KR101690989B1 - Method of electric signature using fido authentication module - Google Patents

Method of electric signature using fido authentication module Download PDF

Info

Publication number
KR101690989B1
KR101690989B1 KR1020160096871A KR20160096871A KR101690989B1 KR 101690989 B1 KR101690989 B1 KR 101690989B1 KR 1020160096871 A KR1020160096871 A KR 1020160096871A KR 20160096871 A KR20160096871 A KR 20160096871A KR 101690989 B1 KR101690989 B1 KR 101690989B1
Authority
KR
South Korea
Prior art keywords
fido
information
authentication module
npki
module
Prior art date
Application number
KR1020160096871A
Other languages
Korean (ko)
Inventor
김동수
박현웅
Original Assignee
한국스마트아이디 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국스마트아이디 주식회사 filed Critical 한국스마트아이디 주식회사
Priority to KR1020160096871A priority Critical patent/KR101690989B1/en
Application granted granted Critical
Publication of KR101690989B1 publication Critical patent/KR101690989B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

The present invention relates to a method for an electronic signature using a fast identity online (FIDO) authentication module, comprising the following steps of: (a) a banking application receiving FIDO information to verify the FIDO information in a server; (b) the banking application requesting information of the FIDO authentication module to a FIDO trusted application (TA), encoding the information of the FIDO authentication module to transfer the encoded information to a national public key infrastructure (NPKI) TA while being performed after the FIDO information is verified; and (c) the NPKI TA receiving the encoded information from the FIDO TA to decode the encoded information, downloading a whitelist from the server, and determining whether the information of the FIDO authentication module exists in the whitelist, so as to the NPKI TA performs electronic signature when the decoded information of the FIDO authentication module exists in the whitelist. Thereby, when an electronic request occurs, the electronic signature is completed by using the FIDO information and public authenticate module information only when an authenticator attestation ID (AAID) and the public authenticate module of the corresponding banking application is previously registered in the whitelist, so limit of performing the electronic signature by using only the FIDO information and the limit of data exposure generated by inputting a password of a public authenticate can be overcome.

Description

FIDO 인증모듈을 이용한 전자서명 방법{METHOD OF ELECTRIC SIGNATURE USING FIDO AUTHENTICATION MODULE}METHOD OF ELECTRONIC SIGNATURE USING FIDO AUTHENTICATION MODULE USING FIDO AUTHENTICATION MODULE

본 발명은 FIDO 인증모듈을 이용한 전자서명 방법에 관한 것이다.The present invention relates to an electronic signature method using an FIDO authentication module.

스마트폰 등의 사용자 단말에서 모바일 뱅킹 어플리케이션 등을 수행함에 있어서 전자서명을 수행하여 본인임을 인증하는데, 이때, 스마트폰과 같은 통상의 사용자 단말에서 사용되는 전자서명 수단의 한 예로서 공인인증서가 있다.In performing a mobile banking application or the like at a user terminal such as a smart phone, an electronic signature is performed to authenticate the user. At this time, an authorized certificate is used as an example of digital signature means used in a normal user terminal such as a smart phone.

이때, 공인인증서를 전자서명 수단으로 이용하는 예에서, 사용자가 해당 공인인증서에 대해 미리 설정한 비밀번호를 입력함에 따라 전자서명이 완료된다. 그러나, 이러한 공인인증서에 기설정된 비밀번호를 입력하는 방법은 비밀번호를 단순한 형태로 설정함에 따라 타인에게 노출될 위험 또는 비밀번호를 서버로 전송하는 동안에 발생할 수 있는 해킹 위험이 있어 여러 문제점을 야기한다.At this time, in the example of using the public certificate as the digital signature means, the digital signature is completed as the user inputs the password set in advance for the public certificate. However, the method of inputting the predetermined password in the public certificate may cause various problems because the password is set as a simple form, and there is a risk of being exposed to the other person or a risk of hacking that may occur while transmitting the password to the server.

이에 따라, OTP와 같이 전자서명을 위한 일회용 비밀번호를 생성하는 장치를 이용하여 기설정된 비밀번호를 입력함으로써 발생할 수 있는 한계를 극복할 수 있는 방법이 제공되고 있지만, 이는 분실의 위험을 수반하므로 한계가 있다.Accordingly, there is provided a method of overcoming a limitation that may occur by inputting a predetermined password by using a device for generating a one-time password for digital signature such as OTP, but this is a limitation because it involves the risk of loss .

한편, 생체정보 인식 또는 PIN 번호 입력을 통한 FIDO(Fast Identity Online)를 이용하여 본인인증을 수행함으로써 전자서명을 완료하는 방법이 제안되고 있으나, 단순히 생체정보 또는 PIN 번호만을 이용하여 전자서명을 완료하기에는 해킹 위험에 노출되는 한계가 있어, 공인인증서 비밀번호를 입력하는 방법과 함께 이용되고 있는 실정이다.On the other hand, a method of completing an electronic signature by performing biometric authentication using FIDO (Fast Identity Online) through biometric information recognition or PIN number input has been proposed. However, in order to complete an electronic signature using only biometric information or PIN number There is a limit to the risk of hacking, and it is used together with the method of inputting the official certificate password.

대한민국 등록특허공보 제1611872호Korean Patent Publication No. 1611872

본 발명이 이루고자 하는 기술적 과제는 FIDO를 통해 전자서명을 수행할 때, 신뢰성이 검증된 FIDO 모듈인 경우에만 전자서명을 수행함으로써, 전자서명의 신뢰성을 향상하고 공인인증서의 기설정된 비밀번호를 입력받는 과정을 배제하여 보안성 및 사용자의 사용편의를 향상하기 위한 것이다.SUMMARY OF THE INVENTION The present invention has been made in view of the above problems, and it is therefore an object of the present invention to provide a method and system for authenticating a digital signature by performing an electronic signature only when the digital signature is performed using the FIDO, So as to improve the security and usability of the user.

본 발명의 한 실시예에 따른 FIDO 인증모듈을 이용한 전자서명 방법은 뱅킹 앱, NPKI 모듈, FIDO 클라이언트 모듈, NPKI TA 및 FIDO TA를 포함하는 사용자 단말이 서버의 WhiteList를 통해 FIDO 인증모듈을 검증하여 전자서명을 수행하는 FIDO 인증모듈을 이용한 전자서명 방법에 있어서, (a) 뱅킹 앱이 FIDO 정보를 입력받아 서버에서 FIDO 정보를 검증하는 단계; (b) FIDO 정보가 검증된 이후 수행되되, 상기 뱅킹 앱이 FIDO TA에게 FIDO 인증모듈의 정보를 요청하여, FIDO TA가 구비하는 FIDO 인증모듈의 정보를 암호화하여 이를 NPKI TA로 전달하는 단계; 그리고 (c) NPKI TA가 FIDO TA로부터 암호화된 FIDO 인증모듈의 정보를 전달받아 복호화하고, 서버로부터 WhiteList를 다운로드하여 복호화된 FIDO 인증모듈의 정보가 WhiteList에 존재하는 지의 여부를 판단하여, 복호화된 FIDO 인증모듈의 정보가 WhiteList에 존재하는 경우 NPKI TA가 전자서명을 수행하는 단계;를 포함하는 것을 특징으로 한다.The digital signature method using the FIDO authentication module according to an embodiment of the present invention is a method in which a user terminal including a banking app, an NPKI module, an FIDO client module, an NPKI TA, and a FIDO TA verifies an FIDO authentication module through a white list of a server, A digital signature method using an FIDO authentication module for performing a signature, the method comprising the steps of: (a) receiving a FIDO information from a banking application and verifying FIDO information in a server; (b) after the FIDO information is verified, the banking app requests the FIDO TA information of the FIDO TA, encrypts the information of the FIDO authentication module of the FIDO TA, and transmits the information to the NPKI TA; (C) NPKI TA receives and decrypts the information of the FIDO authentication module encrypted from the FIDO TA, downloads the WhiteList from the server, determines whether information of the decrypted FIDO authentication module exists in the WhiteList, and decrypts the decrypted FIDO And if the information of the authentication module exists in the WhiteList, the NPKI TA performs digital signature.

