KR102130321B1 - 비설치형 인증 방법 및 장치 - Google Patents

비설치형 인증 방법 및 장치 Download PDF

Info

Publication number
KR102130321B1
KR102130321B1 KR1020190039256A KR20190039256A KR102130321B1 KR 102130321 B1 KR102130321 B1 KR 102130321B1 KR 1020190039256 A KR1020190039256 A KR 1020190039256A KR 20190039256 A KR20190039256 A KR 20190039256A KR 102130321 B1 KR102130321 B1 KR 102130321B1
Authority
KR
South Korea
Prior art keywords
authentication
mobile terminal
web
security module
certificate
Prior art date
Application number
KR1020190039256A
Other languages
English (en)
Inventor
권성준
김재수
Original Assignee
주식회사 인포바인
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 인포바인 filed Critical 주식회사 인포바인
Priority to KR1020190039256A priority Critical patent/KR102130321B1/ko
Application granted granted Critical
Publication of KR102130321B1 publication Critical patent/KR102130321B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Telephonic Communication Services (AREA)

Abstract

사용자 인증을 위한 인증 서비스 시스템이 개시된다. 비-설치형 클라이언트 장치는 웹 브라우저를 통해 공인 인증 보안 모듈 및 사용자 화면 웹 페이지를 실행한다. 웹 서버는 웹을 통해 비-설치형 클라이언트에게 사용자 화면 웹 페이지를 제공하고, 비-설치형 클라이언트로부터 하나 이상의 인증 서비스들 중 선택된 인증 서비스의 정보를 수신하고, 선택된 인증 서비스의 정보를 상기 인증 서버로 전송한다. 하나 이상의 인증 서비스들은 공인 인증서 모바일 단말 전자 서명, 공인 인증서 모바일 단말 저장 및 공인 인증서 전송을 포함한다.

