 110 may authenticate the authentication request.

한편, 본 발명의 기술적 사상을 구현하기 위해서는 상기 단말기(예컨대, 20)에 소정의 클라이언트 즉, 애플리케이션(또는 소프트웨어)이 설치될 수 있다. 상기 애플리케이션이 설치되면, 상기 단말기(예컨대, 20)의 하드웨어와 상기 애플리케이션이 유기적으로 결합하여 본 발명의 기술적 사상에 따른 클라이언트 시스템(200)이 구현될 수 있다. In order to implement the technical idea of the present invention, a predetermined client, that is, an application (or software), may be installed in the terminal (for example, 20). When the application is installed, the client system 200 according to the technical idea of the present invention can be implemented by organically combining the hardware of the terminal (e.g., 20) and the application.

도4는 본 발명의 실시 예에 따른 클라이언트 시스템의 개략적인 구성을 나타낸다.4 shows a schematic configuration of a client system according to an embodiment of the present invention.

우선 도4를 참조하면, 본 발명의 기술적 사상을 구현하기 위한 클라이언트 시스템(200)은 사용자의 단말기(예컨대, 20)에 포함되어 구현될 수 있다.4, a client system 200 for implementing the technical idea of the present invention may be included in a user's terminal (e.g., 20).

따라서 상기 단말기(예컨대, 20)가 본 발명의 기술적 사상을 구현하기 위한 소정의 기능을 수행한다고 함은, 상기 단말기(예컨대, 20)에 설치된 상기 클라이언트 시스템(200)이 상기 기능을 수행함을 의미할 수도 있다. 예컨대, 상기 이벤트 발생신호를 출력하거나, 상기 특정 이벤트가 발생함을 판단하는 등의 기능은 상기 클라이언트 시스템(200)에 의해 수행될 수 있다. Accordingly, when the terminal (for example, 20) performs a predetermined function for realizing the technical idea of the present invention, it means that the client system 200 installed in the terminal 20 (for example, 20) It is possible. For example, the function of outputting the event generation signal or determining that the specific event occurs can be performed by the client system 200.

상기 클라이언트 시스템(200)은 제어모듈(210) 및 판단모듈(220)을 포함할 수 있다. 상기 제어모듈(210)은 상기 판단모듈(220) 및/또는 상기 단말기(예컨대, 20)의 다른 구성들의 기능 및/또는 리소스를 제어할 수 있도록 구현될 수 있다. The client system 200 may include a control module 210 and a determination module 220. The control module 210 may be implemented to control functions and / or resources of the determination module 220 and / or other configurations of the terminal (e.g., 20).

상기 판단모듈(220)은 상기 단말기(예컨대, 20)에 특정 이벤트가 발생했는지 판단할 수 있다. 상기 특정 이벤트는 전술한 바와 같이 상기 단말기(예컨대, 20)와 상기 근거리 무선통신장치(30)가 근거리 무선통신을 수행하는 이벤트일 수도 있고, 상기 단말기(예컨대, 20)를 통해 소정의 인증정보(예컨대, 비밀번호, 생체정보, OTP, 공인인증서 등)를 이용한 인증 이벤트일 수도 있다. 상기 단말기(예컨대, 20)를 통해 인증 이벤트가 수행되는 경우에는, 상기 인증정보는 상기 단말기(예컨대, 20)에 저장되어 있을 수도 있지만 상기 인증정보를 인증할 수 있는 소정의 네트워크 시스템(예컨대, OTP 인증시스템, 생체정보 인증시스템, 또는 공인인증서 인증시스템 등)에 상기 인증정보가 저장되어 있을 수도 있다. 이러한 경우에는 상기 네트워크 시스템으로부터 인증이 성공했음을 상기 판단모듈(220)이 수신하여야 상기 특정 이벤트가 수행되었다고 판단할 수 있다. The determination module 220 may determine whether a specific event has occurred in the terminal 20 (e.g., 20). The specific event may be an event in which the terminal 20 and the short-range wireless communication apparatus 30 perform short-range wireless communication as described above, or the predetermined authentication information (for example, An authentication event using a password, biometric information, an OTP, an authorized certificate, etc.). When the authentication event is performed through the terminal 20 (for example, 20), the authentication information may be stored in the terminal 20 (for example, 20), but may be stored in a predetermined network system An authentication system, a biometric information authentication system, or an authorized certificate authentication system). In this case, the determination module 220 may determine that the specific event has been performed by receiving the authentication from the network system.

상기 판단모듈(220)에 의해 상기 특정 이벤트가 발생했다고 판단되면, 상기 제어모듈(210)은 상기 인증제어시스템(100)으로 이벤트 발생신호를 전송할 수 있으며, 상기 이벤트 발생신호가 상기 제어모듈(210)로부터 상기 인증제어시스템(100)으로 출력되면, 상기 인증제어시스템(100)은 전술한 바와 같이 인증 가능기간동안에만 제한적으로 요청장치(예컨대, 20-1)로부터 수신되는 인증요청에 응답하여 상기 인증기관 시스템(40)이 인증을 수행하도록 인증제어를 수행할 수 있다. If it is determined by the determination module 220 that the specific event has occurred, the control module 210 may transmit an event generation signal to the authentication control system 100, and the event generation signal may be transmitted to the control module 210 ), The authentication control system 100 responds to the authentication request received from the requesting device (for example, 20-1) only for the period during which the authentication is possible, as described above, The certification authority system 40 may perform authentication control to perform authentication.