이때, 상기 (b) 단계 이전에, (b-1) 뱅킹 앱이 구동될 때, FIDO 클라이언트 모듈 및 FIDO TA를 포함하는 FIDO 인증모듈의 정보를 암호화하여 서버의 WhiteList에 등록하는 단계;를 더 포함하는 것을 특징으로 한다.In this case, when the (b-1) banking application is activated before step (b), the information of the FIDO authentication module including the FIDO client module and the FIDO TA is encrypted and registered in the WhiteList of the server .

그리고 이때, 상기 (b-1) 단계가 수행된 직후에, (b-2) FIDO 인증모듈의 암호화된 FIDO 인증모듈의 정보를 복호화하는 권한을 NPKI TA에 부여하는 단계;를 수행하는 것을 특징으로 한다.And (b-2) granting, to the NPKI TA, an authority to decrypt the information of the encrypted FIDO authentication module of the FIDO authentication module immediately after the step (b-1) is performed, do.

상기 (b) 단계는 상기 뱅킹 앱과 상기 FIDO TA가 상호 인증된 관계가 검증된 이후에 수행되는 것을 특징으로 한다.Wherein the step (b) is performed after the banking application and the FIDO TA are verified to be mutually authenticated.

상기 (c) 단계에서 WhiteList에 존재여부를 판단하는 대상인 FIDO 인증모듈의 정보는 FIDO 인증모듈의 권한 증명 ID(AAID, authenticator attestation ID)인 것을 특징으로 한다.The information of the FIDO authentication module, which is the object of the presence of the WhiteList in the step (c), is an authenticator identification ID (AAID) of the FIDO authentication module.

이러한 특징에 따르면, 본 발명의 한 실시예에 따른 FIDO 인증모듈을 이용한 전자서명 방법은 사용자 단말에서 전자서명을 수행할 때 공인인증서 비밀번호를 입력하는 과정을 배제함으로써 공인인증서 비밀번호 입력 시 비밀번호가 노출되는 위험을 줄일 수 있다.According to this aspect, the digital signature method using the FIDO authentication module according to an embodiment of the present invention excludes the process of inputting the authorized certificate password when performing digital signature at the user terminal, The risk can be reduced.

그리고 이때, 권한이 있는 것으로 등록된 FIDO 인증모듈이 검증된 경우에만 전자서명을 수행함으로써, FIDO를 이용하여 간편하게 전자서명을 수행할 수 있고 FIDO 인증모듈을 구비하는 경우 그 보안성을 신뢰할 수 있어, 전자서명의 보안성이 향상되는 효과가 있다.At this time, only when the FIDO authentication module registered as the authorized one is verified, the digital signature can be easily performed by using the FIDO, and when the FIDO authentication module is provided, the security can be trusted, The security of the digital signature is improved.

도 1은 본 발명의 한 실시예에 따른 FIDO 인증모듈을 이용한 전자서명 방법을 수행하기 위한 구조를 개략적으로 나타낸 블록도이다.
도 2는 본 발명의 한 실시예에 따른 FIDO 인증모듈을 이용한 전자서명 방법의 흐름을 나타낸 순서도이다.1 is a block diagram schematically illustrating a structure for performing an electronic signature method using an FIDO authentication module according to an embodiment of the present invention.
2 is a flowchart illustrating a flow of an electronic signature method using an FIDO authentication module according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.

그러면 첨부한 도면을 참고로 하여 본 발명의 한 실시예에 따른 FIDO 인증모듈을 이용한 전자서명 방법에 대해 자세히 설명한다.Hereinafter, an electronic signature method using the FIDO authentication module according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

먼저, 도 1을 참고로 하여 본 발명의 한 실시예에 따른 FIDO 인증모듈을 이용한 전자서명 방법을 위한 구조를 설명하면, 본 발명의 한 실시예에 따른 FIDO 인증모듈을 이용한 전자서명 방법은 도 1에 도시한 것처럼 사용자 단말(10), 서버(20) 및 호스팅 서버(30)를 포함하는 구조에서 수행된다.1, a digital signature method using an FIDO authentication module according to an embodiment of the present invention will be described. Referring to FIG. 1, a digital signature method using an FIDO authentication module according to an embodiment of the present invention, The server 20, and the hosting server 30 as shown in FIG.

본 발명의 한 실시예에 따른 FIDO 인증모듈을 이용한 전자서명 방법을 수행하기 위한 각각의 구조를 좀더 자세히 설명하면, 사용자 단말(10)은 스마트폰, 태블릿 피씨 등의 모바일 단말일 수 있으며, 이동통신 또는 무선통신을 통해 외부의 서버(20) 및 호스팅 서버(30)에 연결되는 구조를 갖는다.Each of the structures for performing the digital signature method using the FIDO authentication module according to an embodiment of the present invention will be described in more detail. The user terminal 10 may be a mobile terminal such as a smart phone, a tablet PC, Or connected to an external server 20 and a hosting server 30 through wireless communication.

다른 한 예에서, 사용자 단말(10)은 컴퓨터 등의 장치일 수 있으나, 이하에서 설명하는 본 발명의 예에서는 사용자 단말(10)이 스마트폰인 것을 참고로 하여 설명하도록 한다.In another example, the user terminal 10 may be a device such as a computer, but in the following description of the present invention, it is assumed that the user terminal 10 is a smartphone.

이때, 스마트폰인 사용자 단말(10)은 뱅킹 앱(11), NPKI 모듈(12), FIDO 클라이언트 모듈(13), 그리고 Trust Zone(15)을 포함한다. At this time, the user terminal 10 as a smart phone includes a banking application 11, an NPKI module 12, an FIDO client module 13, and a Trust Zone 15.

뱅킹 앱(11)은 은행 서비스를 제공하는 프로그램으로서, 은행 서비스를 제공하는 사업자가 프로그램 제공서버에 업로드한 프로그램을 사용자 단말(10)이 프로그램 제공서버로부터 다운로드하여 사용자 단말(10)에 설치한 형태일 수 있다.The banking application 11 is a program for providing a bank service. The banking application 11 is a program for downloading a program uploaded to a program providing server by a provider providing bank service from the program providing server of the user terminal 10 and installed in the user terminal 10 Lt; / RTI >

또는, 뱅킹 앱(11)은 스마트폰인 사용자 단말(10)의 출고 당시 설치된 상태로 출고될 수 있으며, 뱅킹 앱(11)의 사용자 단말(10)에 설치되는 형태를 한정하지는 않는다.Alternatively, the banking application 11 may be installed at the time of shipment of the user terminal 10, which is a smartphone, and may not be installed in the user terminal 10 of the banking application 11.

이러한 뱅킹 앱(11)은 공인인증서 인터페이스(111)와 FIDO 인터페이스(112)를 포함하고, 도면에 도시하지는 않았으나 은행 서비스를 제공하기 위한 인터페이스들도 포함하여 형성될 수 있다.The banking application 11 includes an authorized certificate interface 111 and an FIDO interface 112. Although not shown in the figure, the banking application 11 may include interfaces for providing bank services.

이때, 뱅킹 앱(11)은 서버(20)의 뱅킹 서버(21)에 접속하여 은행 서비스를 제공하는데, 공인인증서 인터페이스(111)와 FIDO 인터페이스(112)를 이용하여 은행 서비스를 수행하는 데 필요한 전자서명 정보를 제공받을 수 있다.At this time, the banking application 11 accesses the banking server 21 of the server 20 to provide a bank service. The banking application 11 uses the public certificate interface 111 and the FIDO interface 112 to exchange electronic information Signature information can be provided.

공인인증서 인터페이스(111)는 사용자 단말(10)의 NPKI 모듈(12)에 접속하여 공인인증서 서비스를 이용할 수 있는 환경을 제공하는 인터페이스로서, 서버(20)의 뱅킹 서버(21)로부터 공인인증서를 다운로드하여 사용자 단말(10)에 저장하고, 공인인증서 요청이 발생할 때 해당 공인인증서를 요청하거나 사용하는 환경을 제공할 수 있다.The public certificate interface 111 is an interface for accessing the NPKI module 12 of the user terminal 10 and providing an environment in which the public certificate service can be used. The public certificate interface 111 downloads an authorized certificate from the banking server 21 of the server 20 And stores the certificate in the user terminal 10, and provides an environment for requesting or using the authorized certificate when the authorized certificate request occurs.

이때, 뱅킹 앱(11)의 공인인증서 인터페이스(111)는 뱅킹 서버(21)로부터 다운로드한 공인인증서를 트러스트 존(15)의 NPKI TA(151)에서 암호화하여 사용자 단말(10)의 일반 메모리에 저장한다.At this time, the public certificate interface 111 of the banking application 11 encrypts the public certificate downloaded from the banking server 21 in the NPKI TA 151 of the trust zone 15 and stores it in the general memory of the user terminal 10 do.

다른 한 예에서, 뱅킹 앱(11)은 PC에 저장되어 있는 공인인증서를 다운로드하여 이를 트러스트 존(15) 영역의 NPKI TA(151)에서 암호화하고 이를 사용자 단말(10)의 일반 메모리에 저장할 수도 있다.In another example, the banking application 11 may download the public certificate stored in the PC, encrypt it in the NPKI TA 151 in the area of the trust zone 15, and store it in the general memory of the user terminal 10 .

그리고, FIDO 인터페이스(112)는 전자서명을 위해 입력되는 FIDO 정보를 사용자 단말(10)로부터 입력받고, 입력받은 FIDO 정보서버(20)의 FIDO 서버(22)에서 검증하는 서비스를 제공함으로써 FIDO 인증모듈과 FIDO 서버(22)를 중개한다.The FIDO interface 112 receives the FIDO information input for digital signature from the user terminal 10 and provides a service for verification by the FIDO server 22 of the input FIDO information server 20, And the FIDO server 22 are intermediated.

이때, FIDO 인증모듈은 FIDO 클라이언트 모듈(13)과 FIDO TA(152)를 포함한다.At this time, the FIDO authentication module includes the FIDO client module 13 and the FIDO TA 152.

그리고, 본 발명의 한 실시예에서, 사용자 단말(10)이 뱅킹 앱(11)과 NPKI 모듈(12), 그리고 FIDO 클라이언트 모듈(13)을 각각의 구성으로 포함하지만, 다른 한 실시예에서, 사용자 단말(10)은 NPKI 모듈(12)과 FIDO 클라이언트 모듈(13)을 포함하는 뱅킹 앱(11)을 설치하고 있을 수 있고, 이를 한정하지는 않는다.And, in one embodiment of the present invention, the user terminal 10 includes the banking app 11, the NPKI module 12, and the FIDO client module 13 in their respective configurations, but in another embodiment, The terminal 10 may be provided with the banking app 11 including the NPKI module 12 and the FIDO client module 13 and is not limited thereto.

이처럼, 사용자 단말(10)이 뱅킹 앱(11), NPKI 모듈(12) 및 FIDO 클라이언트 모듈(13)을 포함하여 서버(20)로부터 은행 서비스 또는 전자서명을 수행할 수 있으나, 이하의 본 명세서서 상에서는 뱅킹 앱(11)에서 은행 서비스를 제공하는 것에 대한 자세한 설명은 생략하고, 뱅킹 앱(11)에서 FIDO 형태의 전자서명을 수행하는 구조에 대해서만 자세히 설명하도록 한다.As such, the user terminal 10 may perform banking services or electronic signatures from the server 20, including the banking app 11, the NPKI module 12 and the FIDO client module 13, A detailed description of providing the banking service in the banking application 11 will be omitted and only the structure for performing FIDO type digital signature in the banking application 11 will be described in detail.

FIDO 인터페이스(112)는 위에서 이미 설명한 것처럼, 사용자 단말(10)의 뱅킹 앱(11)을 이용하는 사용자로부터 전자서명을 수행하기 위한 FIDO 정보를 입력받는 구성으로서, FIDO 클라이언트 모듈(13)과 FIDO 서버(22)를 중개하는 구조를 갖는다. 한 예에서, FIDO 인터페이스(112)가 사용자 단말(10)을 통해 입력받는 FIDO 정보는 생체정보 또는 PIN 번호일 수 있다.The FIDO interface 112 receives the FIDO information for performing the digital signature from the user using the banking application 11 of the user terminal 10 as described above and transmits the FIDO information to the FIDO client module 13 and the FIDO server 22). In one example, the FIDO information received by the FIDO interface 112 through the user terminal 10 may be biometric information or a PIN number.

좀더 자세한 예에서, FIDO 인터페이스(112)는 사용자 단말(10)을 통해 PIN 번호를 입력받거나, 사용자 단말(10)에 형성된 카메라 또는 지문 센서를 통해 생체정보를 FIDO 정보로서 입력받을 수 있다.In a more detailed example, the FIDO interface 112 may receive the PIN number through the user terminal 10, or may input the biometric information as FIDO information through a camera or a fingerprint sensor formed in the user terminal 10.

이때, 뱅킹 앱(11)은 FIDO 인터페이스(112)가 입력받은 FIDO 정보를 FIDO 서버(22)에서 탐색하여 입력된 FIDO 정보의 유효성을 검증하는데, 예로써, FIDO 정보가 유효한 경우 뱅킹 앱(11)에서 은행 서비스를 진행하는 데 필요한 전자서명을 수행하도록 하고, 다른 한 예로써, FIDO 정보가 유효하지 않은 경우 뱅킹 앱(11)에서 전자서명을 수행하지 않도록 한다. At this time, the banking application 11 searches the FIDO server 22 for FIDO information received by the FIDO interface 112 and verifies the validity of the inputted FIDO information. For example, when the FIDO information is valid, The electronic signature required to proceed with the banking service is performed in the banking application 11, and as a further example, if the FIDO information is not valid, the banking application 11 does not perform the electronic signature.

그리고, 뱅킹 앱(11)은 FIDO 클라이언트 모듈(13)에 권한증명 ID(AAID; authenticator attestation ID)를 요청하고 이를 전달받아 서버(20)의 DB(23)에 전달하는데, 이때, FIDO 클라이언트 모듈(13)에 AAID를 요청하여 서버(20)에 전달하는 동작의 수행 시점은 뱅킹 앱(11)이 최초 구동되었을 때, FIDO 정보가 최초 입력되었을 때, 또는 FIDO 정보 검증완료 이후일 수 있고, 이를 한정하지는 않는다.The banking application 11 requests the FIDO client module 13 for an authentication ID (AAID) and forwards the request to the DB 23 of the server 20. At this time, the FIDO client module 13 to the server 20 and may be performed when the banking application 11 is initially activated or when the FIDO information is first inputted or after the FIDO information verification is completed, I do not.