상기 제어모듈(210)은 상기 단말기(예컨대, 20)의 식별정보(예컨대, 전화번호, IMEI 등)를 추출할 수 있고, 추출된 정보를 상기 이벤트 발생신호에 포함시킬 수 있다. 구현 예에 따라서는, 상기 특정 이벤트가 상기 단말기(예컨대, 20)와 상기 근거리 무선통신장치(30)의 근거리 무선통신인 경우, 상기 근거리 무선통신장치(30)의 식별정보를 상기 근거리 무선통신을 통해 수신한 후 상기 이벤트 발생신호에 포함시킬 수도 있다. 또는 소정의 방식으로 상기 근거리 무선통신장치(30)의 사용자를 인증하고, 인증결과에 따라 상기 근거리 무선통신장치(30)의 명의자의 정보를 상기 이벤트 발생신호에 포함시킬 수도 있다. 예컨대, 상기 제어모듈(210)은 사용자로부터(상기 단말기(예컨대, 20)로부터) 직접 사용자 식별정보(예컨대, ID, 이름, 주민번호 등)를 입력받고, 입력받은 정보를 상기 이벤트 발생신호에 포함시킬 수도 있다.The control module 210 may extract identification information (e.g., telephone number, IMEI, etc.) of the terminal (e.g., 20) and may include the extracted information in the event generation signal. According to an embodiment of the present invention, when the specific event is local area wireless communication between the terminal (for example, 20) and the local area wireless communication apparatus 30, the identification information of the local area wireless communication apparatus 30 may be used for the local area wireless communication And may be included in the event occurrence signal. Or may authenticate the user of the local area wireless communication device 30 in a predetermined manner and include the information of the name of the local area wireless communication device 30 in the event generation signal according to the authentication result. For example, the control module 210 receives user identification information (e.g., ID, name, resident registration number, etc.) directly from the user (e.g., from the terminal 20) .

또한, 전술한 바와 같이 상기 제어모듈(210)은 상기 근거리 무선통신장치(30)를 인증할 수도 있다. 상기 제어모듈(210)이 상기 근거리 무선통신장치(30)를 인증하는 방식은 다양할 수 있다. 예컨대, 상기 근거리 무선통신장치(30)의 식별정보가 미리 상기 단말기(20)에 저장되어 있는 경우에는, 상기 근거리 무선통신을 수행한 상기 근거리 무선통신장치(30)의 식별정보가 상기 단말기(20)에 미리 저장된 식별정보에 상응하는지를 상기 제어모듈(210)이 판단함으로써 상기 제어모듈(210)은 상기 근거리 무선통신장치(30)를 인증할 수 있다. 또한, 보다 높은 보안성을 위해서는 상기 근거리 무선통신장치(예컨대, IC카드, 30)가 소정의 난수(random number)를 생성하고, 생성된 난수를 비대칭 암호화 방식을 통해 인증하는 크립토그램 방식이 이용될 수도 있다. 구현 예에 따라서는 상기 근거리 무선통신장치(30)가 OTP를 생성하는 OTP클라이언트 역할을 수행하고, 상기 제어모듈(210)이 OTP를 인증하는 OTP 서버 역할을 수행할 수도 있다. 다양한 방식으로 상기 제어모듈(210)은 상기 근거리 무선통신장치(30)를 인증할 수 있다. 물론, 상기 근거리 무선통신장치(30)의 인증은 전술한 바와 같이 상기 인증제어시스템(100)에 의해 수행될 수도 있다. 예컨대, 상기 근거리 무선통신장치(30)가 생성한 난수를 비대칭 암호화 방식을 통해 인증하는 두 장치가 상기 인증제어시스템(100) 및 상기 근거리 무선통신장치(30)일 수도 있다. 이러한 경우, 상기 클라이언트 시스템(200)은 단순히 상기 인증제어시스템(100)과 상기 근거리 무선통신장치(30)사이의 통신을 중개하는 기능을 수행할 수도 있다. 상기 근거리 무선통신장치(30)가 OTP 클라이언트 역할을 수행하는 경우에도, 상기 인증제어시스템(100)이 OTP 서버의 역할을 수행하여 상기 근거리 무선통신장치(30)를 인증할 수도 있다.Also, as described above, the control module 210 may authenticate the short-range wireless communication device 30. The manner in which the control module 210 authenticates the short-range wireless communication device 30 may vary. For example, when the identification information of the local area wireless communication apparatus 30 is stored in the terminal 20 in advance, the identification information of the local area wireless communication apparatus 30 that has performed the local area wireless communication is stored in the terminal 20 The control module 210 can determine whether the control module 210 corresponds to the identification information previously stored in the local area wireless communication device 30. Also, for higher security, a cryptogram scheme is used in which the short range wireless communication apparatus (e.g., IC card 30) generates a predetermined random number and authenticates the generated random number through an asymmetric encryption scheme It is possible. According to an embodiment, the short-range wireless communication device 30 may serve as an OTP client for generating an OTP, and the control module 210 may serve as an OTP server for authenticating an OTP. The control module 210 may authenticate the short-range wireless communication device 30 in various manners. Of course, the authentication of the short-range wireless communication device 30 may be performed by the authentication control system 100 as described above. For example, two devices for authenticating the random number generated by the short-range wireless communication device 30 through the asymmetric encryption method may be the authentication control system 100 and the short-range wireless communication device 30. In this case, the client system 200 may merely mediate communication between the authentication control system 100 and the short-range wireless communication apparatus 30. [ The authentication control system 100 may also function as an OTP server to authenticate the short-range wireless communication device 30 even when the short-range wireless communication device 30 performs an OTP client role.

상기 이벤트가 상기 근거리 무선통신인 경우, 사용자는 간단히 자신의 단말기(예컨대, 20) 및/또는 자신의 근거리 무선통신장치(30)를 통해 인증 수행의사 표시를 수행할 수 있고, 이러한 의사표시가 있을 때에만 상기 인증기관 시스템(40)에 의해 인증이 수행될 수 있다. If the event is the short-range wireless communication, the user can simply perform a willingness to perform authentication through his / her terminal (e.g., 20) and / or his / her local area wireless communication device 30, The authentication can be performed by the certification authority system 40 only.