NPKI(National Public Key Infrastructure) 모듈(12)은 뱅킹 앱(11)의 공인인증서 인터페이스(111)와 Trust Zone(15)의 NPKI TA(151) 사이를 중개한다.The National Public Key Infrastructure (NPKI) module 12 mediates between the authorized certificate interface 111 of the banking application 11 and the NPKI TA 151 of the Trust Zone 15.

좀더 자세한 예에서, NPKI 모듈(12)은 뱅킹 앱(11)이 서버(20)의 뱅킹 서버(21) 또는 PC로부터 공인인증서를 다운로드하고, 이를 NPKI TA(151)가 암호화하여 사용자 단말(10)의 메모리에 저장하고, 뱅킹 앱(11)에서 발생한 전자서명 요청을 전달받아 Trust Zone(15)의 NPKI TA(151)가 전자서명을 수행하도록 요청한다. The NPKI module 12 downloads the public certificate from the banking server 21 or PC of the server 20 and transmits the public certificate to the user terminal 10 by encrypting it by the NPKI TA 151. [ And requests the NPKI TA 151 of the Trust Zone 15 to perform the digital signature by receiving the digital signature request generated in the banking application 11. [

그리고, NPKI 모듈(12)은 공인인증서 TA(151)로부터 전자서명 결과를 전달받아 이를 뱅킹 앱(11)으로 전달할 수도 있다. The NPKI module 12 may receive the digital signature result from the authorized certificate TA 151 and forward it to the banking application 11.

그리고, FIDO 클라이언트 모듈(13)은 뱅킹 앱(11)의 FIDO 인터페이스(112)가 FIDO 정보를 입력받고 이를 FIDO 서버(22)에서 검증완료하여 전자서명을 수행하도록 제어한 경우 구동되며, FIDO 인터페이스(112)와 FIDO TA(152)를 중개한다.The FIDO client module 13 is activated when the FIDO interface 112 of the banking application 11 receives the FIDO information and controls the FIDO server 22 to perform the digital signature by completing the verification, 112 and the FIDO TA 152 are intermediated.

좀더 자세하게는, FIDO 클라이언트 모듈(13)은 뱅킹 앱(11)으로부터 AAID 요청을 전달받고, FIDO TA(152)에 AAID 요청신호를 전달하여, FIDO TA(152)로부터 전달받은 AAID를 뱅킹 앱(11)으로 전달한다.More specifically, the FIDO client module 13 receives an AAID request from the banking application 11 and transmits an AAID request signal to the FIDO TA 152 to transfer the AAID received from the FIDO TA 152 to the banking application 11 ).

이러한 FIDO 클라이언트 모듈(13)은 ASM(Authenticator Specific Module), 인증장치(Authenticator), 그리고 Authenticator TC(Trusted application Connector)를 포함하여 구성된다. The FIDO client module 13 includes an authenticator specific module (ASM), an authenticator, and an authenticator TC (Trusted application Connector).

트러스트 존(Trust Zone)(15)은 NPKI TA(trust application)(151)와 FIDO TA(152)를 포함하는데, NPKI TA(151)는 전자서명을 수행하는 부분으로서 NPKI 모듈(12)로부터 요청받은 전자서명 요청에 따라 전자서명을 수행한다.The trust zone 15 includes an NPKI TA (trust application) 151 and an FIDO TA 152. The NPKI TA 151 is a part that performs digital signature and is requested from the NPKI module 12 And performs digital signature according to the digital signature request.

이때, NPKI TA(151)가 NPKI 모듈(12)로부터 전자서명 요청을 전달받아 전자서명을 수행함에 있어서, 인증된 NPKI 모듈(12)로부터 전자서명 요청을 전달받은 경우에만 전자서명 요청을 수행하고, 그 결과를 NPKI 모듈(12)로 전달하는데, 한 예에서, NPKI TA(151)와 NPKI 모듈(12) 사이의 인증은 여러 형태로 수행될 수 있으며, 이를 한정하지는 않는다..At this time, when the NPKI TA 151 receives the digital signature request from the NPKI module 12 and performs the digital signature, the digital signature request is performed only when the NPKI TA 151 receives the digital signature request from the authenticated NPKI module 12, The result is communicated to the NPKI module 12. In one example, authentication between the NPKI TA 151 and the NPKI module 12 may be performed in various forms, but not limited thereto.

그리고 이때, 트러스트 존(15)은 스마트폰인 사용자 단말(10)에 형성된 스마트폰에 형성된 운영체제와는 별개로 스마트폰에 형성된 보안된 영역이다.At this time, the trust zone 15 is a secured area formed in the smart phone, separately from the operating system formed in the smart phone formed in the user terminal 10, which is a smart phone.

이러한 NPKI TA(151)는 FIDO TA(152)로부터 암호화된 AAID를 전달받아 복호화하고, AAID가 서버(20)에 기등록된 AAID인지를 판단하여, 기등록된 AAID인 경우 NPKI 모듈(12)으로부터 요청받은 전자서명을 수행한다.The NPKI TA 151 receives and decrypts the encrypted AAID from the FIDO TA 152 and determines whether or not the AAID is an AAID registered in the server 20 and outputs the decrypted AAID from the NPKI module 12 And performs the requested digital signature.

그리고, FIDO TA(152)는 AAID를 갖고 있고, FIDO 클라이언트 모듈(13)의AAID 요청에 따라 해당 AAID를 암호화하여 secure object 형태로 FIDO 클라이언트 모듈(13)에 전달하며 동시에 해당 AAID를 복호화할 수 있는 권한을 NPKI TA(151)에 전달한다.The FIDO TA 152 has an AAID, encrypts the corresponding AAID in accordance with the AAID request of the FIDO client module 13, and transmits the encrypted AAID to the FIDO client module 13 in the form of a secure object, And transfers the authority to the NPKI TA 151.

이때, FIDO TA(152)가 FIDO 클라이언트 모듈(13)에 AAID를 전달하는 것은 서버(20)의 DB(23)에 AAID 리스트인 WhiteList(231)에 저장하기 위한 것으로서, 이후에서 서버(20)의 구조를 참고로 하여 좀더 자세히 설명하도록 한다.At this time, the FIDO TA 152 transmits the AAID to the FIDO client module 13 in order to store it in the WhiteList 231, which is the AAID list, in the DB 23 of the server 20, The structure will be explained in more detail.

그리고 이때, FIDO TA(152)는 FIDO 클라이언트 모듈(13)과 상호 인증된 구조를 갖고, FIDO 클라이언트 모듈(13)로부터 AAID 요청을 전달받음에 있어서, FIDO 클라이언트 모듈(13)의 인증여부가 검증된 경우에만 요청된 AAID를 FIDO 클라이언트 모듈(13)로 전달한다. At this time, the FIDO TA 152 has a structure mutually authenticated with the FIDO client module 13. Upon receiving the AAID request from the FIDO client module 13, the FIDO client module 13 verifies whether or not the FIDO client module 13 has been authenticated The FIDO client module 13 transmits the requested AAID to the FIDO client module 13 only.

FIDO TA(152)와 FIDO 클라이언트 모듈(13) 간의 상호인증은 위에서 NPKI TA(151) 및 NPKI 모듈(12)을 참고로 하여 이미 설명한 것처럼 인증 형태를 한정하지는 않는다.Mutual authentication between the FIDO TA 152 and the FIDO client module 13 does not limit the authentication type as described above with reference to the NPKI TA 151 and the NPKI module 12 above.

이처럼, 트러스트 존(15)의 NPKI TA(151)에서 전자서명을 수행함에 있어서, FIDO TA(152)로부터 AAID를 전달받고 해당 AAID를 서버(20)에서 탐색하여, 탐색된 경우에만 해당 AAID를 갖는 FIDO 인증모듈의 신뢰성이 검증된 것으로 판단하여 전자서명을 수행하므로, 공인인증서의 비밀번호를 입력하는 단계를 수행하지 않더라도 신뢰성 있는 전자서명을 수행할 수 있는 효과가 있다.As described above, when the NPKI TA 151 of the trust zone 15 performs the digital signature, the AAID is received from the FIDO TA 152, the corresponding AAID is searched by the server 20, Since it is determined that the reliability of the FIDO authentication module is verified and the digital signature is performed, a reliable digital signature can be performed without performing the step of inputting the password of the authorized certificate.

계속해서, 사용자 단말(10)이 이동통신 또는 무선통신을 통해 연결되는 서버(20)를 설명하면, 서버(20)는 뱅킹 서버(21), FIDO 서버(22) 및 DB(23)를 포함한다.The server 20 includes a banking server 21, an FIDO server 22, and a DB 23 in order to explain the server 20 to which the user terminal 10 is connected through mobile communication or wireless communication .

뱅킹 서버(21)는 뱅킹 앱(11)에게 은행 서비스를 제공하고, 뱅킹 앱(11)의 요청에 따라 공인인증서를 발행하여 뱅킹 앱(11)에 제공하거나, PC에 존재하는 공인인증서를 뱅킹 앱(11)에 제공한다. 이때, 뱅킹 서버(21)에서 뱅킹 앱(11)에게 발행한 공인인증서는 사용자 단말(10)의 NPKI 모듈(12)에 의해 NPKI TA(151)에서 암호화되어 사용자 단말(10)의 메모리에 저장된다.The banking server 21 provides a banking service to the banking application 11 and issues a public certificate according to a request from the banking application 11 to provide the banking application 11 with the banking application 11, (11). At this time, the public certificate issued from the banking server 21 to the banking application 11 is encrypted in the NPKI TA 151 by the NPKI module 12 of the user terminal 10 and stored in the memory of the user terminal 10 .

FIDO 서버(22)는 뱅킹 앱(11)의 FIDO 인터페이스(112)를 통해 발생하는 FIDO 정보를 뱅킹 서버(21)로부터 전달받아 검증하여 검증결과를 뱅킹 서버(21)로 전달한다. 그리고 이때, FIDO 서버(22)는 FIDO 클라이언트 모듈(13)이 뱅킹 앱(11)을 통해 전달한 AAID를 DB(23)에 저장하는데, 예로써, DB(23) 내의 WhiteList(231)로서 AAID의 리스트를 구축한다.The FIDO server 22 receives the FIDO information generated through the FIDO interface 112 of the banking application 11 from the banking server 21 and verifies the FIDO information and transmits the verification result to the banking server 21. At this time, the FIDO server 22 stores the AAID transmitted from the FIDO client module 13 through the banking application 11 in the DB 23. For example, as the WhiteList 231 in the DB 23, .

DB(23)는 WhiteList(231)를 저장하는 저장소로서, 뱅킹 서버(21) 및 FIDO 서버(22)에서 저장 또는 보관하고자 하는 데이터도 저장할 수 있다.The DB 23 is a repository for storing the WhiteList 231 and can also store data to be stored or kept in the banking server 21 and the FIDO server 22. [

이때, WhiteList(231)는 AAID를 리스트로서 저장하고 있다가, AAID 검증요청에 따라, 저장하고 있던 AAID 리스트를 제공한다. 좀더 자세한 예로써, AAID 검증요청은 NPKI TA(151)에서 발생하여 NPKI 모듈(12), 뱅킹 앱(11) 및 뱅킹 서버(21)를 통해 전달되고, 이에 따라 뱅킹 서버(21)가 추출한 WhiteList(231)는 뱅킹 앱(11) 및 NPKI 모듈(12)을 통해 NPKI TA(151)에 전달되어 AAID 검증에 이용될 수 있다.At this time, the WhiteList 231 stores the AAID as a list, and provides the stored AAID list according to the AAID verification request. As a more detailed example, the AAID verification request is generated in the NPKI TA 151 and transmitted through the NPKI module 12, the banking app 11, and the banking server 21, 231 are transferred to the NPKI TA 151 through the banking app 11 and the NPKI module 12 and can be used for AAID verification.

이처럼, 전자서명을 수행할 수 있는 FIDO 인증모듈에 권한을 부여하는 AAID를 WhiteList(231)에 리스트로 구축하였다가 전자서명을 수행하는 NPKI TA(151)의 요청에 따라 이를 제공함으로써, 뱅킹 앱(11)에서 요청되는 전자서명의 수행 권한을 정의할 수 있어, 전자서명의 권한에 대한 신뢰성을 제공한다.As described above, by constructing a list in the WhiteList 231 for granting authorization to the FIDO authentication module capable of performing digital signature, and providing it in response to a request from the NPKI TA 151 performing the digital signature, 11) can define the execution authority of the digital signature requested by the user, thereby providing the reliability of the authority of the digital signature.

그리고, 호스팅 서버(30)는 위에서 이미 설명한 것처럼, 사용자 단말(10)과 이동통신 또는 무선통신을 통해 연결되고, TAM(Trusted Application Manager)을 포함하는 TSM(Trust Service Manager)를 포함하는 서버로서, 사용자 단말(10)의 트러스트 존(15)에 서비스를 제공한다.As described above, the hosting server 30 is a server including a TSM (Trust Service Manager) including a Trusted Application Manager (TAM), which is connected to the user terminal 10 through mobile communication or wireless communication, And provides a service to the trust zone 15 of the user terminal 10. [

이와 같이, 도 1을 참고로 하여 본 발명의 한 실시예에 따른 FIDO 인증모듈을 이용한 전자서명 방법을 수행하기 위한 구조를 설명한 것을 기반으로, 도 2를 참고로 하여 본 발명의 한 실시예에 따른 FIDO 인증모듈을 이용한 전자서명 방법을 설명하도록 한다.1, a structure for performing an electronic signature method using an FIDO authentication module according to an embodiment of the present invention will be described. Referring to FIG. 2, An electronic signature method using the FIDO authentication module will be described.

먼저, 도 2에 도시한 것처럼, 뱅킹 앱(11)에서 전자 서명 요청 발생 판단(Q100)단계를 수행하여, 전자 서명 요청이 발생한 경우 예 화살표 방향을 따라 AAID 요청신호를 FIDO TA(152)로 전달(S11)하고, 전자 서명 요청이 발생하지 않은 경우 아니오 화살표 방향을 따라 다른 단계를 수행하지는 않는다.First, as shown in FIG. 2, the banking application 11 performs an electronic signature request occurrence determination (Q100) step, and transmits an AAID request signal to the FIDO TA 152 (S11). If no digital signature request has occurred, no other step along the arrow direction is performed.