사용자는 비교적 오랜 기간 동안 인증을 수행하고자 할 때 상기 제어모듈(210)이 제공하는 소정의 UI를 통해 기간정보를 입력할 수도 있고, 상기 제어모듈(210)은 상기 기간정보를 상기 이벤트 발생신호에 포함시켜 상기 인증제어시스템(100)으로 전송할 수도 있다. 그러면, 상기 인증 가능기간 동안에는 반복적으로 특정 행위를 수행하지 않더라도 서비스가 수행될 수도 있다.The user may input period information through a predetermined UI provided by the control module 210 when the user desires to perform authentication for a relatively long period of time, and the control module 210 may transmit the period information to the event generation signal To the authentication control system 100. Then, the service may be performed even if the specific action is not repeatedly performed during the authenticatable period.

도5는 본 발명의 일 실시 예에 따른 비대칭 암호화 방식의 인증 제어방법의 개략적인 과정을 설명하기 위한 플로우차트이다.5 is a flowchart illustrating an outline process of an asymmetric encryption method authentication control method according to an embodiment of the present invention.

도5는 사용자가 인증을 수행하기 전에 사전적으로 특정 행위 즉, 소정의 이벤트를 발생시키는 일예를 도시하고 있다. 도5를 참조하면, 사용자는 인증을 위해 특정 행위를 수행함으로써 특정 이벤트를 상기 단말기(예컨대, 20)에 발생시킬 수 있다. 그러면, 상기 클라이언트 시스템(200)은 상기 특정 이벤트의 발생을 판단하고, 상기 인증제어시스템(100)으로 이벤트 발생신호를 전송할 수 있다(S100). 사용자는 상기 특정 행위를 수행한 후 소정의 서비스 시스템(10)에서 인증(전자서명)을 요구받고(S110), 이에 응답하여 요청장치(예컨대, 20-1)를 이용하여 인증요청을 출력할 수 있다(S120). 상기 인증요청을 출력하기 위해 사용자는 상기 요청장치(예컨대, 20-1)에서 실행되는 인증서 클라이언트에 인증서의 비밀번호를 입력하여야 함은 물론이다. 상기 인증요청에는 인증서의 개인키뿐만 아니라, 인증기관, 다양한 인증서 정보가 포함될 수 있음은 널리 공지된 바와 같다.FIG. 5 shows an example of generating a specific event, that is, a predetermined event, before the user performs authentication. Referring to FIG. 5, a user may generate a specific event in the terminal (for example, 20) by performing a specific action for authentication. Then, the client system 200 may determine the occurrence of the specific event and transmit an event generation signal to the authentication control system 100 (S100). After performing the specific action, the user is requested to authenticate (digital signature) in a predetermined service system 10 (S110), and in response, can output an authentication request using the request device (e.g., 20-1) (S120). In order to output the authentication request, the user must input the password of the certificate in the certificate client executed in the requesting device (e.g., 20-1). It is well known that the authentication request may include not only the private key of the certificate but also the certification authority and various certificate information.

상기 요청장치(예컨대, 20-1)로부터 출력된 인증요청은 상기 인증제어시스템(100)으로 전송될 수 있다(S120). 상기 인증제어시스템(100)은 수신된 인증요청이 인증조건을 만족하는지 여부를 판단할 수 있다(S130). 그리고 인증조건이 만족한다고 판단한 경우에는 상기 인증요청을 상기 인증기관 시스템(40)으로 전송할 수 있다(S140). 그러면 상기 인증기관 시스템(40)은 수신된 인증요청을 인증하고, 인증결과를 상기 인증제어시스템(100)을 통해서 또는 상기 요청장치(예컨대, 20-1) 즉, 상기 인증서 클라이언트로 직접 전송할 수 있다(S150). 그러면 상기 요청장치(예컨대, 20-1)는 상기 서비스 시스템(10)으로 인증결과를 전송함으로써, 사용자가 인증(또는 요청된 거래가 전자서명)될 수 있다(S160).The authentication request output from the requesting device (e.g., 20-1) may be transmitted to the authentication control system 100 (S120). The authentication control system 100 may determine whether the received authentication request satisfies the authentication condition (S130). If it is determined that the authentication condition is satisfied, the authentication request may be transmitted to the certification authority system 40 (S140). The certification authority system 40 may then authenticate the received authentication request and send the authentication result directly to the requesting device (e.g., 20-1), i.e., to the certificate client, via the authentication control system 100 (S150). Then, the requesting device (e.g., 20-1) can authenticate the user (or request the transaction by electronic signature) by transmitting the authentication result to the service system 10 (S160).

상기 인증조건이 만족하는 경우는 인증 가능기간에 상기 인증요청이 수신된 경우일 수 있다. 상기 인증 가능기간은 예컨대, 상기 이벤트 발생신호가 수신된 수신시점으로부터 일정 기간 내일 수 있다. 구현 예에 따라서는, 상기 인증요청이 먼저 수신되고 상기 이벤트 발생신호가 수신될 수도 있다. 즉, 사용자는 인증요청을 먼저 출력하고 상기 단말기(20)를 통해 특정 행위를 수행할 수도 있다. 이러한 경우에는 상기 인증 가능기간은 상기 이벤트 발생신호가 수신된 시점 이전의 일정 기간내일 수도 있다. 물론, 상기 이벤트 발생신호에 소정의 기간정보가 포함될 수도 있으며, 이러한 경우에는 상기 기간정보에 상응하는 기간이 인증 가능기간일 수도 있다. If the authentication condition is satisfied, the authentication request may be received in the authentication enable period. The authenticatable period may be, for example, a predetermined period of time after the receipt of the event generation signal. In some implementations, the authentication request may be received first and the event generation signal may be received. That is, the user may output an authentication request first and perform a specific action through the terminal 20. In this case, the authenticatable period may be a predetermined period before the event generation signal is received. Of course, the event generation signal may include predetermined period information, and in this case, the period corresponding to the period information may be an authenticable period.

일예에 의하면, 사용자는 상기 클라이언트 시스템(200)을 상기 단말기(예컨대, 20)에서 실행시킨 후 상기 특정 행위를 수행할 수 있다. 구현 예에 따라서는, 상기 특정 행위(예컨대, 근거리 무선통신)를 수행하면 자동으로 상기 클라이언트 시스템(200)이 상기 단말기(예컨대, 20)에서 실행될 수도 있다. For example, the user may execute the client system 200 in the terminal (e.g., 20) and then perform the specific action. According to an embodiment, the client system 200 may be automatically executed on the terminal (e.g., 20) when performing the specific action (e.g., near field wireless communication).

만약, 상기 인증제어시스템(100)의 판단결과, 상기 인증조건이 만족하지 않는다고 판단되면 상기 인증제어시스템(100)은 수신된 인증요청을 상기 인증기관 시스템(40)으로 전송하지 않을 수 있다. 그럼으로써 상기 인증요청은 인증이 수행되지 않을 수 있다. If it is determined by the authentication control system 100 that the authentication condition is not satisfied, the authentication control system 100 may not transmit the received authentication request to the certification authority system 40. Thereby, the authentication request may not be authenticated.

다른 실시 예에 의하면, 상기 인증요청은 상기 인증제어시스템(100)으로 전송되는 것이 아니라, 직접 상기 인증기관 시스템(40)으로 전송될 수도 있다. 이러한 경우에는 상기 인증기관 시스템(40)은 상기 인증제어시스템(100)의 제어신호에 기초하여 수신되는 인증요청의 인증을 수행할지 여부를 판단할 수 있다.According to another embodiment, the authentication request may not be sent to the authentication control system 100, but may be sent directly to the certification authority system 40. In this case, the certification authority system 40 can determine whether to perform authentication of the received authentication request based on the control signal of the authentication control system 100. [

한편, 상기 인증제어시스템(100)은 상기 인증요청이 필터링 조건을 만족하는지 여부를 더 판단할 수도 있다. 그리고 필터링 조건을 만족하는 인증요청에 대해서만 인증조건의 만족여부를 판단하고, 필터링 조건을 만족하지 않는 인증요청에 대해서는 인증조건의 만족여부와 무관하게 인증이 수행되도록 할 수도 있음은 전술한 바와 같다. 또한, 소정의 우선순위를 만족하는 인증요청에 대해서만 인증이 수행되도록 제어할 수 있음도 전술한 바와 같다.Meanwhile, the authentication control system 100 may further determine whether the authentication request satisfies the filtering condition. It is also possible to determine whether the authentication condition is satisfied only for the authentication request satisfying the filtering condition, and to perform the authentication regardless of whether the authentication condition is satisfied for the authentication request that does not satisfy the filtering condition. In addition, it is also possible to perform control so that authentication is performed only for authentication requests satisfying predetermined priorities.

도6는 본 발명의 다른 실시 예에 따른 비대칭 암호화 방식의 인증 제어방법의 개략적인 과정을 설명하기 위한 플로우차트이다.6 is a flowchart illustrating an outline process of an asymmetric encryption method authentication control method according to another embodiment of the present invention.

도6은 도5와는 달리 사용자가 능동적으로 특정 행위를 수행하는 것이 아니라, 상기 인증제어시스템(100) 또는 클라이언트 시스템(200)에 의해 특정 행위의 요청이 되는 경우를 도시하고 있다. FIG. 6 illustrates a case where a user does not actively perform a specific action but requests a specific action by the authentication control system 100 or the client system 200, unlike FIG.

도6을 참조하면, 사용자 즉, 요청장치(예컨대, 20-1)는 소정의 서비스 시스템(10)으로부터 인증(전자서명)을 요구받을 수 있다(S200). 그러면, 상기 요청장치(예컨대, 20-1)에는 인증서 클라이언트가 로딩될 수 있다. 상기 인증서 클라이언트는 사용자로부터 인증서 비밀번호를 입력받기 전 또는 후에 사용자에게 소정의 단말기(20)를 통해 특정 행위를 수행하라는 정보를 상기 요청장치(예컨대, 20-1)에 출력할 수 있다(S210). 그러면 사용자는 상기 특정 행위를 수행함으로써 상기 단말기(20)를 통해 이벤트 발생신호를 상기 인증제어시스템(100)으로 출력할 수 있다(S230). 이러한 경우에는 상기 인증서 클라이언트가 본 발명의 기술적 사상에 따라 상기 사용자에게 상기 특정 행위를 요청하는 기능을 수행할 수 있도록 구현될 수 있다. 상기 인증서 클라이언트는 상기 단말기(20)에서 상기 특정 행위가 수행되기 전에는 상기 인증요청을 상기 인증제어시스템(100) 또는 상기 인증기관 시스템(40)으로 출력하지 않도록 구현될 수도 있다. 이러한 경우, 상기 인증서 클라이언트는 상기 인증제어시스템(100)으로부터 이벤트 발생신호가 수신되었음을 나타내는 신호를 수신하고, 상기 신호가 수신되어야 개인키를 추출하거나 또는 이미 추출된 개인키를 포함하는 인증요청을 출력할 수도 있다. 물론, 상기 단말기(20)가 상기 요청장치(예컨대, 20-1)인 경우에는 이벤트가 발생하였음을 상기 인증서 클라이언트가 판단할 수 있다. 즉, 이러한 경우에는 상기 인증서 클라이언트가 전술한 바와 같은 클라이언트 시스템(200)의 기능 또는 역할을 수행할 수도 있다.Referring to FIG. 6, a user (e.g., 20-1) may be requested to authenticate (digital signature) from a predetermined service system 10 (S200). Then, the requesting device (e.g., 20-1) may be loaded with a certificate client. The certificate client may output information to the requesting device (e.g., 20-1) to perform a specific action through a predetermined terminal 20 (S210) before or after receiving the certificate password from the user. Then, the user can output an event generation signal to the authentication control system 100 through the terminal 20 by performing the specific action (S230). In this case, the certificate client can be implemented to perform the function of requesting the user for the specific action according to the technical idea of the present invention. The certificate client may be configured not to output the authentication request to the authentication control system 100 or the certification authority system 40 before the specific action is performed in the terminal 20. [ In this case, the certificate client receives a signal indicating that an event generation signal has been received from the authentication control system 100, extracts a private key when the signal is received, or outputs an authentication request including a previously extracted private key You may. Of course, when the terminal 20 is the requesting device (e.g., 20-1), the certificate client can determine that an event has occurred. That is, in this case, the certificate client may perform the function or role of the client system 200 as described above.