이때, 뱅킹 앱(11)에서 전자서명 요청이 발생했는지의 여부를 판단하는 단계는, 뱅킹 앱(11)의 FIDO 인터페이스(112)를 통해 FIDO 정보가 입력되고, 해당 FIDO 정보가 FIDO 서버(22)에서 유효한 것으로 검증된 이후에 수행된다. The FIDO information is input through the FIDO interface 112 of the banking application 11 and the corresponding FIDO information is input to the FIDO server 22, Lt; RTI ID = 0.0 > validated < / RTI >

그리고 이때, 뱅킹 앱(11)이 FIDO TA(152)로 AAID 요청신호를 전달(S11)하기 이전에, FIDO 인증모듈의 AAID가 서버(20)에 WhiteList(231)로 구축되는 동작이 수행되어야 한다.At this time, before the banking application 11 transfers the AAID request signal to the FIDO TA 152 (S11), the AAID of the FIDO authentication module should be constructed as the WhiteList 231 in the server 20 .

그러나, 위에서 이미 설명한 것처럼, FIDO TA(152)에 저장되어 있던 AAID를 WhiteList(231)로 저장하는 시점은 위의 단계(S11) 전에 수행됨은 자명하나, 여러 시점에서 수행될 수 있으며 이를 한정하지는 않는다.However, as described above, it is obvious that the time of storing the AAID stored in the FIDO TA 152 as the WhiteList 231 is performed before the step S11, but it is not limited thereto .

다음으로, FIDO TA(152)는 뱅킹 앱(11)으로부터 AAID 요청신호를 전달(S11)받음에 따라, AAID 요청을 발생한 뱅킹 앱의 인증여부를 판단하는 단계(Q200)를 수행한다.Next, the FIDO TA 152 receives the AAID request signal (S11) from the banking application 11, and performs a step Q200 of determining whether the banking application that generated the AAID request is authenticated.

좀더 자세하게는, FIDO TA(152)는 AAID를 암호화한 형태로 저장하고 있다가 요청에 따라 AAID를 서버(20)의 WhiteList(231)로 저장하거나 NPKI TA(151)로 전달하는데, FIDO TA(152)와 상호 인증된 경우에만 AAID를 전달하므로, 위의 단계(Q200)도 AAID를 요청한 해당 뱅킹 앱(11)이 상호 인증된 구성인지를 판단하는 것이다.More specifically, the FIDO TA 152 stores the AAID in an encrypted form and stores the AAID in the WhiteList 231 of the server 20 or transmits it to the NPKI TA 151 according to the request. The FIDO TA 152 ), The above step Q200 also determines whether the corresponding banking application 11 requesting the AAID is mutually authenticated.

이때, FIDO TA(152)에 AAID를 요청한 뱅킹 앱(11)은, 구체적으로 FIDO 클라이언트 모듈(12)을 의미하는 것으로, 뱅킹 앱(11)의 FIDO 인터페이스(112)가 FIDO 정보의 검증을 완료한 이후 전자서명 수행을 시작하도록 제어함에 따라, FIDO 클라이언트 모듈(12)이 전자서명 수행 이전에 FIDO 인증모듈의 AAID를 검증하기 위해서 FIDO TA(152)에 AAID를 요청한다.The banking application 11 that has requested the AAID to the FIDO TA 152 specifically means the FIDO client module 12. When the FIDO interface 112 of the banking application 11 completes the verification of the FIDO information After that, the FIDO client module 12 requests the FIDO TA 152 for the AAID to verify the AAID of the FIDO authentication module before performing the digital signature.

즉, 도 2의 흐름도에서, 전자서명을 위한 FIDO 인증모듈의 AAID 검증요청을 뱅킹 앱(11)에서 발생하여 FIDO TA(152)로 전달하는 것은 실질적으로는 FIDO 클라이언트 모듈(12)을 거쳐 수행되게 된다.In other words, in the flowchart of FIG. 2, the AAID verification request of the FIDO authentication module for digital signature is generated in the banking application 11 and transferred to the FIDO TA 152 to be actually executed through the FIDO client module 12 do.

그러나 이때, 도 2에서 본 발명의 한 실시예에 따른 FIDO 인증모듈을 이용한 전자서명 방법을 간결하게 도시하기 위해서 뱅킹 앱(11)에서 AAID 요청신호를 발생하는 것으로 설명하였으나, 위에서 이미 설명한 것처럼, 뱅킹 앱(11)은 FIDO 클라이언트 모듈(12)을 포함하는 형태일 수 있으므로 도 2를 참고로 하여 설명한 것처럼, 뱅킹 앱(11)이 FIDO TA(152)로 AAID를 요청한다는 기재도 그 의미가 상통하다 할 것이다.However, in order to simplify the digital signature method using the FIDO authentication module according to the embodiment of the present invention, the AAA request signal is generated in the banking application 11 in FIG. 2. However, as described above, The description that the banking app 11 requests the AAID from the FIDO TA 152 is also meaningful as described with reference to Figure 2 since the app 11 may be in the form of including the FIDO client module 12 something to do.

이에 따라, FIDO TA(152)는 AAID를 요청한 뱅킹 앱의 인증여부를 판단하는 단계(Q200)가 FIDO TA(152)와 AAID 요청신호를 발생한 FIDO 클라이언트 모듈(12)의 상호 인증을 판단하는 단계인 것으로 치환하여 설명하면, FIDO TA(152)는 AAID를 요청한 FIDO 클라이언트 모듈(12)이 FIDO TA(152)와 상호 인증된 경우, 예 화살표 방향을 따라 이미 저장하고 있는 AAID를 암호화(S1521)하는 단계를 수행한다.Accordingly, the FIDO TA 152 determines whether mutual authentication between the FIDO TA 152 and the FIDO client module 12 in which the AAID request signal is generated is determined (step Q200) , The FIDO TA 152 encrypts the already stored AAID along the direction of the arrow in the example (S1521) when the FIDO client module 12 requesting the AAID is mutually authenticated with the FIDO TA 152 .

그러나 이때, AAID를 요청한 FIDO 클라이언트 모듈(12)이 FIDO TA(152)와 상호 인증되지 않은 것으로 판단되는 경우, 아니오 화살표 방향을 따라 더 이상 단계를 진행하지 않고, 이에 따라 전자서명이 수행되지 않게 된다.However, if it is determined that the FIDO client module 12 requesting the AAID is not mutually authenticated with the FIDO TA 152, the digital signature is not performed according to the arrow direction .

그런 다음, FIDO TA(152)는 FIDO 클라이언트 모듈(12)에서 요청한 AAID, 즉, FIDO 인증모듈이 이미 갖고 있는 AAID를 암호화하여 secure object 형태로서 NPKI TA(151)에 전달한다(S1522).Then, the FIDO TA 152 encrypts the AAID already requested by the FIDO client module 12, that is, the AAID already possessed by the FIDO authentication module, and transfers it to the NPKI TA 151 as a secure object type (S1522).

이에 따라, NPKI TA(151)에서 암호화된 AAID를 전달받아, 이를 복호화한다(S1511).Accordingly, the AAID encrypted by the NPKI TA 151 is received and decrypted (S1511).

이 단계(S1511)에서, NPKI TA(151)가 암호화된 AAID를 복호화함에 있어서, NPKI TA(151)는 사전에 FIDO TA(152)로부터 AAID의 복호화 권한을 전달받는 단계를 수행해야 하며, 해당 단계는 FIDO TA(152)에 저장되어 있던 AAID를 WhiteList(2313)에 저장하는 시점에서 수행되며, 위에서 설명한 것처럼 AAID를 FIDO TA(152)에 요청하는 단계(S11) 이전에 수행된다.In this step S1511, when decrypting the AAID encrypted by the NPKI TA 151, the NPKI TA 151 must perform the step of receiving the decryption right of the AAID from the FIDO TA 152 in advance, Is performed at the time of storing the AAID stored in the FIDO TA 152 in the WhiteList 2313 and is performed before the step S11 of requesting the AAID to the FIDO TA 152 as described above.