다른 실시 예에 의하면, 상기 인증서 클라이언트를 통해 인증요청이 상기 인증제어시스템(100)으로 출력되면(S220), 상기 인증제어시스템(100)은 상기 인증요청에 상응하는 사용자를 특정하고 특정된 사용자의 상기 단말기(20)에 설치된 클라이언트 시스템(200)을 통해 특정 행위 즉, 이벤트를 요청할 수 있다(S220-1). 그러면 사용자는 요청에 응답하여 이벤트를 발생시키기 위한 상기 특정행위를 수행함으로써 이벤트 발생신호를 상기 인증제어시스템(100)으로 출력할 수 있다(S230). According to another embodiment of the present invention, when an authentication request is output to the authentication control system 100 through the certificate client (S220), the authentication control system 100 specifies a user corresponding to the authentication request, An event or an event may be requested through the client system 200 installed in the terminal 20 at step S220-1. Then, the user may output an event generation signal to the authentication control system 100 by performing the specific action for generating the event in response to the request (S230).

이처럼 사용자에게 특정 행위를 수행하도록 상기 인증제어시스템(100) 또는 상기 인증서 클라이언트가 요청하는 경우에는 요청에 응답하여 상기 이벤트가 발생하는지 여부가 인증조건의 만족여부일 수 있다. 따라서 이러한 경우에는 별도로 인증조건의 만족여부를 판단하지 않을 수도 있다. 물론, 구현 예에 따라서는 일정 시간 내에 상기 이벤트가 발생하는지를 판단함으로써 인증조건의 만족여부를 더 판단할 수도 있다. In the case where the authentication control system 100 or the certificate client requests the user to perform a specific action, whether or not the event occurs in response to the request may be the satisfaction of the authentication condition. Therefore, in such a case, it may not be judged whether the authentication condition is satisfied separately. Of course, depending on the implementation, it may be determined whether the event occurs within a certain time period to further determine whether the authentication condition is satisfied.

상기 인증제어시스템(100)은 상기 이벤트 발생신호가 수신되면 상기 요청장치(예컨대, 20-1)로부터 수신된 인증요청을 상기 인증기관 시스템(40)으로 전송할 수 있다(S240). The authentication control system 100 may transmit the authentication request received from the requesting device (e.g., 20-1) to the certification authority system 40 when the event generation signal is received (S240).

그러면 상기 인증기관 시스템(40)은 인증을 수행하고, 인증결과를 상기 인증제어시스템(100)을 통해 또는 직접 상기 요청장치(예컨대, 20-1)로 출력할 수 있다(S250). 그러면 요청장치(예컨대, 20-1)는 상기 서비스 시스템(10)과 통신을 수행하여 인증(전자서명)을 완료할 수 있다(S260). Then, the certification authority system 40 performs authentication and may output the authentication result to the requesting device (e.g., 20-1) through the authentication control system 100 or directly (S250). The requesting device (e.g., 20-1) may then communicate with the service system 10 to complete the authentication (digital signature) (S260).

물론, 도6의 경우에도 필터링 조건을 만족하는지 여부, 미리 설정된 우선순위를 만족하는지 여부 등이 상기 인증제어시스템(100)에 의해 더 판단될 수 있음은 물론이다. Of course, in the case of FIG. 6, it is needless to say that the authentication control system 100 can further determine whether or not the filtering condition is satisfied, whether or not the predetermined priority is satisfied.

결국, 본 발명의 기술적 사상에 따르면 소정의 특정 행위를 수행한 자는 정당한 명의자로 추정이 되고, 상기 명의자의 행위(예컨대, 근거리 무선통신을 수행하는 행위)에 의해 제한적으로 인증이 수행되는 효과가 있다. As a result, according to the technical idea of the present invention, a person who has performed a predetermined action is estimated to be a legitimate person, and the effect is that limited authentication is performed by the act of the person (for example, performing a short-range wireless communication) .

또한, 서비스 이용을 위한 의사표시가, 상기 인증기관 시스템(40) 또는 상기 인증제어시스템(100)에 의한 사용자 인증을 통해서가 아니라, 의사표시를 하는 자가 사용자 명의의 장치(예컨대, 인증정보를 이용한 인증이 특정 행위인 경우에는 상기 단말기(예컨대, 20), 근거리 무선통신이 특정 행위인 경우에는 상기 단말기(예컨대, 20) 또는 상기 근거리 무선통신장치(30))를 적어도 하나 소지하고 있음이 확인되어야 수행될 수 있으므로 인증기관 시스템(40) 또는 인증제어시스템(100)이 제공하는 사용자 인증(예컨대, 로그인 등)이 공격자에 의해 더 이상 제 기능을 발휘하지 못하는 경우에도 여전히 공격자에게 인증이 수행될 수 있는 것이 차단되는 효과가 있다. It is also possible that the intention to use the service is displayed not by the user authentication by the certification authority system 40 or the authentication control system 100 but by the device of the user's name It is necessary to confirm that the terminal has at least one of the terminal (for example, 20) and the terminal (for example, 20 or the short-range wireless communication apparatus 30) if the authentication is a specific action and the short- Authentication can still be performed to the attacker even if the user authentication (e.g., login, etc.) provided by the certification authority system 40 or the authentication control system 100 is no longer exercised by the attacker There is an effect that it is blocked.

더구나 사용자의 입장에서도 비교적 간단한 행위(예컨대, 근거리 무선통신 등)만으로 안전하게 인증요청에 대한 인증 또는 필터링 조건을 만족하는 인증요청에 대한 선택적인 인증이 수행될 수 있는 효과가 있다. In addition, the user can securely perform the authentication for the authentication request or the selective authentication for the authentication request satisfying the filtering condition with a relatively simple action (e.g., near-field wireless communication).

본 발명의 실시 예에 따른 인증 제어방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.The authentication control method according to the embodiment of the present invention can be implemented as a computer-readable code on a computer-readable recording medium. A computer-readable recording medium includes all kinds of recording apparatuses in which data that can be read by a computer system is stored. Examples of the computer-readable recording medium include a ROM, a RAM, a CD-ROM, a magnetic tape, a hard disk, a floppy disk, an optical data storage device, and the like in the form of a carrier wave (for example, . The computer readable recording medium may also be distributed over a networked computer system so that computer readable code can be stored and executed in a distributed manner. And functional programs, codes, and code segments for implementing the present invention can be easily inferred by programmers skilled in the art to which the present invention pertains.

본 발명은 도면에 도시된 일 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, is intended to cover various modifications and equivalent arrangements included within the spirit and scope of the appended claims. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

Claims (18)

인증제어시스템이, 인증요청 장치로부터 출력된 비대칭 암호화방식을 이용한 인증요청을 수신하는 단계; 및
상기 인증제어시스템이, 수신된 상기 인증요청을 소정의 인증조건의 만족여부에 따라 선택적으로 인증기관 시스템으로 전송함으로써 상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 단계를 포함하며,
상기 인증조건은,
상기 인증요청에 상응하는 사용자의 단말기로부터 상기 단말기에 소정의 이벤트가 발생한 경우에 출력되는 이벤트 발생신호가 수신되는지 여부인 것을 특징으로 하는 비대칭 암호화 방식의 인증 제어방법.
The authentication control system comprising: receiving an authentication request using an asymmetric encryption scheme output from the authentication requesting apparatus; And
Wherein the authentication control system includes performing authentication control such that authentication corresponding to the authentication request is selectively performed by selectively transmitting the received authentication request to the certification authority system according to whether the predetermined authentication condition is satisfied ,
The authentication condition includes:
And whether an event generation signal output when a predetermined event occurs in the terminal is received from a user terminal corresponding to the authentication request.
제1항에 있어서, 상기 비대칭 암호화 방식의 인증 제어방법은,
상기 인증제어시스템이 상기 인증요청을 수신하기 전에 상기 이벤트 발생신호를 상기 단말기로부터 수신하는 단계를 더 포함하며,
상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 단계는,
상기 인증제어시스템이 상기 이벤트 발생신호에 기초하여 설정되는 소정의 인증 가능기간 내에 상기 인증요청이 수신되어야 상기 인증조건을 만족했다고 판단하는 단계를 포함하는 비대칭 암호화 방식의 인증 제어방법.
The method as claimed in claim 1, wherein the asymmetric encryption method comprises:
Further comprising receiving the event generation signal from the terminal before the authentication control system receives the authentication request,
Wherein performing authentication control such that authentication corresponding to the authentication request is selectively performed comprises:
Wherein the authentication control system determines that the authentication condition is satisfied if the authentication request is received within a predetermined authentication period set based on the event generation signal.
제2항에 있어서, 상기 인증 가능기간은,
상기 이벤트 발생신호가 상기 인증제어시스템으로 수신된 시점 또는 상기 이벤트가 발생한 시점으로부터 미리 결정된 기간 내이거나,
상기 단말기로부터 입력된 소정의 기간정보에 상응하는 기간인 것을 특징으로 하는 비대칭 암호화 방식의 인증 제어방법.
3. The method according to claim 2,
Wherein the event generation signal is within a predetermined period from when the event generation signal is received by the authentication control system or when the event occurs,
Wherein the period is a period corresponding to predetermined period information input from the terminal.
제2항에 있어서, 상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 단계는,
상기 인증제어시스템이 상기 인증 가능기간에 복수의 인증요청이 수신되어도, 미리 결정된 우선순위에 해당하는 인증요청에 대해서만 인증제어를 수행하는 것을 특징으로 하는 비대칭 암호화 방식의 인증 제어방법.
3. The method of claim 2, wherein performing authentication control to selectively perform authentication corresponding to the authentication request comprises:
Wherein the authentication control system performs authentication control only for an authentication request corresponding to a predetermined priority even if a plurality of authentication requests are received in the authentication enabling period.
제1항에 있어서, 상기 비대칭 암호화 방식의 인증 제어방법은,
상기 인증제어시스템 또는 상기 인증요청을 위해 상기 인증 요청장치에 설치된 인증서 클라이언트가 상기 이벤트에 상응하는 특정 행위의 실행을 상기 단말기 또는 상기 인증 요청장치에 요청하는 단계; 및
상기 요청에 응답하여 상기 인증제어시스템은 상기 단말기로부터 상기 이벤트 발생신호를 수신하는 단계를 더 포함하는 비대칭 암호화 방식의 인증 제어방법.
The method as claimed in claim 1, wherein the asymmetric encryption method comprises:
Requesting either the authentication control system or the certificate client installed in the authentication requesting device for the authentication request to execute the specific action corresponding to the event to the terminal or the authentication requesting device; And
Wherein the authentication control system further comprises receiving the event generation signal from the terminal in response to the request.
제1항에 있어서, 상기 비대칭 암호화 방식의 인증 제어방법은,
상기 인증제어시스템이 수신된 상기 이벤트 발생신호에 기초하여 인증이 허용될 상기 사용자를 특정하는 단계를 더 포함하며,
상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 단계는,
상기 인증요청이 특정된 상기 사용자에 상응하여야, 상기 인증요청에 대한 인증제어를 수행하는 단계를 포함하는 비대칭 암호화 방식의 인증 제어방법.
The method as claimed in claim 1, wherein the asymmetric encryption method comprises:
Further comprising the step of the authentication control system specifying the user to be permitted to authenticate based on the received event occurrence signal,
Wherein performing authentication control such that authentication corresponding to the authentication request is selectively performed comprises:
And performing an authentication control on the authentication request, the authentication request corresponding to the user identified as the authentication request.
제6항에 있어서, 상기 인증제어시스템이 수신된 상기 이벤트 발생신호에 기초하여 인증이 허용될 상기 사용자를 특정하는 단계는,
상기 인증제어시스템이 상기 이벤트 발생신호를 전송한 상기 단말기의 명의자를 상기 사용자로 특정하는 단계; 또는
상기 인증제어시스템이 상기 이벤트의 발생을 위해 상기 단말기와 근거리 무선통신을 수행하는 근거리 무선통신장치의 명의자를 상기 사용자로 특정하는 단계를 포함하는 비대칭 암호화 방식의 인증 제어방법.
7. The method of claim 6, wherein the authenticating control system specifies the user to be authenticated based on the received event occurrence signal,
Identifying the name of the terminal to which the authentication control system has transmitted the event generation signal as the user; or
Wherein the authentication control system identifies, as the user, a name of a short-range wireless communication device that performs short-range wireless communication with the terminal for the generation of the event.