그리고, NPKI TA(151)는 서버(20)의 WhiteList(231)에 접속하여 전자서명 권한이 있는 FIDO 인증모듈의 리스트인 AAID 리스트를 추출(S1512)하여, 위 단계(S1511)에서 복호화된 AAID를 서버(20)에서 추출한 AAID 리스트에서 탐색한다(S1513).The NPKI TA 151 accesses the WhiteList 231 of the server 20 to extract the AAID list which is a list of the FIDO authentication modules having the digital signature authority (S1512), and decrypts the AAID decrypted in the above step S1511 Searches in the AAID list extracted by the server 20 (S1513).

이때, 복호화된 AAID가 WhiteList(231)의 AAID 리스트에 존재하는 경우 해당 AAID를 갖는 FIDO 인증모듈이 전자서명 수행할 수 있는 신뢰성이 있는 것으로 판단하여 예 화살표 방향을 따라 NPKI TA(151)가 전자서명을 수행(S1514)하고, 이후 뱅킹 서버(21)가 NPKI TA(151)의 전자서명 수행 결과를 검증하는 단계를 수행할 수 있다. If the decrypted AAID exists in the AAID list of the WhiteList 231, it is determined that the FIDO authentication module having the corresponding AAID is reliable enough to perform the digital signature, and the NPKI TA 151 is decrypted by the digital signature (S1514), and then the banking server 21 may perform a step of verifying the digital signature execution result of the NPKI TA 151. [

그러나 이때, 복호화된 AAID 가 WhiteList(231)의 AAID 리스트에 존재하지 않는 경우 해당 AAID를 갖는 FIDO 인증모듈이 전자서명 수행 권한이 없는 것으로 간주하여 아니오 화살표 방향을 따라 전자서명을 수행하지 않는다.However, if the decrypted AAID does not exist in the AAID list of the WhiteList 231, the FIDO authentication module having the corresponding AAID does not have the authority to execute the digital signature and does not perform the digital signature along the direction of the arrow no.

도 2를 참고로 하여 설명한 것처럼, 본 발명의 한 실시예에 따른 FIDO 인증모듈을 이용한 전자서명 방법은 FIDO 인증모듈의 AAID를 서버에 WhiteList(231)로 구비해 두었다가, 전자서명 요청이 발생했을 때 전자서명을 요청한 FIDO 인증모듈의 AAID를 WhiteList(231)에서 탐색하여 존재하는 경우에만 전자서명을 수행함으로써 전자서명의 신뢰성을 향상할 수 있는 효과가 있다.As described with reference to FIG. 2, the digital signature method using the FIDO authentication module according to an embodiment of the present invention includes the AAID of the FIDO authentication module in the server as the WhiteList 231, The AAID of the FIDO authentication module requesting the digital signature is searched in the white list 231 and the digital signature is performed only when it exists, thereby improving the reliability of the digital signature.

본 발명의 한 실시예에서는 WhiteList(231)에 등록하여 FIDO 인증모듈을 검증하는 FIDO 인증모듈의 정보를 AAID인 것으로 예로 들어 설명하였으나, FIDO 인증모듈을 구분할 수 있는 다른 정보를 이용하여 WhiteList(231)를 생성하고 FIDO 인증모듈의 신뢰성을 검증하는 형태로도 구현될 수 있으며, 이를 한정하지는 않아야 할 것이다.In an embodiment of the present invention, the information of the FIDO authentication module, which is registered in the WhiteList 231 and used to verify the FIDO authentication module, is AAID. However, And verifying the reliability of the FIDO authentication module. However, the present invention is not limited thereto.

또한, 전자서명을 수행함에 있어서 공인인증서 비밀번호를 직접 입력하는 동안 발생하는 번거로움을 해소할 수 있고 비밀번호 입력시 정보노출 및 해킹위험에 노출되는 한계를 극복할 수 있는 효과가 있다.In addition, it is possible to eliminate the troubles that occur during the direct input of the authorized certificate password in performing the digital signature, and it is possible to overcome the limitation of exposing information and risk of hacking when entering the password.

그리고, 도 1 및 도 2를 참고로 하는 본 발명의 설명에서, 뱅킹 앱(11)에서 전자서명이 요청되는 것을 예로 들어 설명하였지만, 뱅킹 앱(11) 외에도 전자서명을 요청하는 다른 앱에서도 본 발명의 방법이 적용될 수 있으며 이를 한정하지는 않아야 할 것이다.In the description of the present invention with reference to FIG. 1 and FIG. 2, it has been described that an electronic signature is requested in the banking application 11, but in addition to the banking application 11, Methods of the present invention may be applied, but it should not be limited thereto.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.

10 : 사용자 단말 11 : 뱅킹 앱
12 : NPKI 모듈 13 : FIDO 클라이언트 모듈
21 : 뱅킹 서버 151: NPKI TA
231 : WhiteList 서버10: user terminal 11: banking app
12: NPKI module 13: FIDO client module
21: Banking server 151: NPKI TA
231: WhiteList server

Claims (5)

뱅킹 앱, NPKI 모듈, FIDO 클라이언트 모듈, 그리고 Trust Zone에 형성된 NPKI TA 및 FIDO TA를 포함하는 사용자 단말이 서버의 WhiteList를 통해 FIDO 인증모듈을 검증하여 전자서명을 수행하는 FIDO 인증모듈을 이용한 전자서명 방법에 있어서,
(a) 뱅킹 앱이 FIDO 정보를 입력받아 서버에서 FIDO 정보를 검증하는 단계;
(b) FIDO 정보가 검증된 이후 수행되되, 뱅킹 앱이 FIDO TA에게 FIDO 인증모듈의 정보를 요청하면, FIDO TA는 구비하고 있는 FIDO 인증모듈의 정보를 암호화한 것과 암호화된 FIDO 인증모듈의 정보를 복호화할 수 있는 권한을 NPKI TA로 전달하는 단계; 그리고
(c) NPKI TA가 FIDO TA로부터 암호화된 FIDO 인증모듈의 정보를 전달받아 복호화하고, 서버로부터 WhiteList를 다운로드하여 복호화된 FIDO 인증모듈의 정보가 WhiteList에 존재하는 지의 여부를 판단하여, 복호화된 FIDO 인증모듈의 정보가 WhiteList에 존재하는 경우 NPKI TA가 전자서명을 수행하는 단계;
를 포함하는 것을 특징으로 하는 FIDO 인증모듈을 이용한 전자서명 방법.An electronic signature method using a FIDO authentication module that verifies the FIDO authentication module through the white list of the server and performs the digital signature using the banking app, the NPKI module, the FIDO client module, and the NPKI TA and the FIDO TA formed in the Trust Zone In this case,
(a) the banking app receives the FIDO information and verifies the FIDO information at the server;
(b) After the FIDO information is verified, if the banking application requests the FIDO TA information of the FIDO authentication module, the FIDO TA encrypts the information of the FIDO authentication module and the information of the encrypted FIDO authentication module Transferring the authority to decrypt to the NPKI TA; And
(c) The NPKI TA receives and decrypts the information of the FIDO authentication module encrypted from the FIDO TA, downloads the WhiteList from the server, determines whether the information of the decrypted FIDO authentication module exists in the WhiteList, decrypts the decrypted FIDO authentication If the information of the module exists in the WhiteList, the NPKI TA performs digital signature;
Wherein the digital signature is generated using the FIDO authentication module. 제1항에 있어서,
상기 (b) 단계 이전에,
(b-1) 뱅킹 앱이 구동될 때, FIDO 클라이언트 모듈 및 FIDO TA를 포함하는 FIDO 인증모듈의 정보를 암호화하여 서버의 WhiteList에 등록하는 단계;를 더 포함하는 것을 특징으로 하는 FIDO 인증모듈을 이용한 전자서명 방법.The method according to claim 1,
Before the step (b)
(b-1) when the banking app is activated, encrypting the information of the FIDO authentication module including the FIDO client module and the FIDO TA and registering the information in the WhiteList of the server. Electronic signature method. 제2항에 있어서,
상기 (b-1) 단계가 수행된 직후에,
(b-2) FIDO 인증모듈의 암호화된 FIDO 인증모듈의 정보를 복호화하는 권한을 NPKI TA에 부여하는 단계;를 수행하는 것을 특징으로 하는 FIDO 인증모듈을 이용한 전자서명 방법.3. The method of claim 2,
Immediately after the step (b-1) is performed,
(b-2) assigning the authority to decrypt the information of the encrypted FIDO authentication module of the FIDO authentication module to the NPKI TA. 제1항에 있어서,
상기 (b) 단계는 상기 뱅킹 앱과 상기 FIDO TA가 상호 인증된 관계가 검증된 이후에 수행되는 것을 특징으로 하는 FIDO 인증모듈을 이용한 전자서명 방법.The method according to claim 1,
Wherein the step (b) is performed after the mutual authenticated relationship between the banking application and the FIDO TA is verified. 제1항에 있어서,
상기 (c) 단계에서 WhiteList에 존재여부를 판단하는 대상인 FIDO 인증모듈의 정보는 FIDO 인증모듈의 권한 증명 ID(AAID, authenticator attestation ID)인 것을 특징으로 하는 FIDO 인증모듈을 이용한 전자서명 방법.
The method according to claim 1,
Wherein the information of the FIDO authentication module, which is an object for determining existence in the WhiteList in step (c), is an authenticator identification ID (AAID) of the FIDO authentication module.
KR1020160096871A 2016-07-29 2016-07-29 Method of electric signature using fido authentication module KR101690989B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160096871A KR101690989B1 (en) 2016-07-29 2016-07-29 Method of electric signature using fido authentication module