제1항에 있어서, 상기 비대칭 암호화 방식의 인증 제어방법은,
상기 인증제어시스템이 수신된 상기 인증요청이 미리 설정된 필터링 조건을 만족하는지를 판단하는 단계를 더 포함하며,
상기 인증제어시스템은 상기 필터링 조건을 만족하는 인증요청에 대해서만 인증조건을 만족하여야 상기 인증요청을 상기 인증기관 시스템으로 전송하는 상기 인증제어를 수행하고, 상기 필터링 조건을 만족하지 않는 인증요청에 대해서는 상기 인증조건의 만족여부와 무관하게 상기 인증요청을 상기 인증기관 시스템으로 전송하는 비대칭 암호화 방식의 인증 제어방법.
The method as claimed in claim 1, wherein the asymmetric encryption method comprises:
Wherein the authentication control system further comprises determining whether the authentication request received satisfies a predetermined filtering condition,
Wherein the authentication control system performs the authentication control for transmitting the authentication request to the certification authority system only if the authentication request satisfies the authentication condition only when the filtering condition is satisfied, Wherein the authentication request is transmitted to the certification authority system regardless of whether the authentication condition is satisfied or not.
제8항에 있어서, 상기 필터링 조건은,
상기 인증 요청장치의 속성, 상기 인증 요청장치와 연결된 서비스 시스템의 속성, 인증요청 시간, 또는 상기 인증요청에 상응하는 금액 중 적어도 하나에 의해 결정되는 것을 특징으로 하는 비대칭 암호화 방식의 인증 제어방법.
9. The method of claim 8,
An attribute of the authentication request device, an attribute of a service system connected to the authentication request device, an authentication request time, or an amount corresponding to the authentication request.
제1항에 있어서, 상기 이벤트는,
상기 단말기와 소정의 근거리 무선통신장치가 근거리 무선통신을 하는 이벤트; 또는
상기 단말기 또는 상기 단말기와 유무선 네트워크를 통해 연결된 소정의 인증시스템에 의해 상기 사용자가 인증되는 이벤트;
중 적어도 하나를 포함하는 것을 특징으로 하는 비대칭 암호화 방식의 인증 제어방법.
The method of claim 1,
An event in which the terminal and a predetermined short range wireless communication apparatus perform short range wireless communication; or
An event in which the user is authenticated by a predetermined authentication system connected to the terminal or the terminal through a wire / wireless network;
Wherein the at least one authentication method comprises at least one of an asynchronous encryption method and an asynchronous encryption method.
제1항에 있어서, 상기 단말기는,
상기 인증요청 장치와는 별개의 상기 사용자의 단말기인 것을 특징으로 하는 비대칭 암호화 방식의 인증 제어방법.
The terminal according to claim 1,
Wherein the authentication requesting device is a terminal of the user different from the authentication requesting device.
제1항 내지 제11항 중 어느 한 항에 기재된 방법을 수행하기 위한 프로그램을 기록한 컴퓨터 판독가능한 기록매체.
A computer-readable recording medium recording a program for performing the method according to any one of claims 1 to 11.
인증요청 장치로부터 출력된 인증요청을 수신하기 위한 요청 처리부;
상기 인증요청에 상응하는 사용자의 단말기로부터 상기 단말기에 소정의 이벤트가 발생한 경우에 출력되는 이벤트 발생신호를 수신하기 위한 이벤트 처리부;
상기 이벤트 발생신호가 수신되는지 여부에 따라 소정의 인증조건의 만족여부를 판단하는 판단부; 및
상기 인증조건의 만족여부에 따라 상기 인증요청을 선택적으로 인증기관 시스템으로 전송함으로써 상기 인증요청에 상응하는 인증이 선택적으로 수행되도록 인증제어를 수행하는 제어부를 포함하는 인증제어시스템.
A request processing unit for receiving an authentication request output from the authentication requesting apparatus;
An event processing unit for receiving an event generation signal output when a predetermined event occurs in the terminal from a user terminal corresponding to the authentication request;
A determination unit determining whether a predetermined authentication condition is satisfied according to whether the event generation signal is received; And
And a controller for performing authentication control so that authentication corresponding to the authentication request is selectively performed by selectively transmitting the authentication request to the certification authority system according to whether the authentication condition is satisfied.
제13항에 있어서, 상기 이벤트 처리부는,
상기 인증요청을 수신하기 전에 상기 이벤트 발생신호를 상기 단말기로부터 수신하며,
상기 판단부는,
상기 이벤트 발생신호에 기초하여 설정되는 소정의 인증 가능기간 내에 상기 인증요청이 수신되어야 상기 인증조건을 만족했다고 판단하는 인증제어시스템.
14. The apparatus of claim 13,
Receiving the event generation signal from the terminal before receiving the authentication request,
Wherein,
And determines that the authentication condition is satisfied if the authentication request is received within a predetermined authentication period set based on the event occurrence signal.
제14항에 있어서, 상기 제어부는,
상기 인증 가능기간에 수신된 복수의 인증요청 중 미리 결정된 우선순위에 해당하는 인증요청만 상기 인증기관 시스템으로 전송하는 것을 특징으로 하는 인증제어시스템.
15. The apparatus of claim 14,
Wherein only the authentication requests corresponding to the predetermined priority among the plurality of authentication requests received in the authentication enabling period are transmitted to the certification authority system.
제13항에 있어서, 상기 이벤트 처리부는,
상기 인증요청 장치에 설치된 인증서 클라이언트 또는 상기 단말기에 설치된 클라이언트 시스템을 통해 상기 이벤트에 상응하는 특정 행위의 실행을 요청하고, 상기 요청에 응답하여 상기 단말기로부터 상기 이벤트 발생신호를 수신하는 인증제어시스템.
14. The apparatus of claim 13,
Requesting execution of a specific action corresponding to the event through a certificate client installed in the authentication requesting apparatus or a client system installed in the terminal, and receiving the event generating signal from the terminal in response to the request.
제13항에 있어서, 상기 판단부는,
수신된 상기 이벤트 발생신호에 기초하여 인증이 허용될 상기 사용자를 특정하고,
상기 제어부는,
상기 인증요청이 특정된 상기 사용자에 상응하여야, 상기 인증요청에 대한 인증제어를 수행하는 인증제어시스템.
14. The apparatus of claim 13,
The user specifying the user to be permitted to be authenticated based on the received event generation signal,
Wherein,
And performs authentication control for the authentication request such that the authentication request should correspond to the user specified.
제13항에 있어서, 상기 판단부는,
수신된 상기 인증요청이 미리 설정된 필터링 조건을 만족하는지를 판단하고,
상기 제어부는,
상기 필터링 조건을 만족하는 인증요청에 대해서만 인증조건을 만족하여야 상기 인증요청을 상기 인증기관 시스템으로 전송하는 상기 인증제어를 수행하고, 상기 필터링 조건을 만족하지 않는 인증요청에 대해서는 상기 인증조건의 만족여부와 무관하게 상기 인증요청을 상기 인증기관 시스템으로 전송하는 인증제어시스템.14. The apparatus of claim 13,
Determining whether the received authentication request satisfies a predetermined filtering condition,
Wherein,
Wherein the authentication control unit performs the authentication control to transmit the authentication request to the certification authority system only if the authentication request satisfies the filtering condition and the authentication condition is satisfied with respect to the authentication request that does not satisfy the filtering condition, And transmits the authentication request to the certification authority system irrespective of the authentication request.
KR1020130142087A 2013-11-21 2013-11-21 Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof KR101410969B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130142087A KR101410969B1 (en) 2013-11-21 2013-11-21 Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130142087A KR101410969B1 (en) 2013-11-21 2013-11-21 Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof

Publications (1)

Publication Number Publication Date
KR101410969B1 true KR101410969B1 (en) 2014-06-25

Family

ID=51133869

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130142087A KR101410969B1 (en) 2013-11-21 2013-11-21 Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof

Country Status (1)

Country Link
KR (1) KR101410969B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010087564A (en) * 2000-03-07 2001-09-21 이명규 User authentification system and the method using personal mobile device
KR100711844B1 (en) 2004-12-30 2007-05-02 사단법인 금융결제원 Method for settlement with certification number via network and system thereof
KR20120044048A (en) * 2010-10-27 2012-05-07 오유록 Method and apparatus for application program authentication
KR20130124447A (en) * 2012-05-06 2013-11-14 주식회사 씽크풀 Intelligent login authentication system and method thereof

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010087564A (en) * 2000-03-07 2001-09-21 이명규 User authentification system and the method using personal mobile device
KR100711844B1 (en) 2004-12-30 2007-05-02 사단법인 금융결제원 Method for settlement with certification number via network and system thereof
KR20120044048A (en) * 2010-10-27 2012-05-07 오유록 Method and apparatus for application program authentication
KR20130124447A (en) * 2012-05-06 2013-11-14 주식회사 씽크풀 Intelligent login authentication system and method thereof

Similar Documents

Publication Publication Date Title
EP2359526B1 (en) System and methods for online authentication
AU2010215040B2 (en) System and methods for online authentication
EP1933252A1 (en) Dynamic OTP Token
JP2009140231A (en) Communication system and communication terminal apparatus
JP7135569B2 (en) Terminal registration system and terminal registration method
KR101498120B1 (en) Digital certificate system for cloud-computing environment and method thereof
KR20140011924A (en) Digital system for pair user authentication, authentication system, and providing method thereof
US20240129139A1 (en) User authentication using two independent security elements
Arnosti et al. Secure physical access with NFC-enabled smartphones
KR101410969B1 (en) Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof
AU2016228254A1 (en) System and methods for online authentication
Gruntz et al. MOONACS: a mobile on-/offline NFC-based physical access control system
KR20150059643A (en) Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof
KR20150077379A (en) Method for authentication using user apparatus, digital system, and authentication system thereof
KR20150059642A (en) Method for providing authentication control, authentication control system thereof
JP4578352B2 (en) Communication mediating apparatus, data providing apparatus, and data providing system
KR20150058829A (en) Method for providing authentication control for asymmetric cryptosystem, authentication control system thereof
KR101491515B1 (en) Method for authentication using user apparatus, digital system, and authentication system thereof
KR101572565B1 (en) Method for providing active service control, active service control system, and client system thereof
Reddy et al. A comparative analysis of various multifactor authentication mechanisms
KR20150089960A (en) Authentication method, digital system, and authentication system thereof
KR101584219B1 (en) Authentication method, digital system, and authentication system thereof
AU2015202677B2 (en) System and methods for online authentication
KR20140047058A (en) Digital certificate system for cloud-computing environment and providing method thereof
KR20160087519A (en) Authentication method for financial transaction, transaction apparatus, authentication apparatus, and financial transaction system

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170612

Year of fee payment: 4