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160096871A KR101690989B1 (en) 2016-07-29 2016-07-29 Method of electric signature using fido authentication module

Publications (1)

Publication Number Publication Date
KR101690989B1 true KR101690989B1 (en) 2017-01-02

Family

ID=57810329

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160096871A KR101690989B1 (en) 2016-07-29 2016-07-29 Method of electric signature using fido authentication module

Country Status (1)

Country Link
KR (1) KR101690989B1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101810946B1 (en) * 2017-01-25 2017-12-21 한국스마트아이디(주) Method of electronic signature using certificate based on trust zone
KR20180082703A (en) * 2017-01-10 2018-07-19 한국전자통신연구원 Key management method and apparatus for software authenticator
KR101897715B1 (en) 2016-12-15 2018-10-29 한국인터넷진흥원 System for non-password secure biometric digital signagure
CN108959878A (en) * 2017-05-24 2018-12-07 佳能株式会社 The method that is used in customer certification system and including information processing unit
AU2020273301B2 (en) * 2019-12-18 2021-11-18 Yubico Ab Pre-registration of authentication devices
KR20220146906A (en) 2021-04-26 2022-11-02 보임테크놀러지 주식회사 System for digital signing on digital documents of multimedia form and method thereof
EP4160987A1 (en) 2017-12-22 2023-04-05 Certinomis Method for generating an electronic signature using fido

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100929488B1 (en) * 2009-02-20 2009-12-03 주식회사 한국무역정보통신 System and method for authorizing of electronic signature based on server
KR101611872B1 (en) 2015-11-05 2016-04-12 에스지에이솔루션즈 주식회사 An authentication method using FIDO(Fast IDentity Online) and certificates
KR20160047722A (en) * 2014-10-23 2016-05-03 에스케이텔레콤 주식회사 Method and apparatus for message service

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100929488B1 (en) * 2009-02-20 2009-12-03 주식회사 한국무역정보통신 System and method for authorizing of electronic signature based on server
KR20160047722A (en) * 2014-10-23 2016-05-03 에스케이텔레콤 주식회사 Method and apparatus for message service
KR101611872B1 (en) 2015-11-05 2016-04-12 에스지에이솔루션즈 주식회사 An authentication method using FIDO(Fast IDentity Online) and certificates

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
김수형 외 2명, 핀테크 시대: 새로운 인증 기술을 요구하다, 정보과학회지 33(5), pp.17-22 (2015.05.)* *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101897715B1 (en) 2016-12-15 2018-10-29 한국인터넷진흥원 System for non-password secure biometric digital signagure
KR20180082703A (en) * 2017-01-10 2018-07-19 한국전자통신연구원 Key management method and apparatus for software authenticator
KR102252731B1 (en) * 2017-01-10 2021-05-18 한국전자통신연구원 Key management method and apparatus for software authenticator
KR101810946B1 (en) * 2017-01-25 2017-12-21 한국스마트아이디(주) Method of electronic signature using certificate based on trust zone
CN108959878A (en) * 2017-05-24 2018-12-07 佳能株式会社 The method that is used in customer certification system and including information processing unit
CN108959878B (en) * 2017-05-24 2022-03-22 佳能株式会社 Method adopted in user authentication system and information processing apparatus included therein
EP4160987A1 (en) 2017-12-22 2023-04-05 Certinomis Method for generating an electronic signature using fido
AU2020273301B2 (en) * 2019-12-18 2021-11-18 Yubico Ab Pre-registration of authentication devices
US11698957B2 (en) 2019-12-18 2023-07-11 Yubico Ab Pre-registration of authentication devices
KR20220146906A (en) 2021-04-26 2022-11-02 보임테크놀러지 주식회사 System for digital signing on digital documents of multimedia form and method thereof

Similar Documents

Publication Publication Date Title
KR101690989B1 (en) Method of electric signature using fido authentication module
EP3602991B1 (en) Mechanism for achieving mutual identity verification via one-way application-device channels
US20170244676A1 (en) Method and system for authentication
US8112787B2 (en) System and method for securing a credential via user and server verification
US8739266B2 (en) Universal authentication token
JP5852265B2 (en) COMPUTER DEVICE, COMPUTER PROGRAM, AND ACCESS Permission Judgment Method
TWI465932B (en) Method of establishing a trust relationship between mobile devices, vehicle system, and cloud services and the mobile device and computer-readable media thereof
US11501294B2 (en) Method and device for providing and obtaining graphic code information, and terminal
US20130232336A1 (en) Method and system for user authentication for computing devices utilizing pki and other user credentials
KR101210260B1 (en) OTP certification device
JP2018038068A (en) Method for confirming identification information of user of communication terminal and related system
KR102012262B1 (en) Key management method and fido authenticator software authenticator
WO2019026038A1 (en) System and method for authenticating a transaction
KR101659847B1 (en) Method for two channel authentication using smart phone
CN110838919B (en) Communication method, storage method, operation method and device
WO2020257156A1 (en) Method and chip for authenticating to a device and corresponding authentication device and system
JP6378424B1 (en) User authentication method with enhanced integrity and security
US20220247555A1 (en) Method for securing an execution of a local application and corresponding first and second user device and system
KR102123405B1 (en) System and method for providing security membership and login hosting service
AU2021304822B2 (en) Method, user device, verifier device, server and system for authenticating user data while preserving user privacy
KR101810946B1 (en) Method of electronic signature using certificate based on trust zone
KR101576038B1 (en) Network authentication method for secure user identity verification

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20191015

Year of fee payment: 4