Description

비설치형 인증 방법 및 장치{METHOD AND APPARATUS FOR AUTHENTICATION WITHOUT INSTALLATION}
아래의 실시예들은 인증 서비스 장치 및 이를 위한 방법에 관한 것으로, 사용자 컴퓨터로의 설치를 요구하지 않고 사용자에 대한 인증을 수행하는 장치 및 방법에 관한 것이다.
최근 IT 기술의 발전에 따라 전자 상거래가 활발히 이루어지고 있다. 전자 상거래에 있어서, 피싱 등 개인 정보 유출에 따른 피해가 잇따르고 있다. 따라서, 거래 주체인 사용자 본인에 대한 인증의 중요성이 대두되고 있다.
사용자에 대한 인증에 있어서 다양한 인증 방법들이 널리 사용되고 있으며, 사용자의 입장에서 사용자 친화적인 인증 방법들이 개발 및 사용되고 있다.
또한, 인증 방법 자체의 보안 문제 등을 해결하거나, 사용자의 입장에서 사용자 친화적인 인증 방법을 제공하기 위해, 금융감독원 등과 관리 기관에서 인증 방법에 있어서 특정된 기능의 제공 또는 특정된 방식의 배제와 같은 조건들을 법령 등을 통해 요구하는 경우가 발생하고 있다.
예를 들면, 액티브엑스(ActiveX) 또는 기타 프로그램의 인스톨(install)과 같은 특정된 방식이 금융감독원과 같은 감독 기관에 의해 금지될 수 있다.
이러한 상황 하에서, 사용자의 요구에 부합하고 법령 등에 의한 제한에서 벗어나지 않는 인증 방법이 제공될 필요가 있다.
사용자에 대한 인증에 관련하여 한국등록특허 제10-1348079호(명칭: 휴대단말을 이용한 전자서명 시스템) 등이 공개된 바 있다.
일 실시예는, 웹 서비스에 기반하여 사용자에 대한 인증을 처리하는 장치 및 방법을 제공할 수 있다.
일 측에 있어서, 웹 브라우저에서 비-설치형 인증 서비스를 실행하는 프로세서; 및 상기 비-설치형 인증 서비스의 통신을 처리하는 통신부를 포함하고, 상기 비-설치형 인증 서비스는 공인 인증 보안 모듈에 의해 실행되고, 웹 서버에 의해 제공되는 웹 스크립트를 사용하여 사용자 화면 웹 페이지를 표시하는, 비-설치형 클라이언트 장치가 제공된다.
상기 공인 인증 보안 모듈 및 상기 웹 스크립트는 웹을 통해 제공될 수 있다.
상기 공인 인증 보안 모듈 및 상기 웹 스크립트는 파일 설치를 요구하지 않는 비-설치형일 수 있다.
상기 사용자 화면 웹 페이지로 공인 인증서 모바일 단말 서명의 요청의 이벤트, 공인 인증서 전송의 요청의 이벤트 및 공인 인증서 모바일 단말 저장의 요청의 이벤트의 적어도 하나의 이벤트 중 사용자에 의해 선택된 이벤트가 입력될 수 있다.
상기 사용자 화면 웹 페이지로 인증 서비스 정보가 입력될 수 있다.
상기 인증 서비스 정보는 모바일 단말의 전화 번호 및 이동 통신사 정보를 포함할 수 있다.
상기 사용자 화면 웹 페이지는 상기 비-설치형 클라이언트 장치의 운영 체제의 종류 및 상기 웹 브라우저의 종류와 무관하게 일정한 화면을 보여주는 장치 독립적인 반응형 웹 페이지일 수 있다.
상기 웹 스크립트는 상기 공인 인증 보안 모듈의 호출을 통해 설정 값 및 이벤트를 수신하고, 상기 설정 값 및 이벤트를 커뮤니케이션 어플리케이션 프로그래밍 인터페이스(Application Programming Interface; API)를 통해 상기 사용자 화면 웹 페이지로 전송할 수 있다.
상기 설정 값은 제휴사 식별 정보, 보안 모듈 식별 정보 및 보안 식별 정보를 포함할 수 있다.
상기 이벤트는 공인 인증서 모바일 단말 서명의 요청의 이벤트, 공인 인증서 전송의 요청의 이벤트 및 공인 인증서 모바일 단말 저장의 요청의 이벤트를 포함할 수 있다.
상기 웹 스크립트는 커뮤니케이션 API를 통해 사용자 화면 웹 페이지로부터 모바일 단말의 모바일 단말 인증서 서비스 앱에서 생성된 전자 서명의 결과 값을 수신하고, 상기 전자 서명의 상기 결과 값을 상기 공인 인증 보안 모듈로 전송하여 사용자 인증을 할 수 있다.
상기 사용자 화면 웹 페이지는 모바일 단말의 모바일 단말 인증서 서비스 앱으로부터 공인 인증서 저장의 결과를 수신할 수 있고, 커뮤니케이션 API를 통해 상기 공인 인증서 저장의 결과를 상기 공인 인증 보안 모듈로 전송할 수 있다.
상기 모바일 단말은 사용자에 대한 인증과 관련된 하나 이상의 인증 서비스들을 제공할 수 있다.
상기 하나 이상의 인증 서비스들은 공인 인증서 모바일 단말 전자 서명, 공인 인증서 모바일 단말 저장 및 공인 인증서 전송을 포함할 수 있다.
상기 하나 이상의 인증 서비스들 중 하나가 상기 비-설치형 클라이언트 장치의 사용자에 의해 선택되면, 상기 사용자 화면 웹 페이지는 하이퍼텍스트 전송 프로토콜 보안 (Hypertext Transfer Protocol Secure; HTTPS) 통신을 통해 선택된 인증 서비스의 요청을 상기 웹 서버의 웹 응용 프로그램으로 전송할 수 있다.
상기 웹 스크립트는 상기 하나 이상의 인증 서비스들의 각각에 대해 공인 인증 보안 모듈로부터 웹 스크립트로 정보를 전달하기 위한 API를 제공할 수 있다.
채널의 정보, 공인 인증 보안 모듈의 정보 및 키보드 보안의 정보는 웹 스크립트 내에서 작성될 수 있다.
상기 API는 상기 채널의 정보, 상기 공인 인증 보안 모듈의 정보 및 상기 키보드 보안의 정보의 파라미터들을 포함하지 않을 수 있다.
상기 공인 인증 보안 모듈은 선택된 인증 서비스의 요청을 위해 상기 웹 스크립트의 함수를 호출하고, 상기 함수의 파라미터로서 설정된 콜 백 함수를 사용하여 전자 서명의 서명 값을 수신할 수 있다.
상기 공인 인증 보안 모듈은 선택된 인증 서비스의 요청을 위해 상기 웹 스크립트의 함수를 호출하고, 상기 함수의 파라미터로서 설정된 콜 백 함수를 사용하여 공인 인증서 모바일 단말 저장의 완료를 수신할 수 있다.
다른 일 측에 있어서, 비-설치형 클라이언트 장치와 연동하여 인증 서비스를 제공하는 모바일 단말에 있어서, 인증 서버로부터 발송된 SMS 메시지 또는 푸쉬 메시지를 확인한 후, 모바일 단말 인증 서비스 앱을 실행하는 프로세서; 및 상기 모바일 단말 인증서 서비스 앱의 통신을 처리하는 통신부를 포함하고, 상기 모바일 단말 인증서 서비스 앱은 전자 서명의 결과 값을 비-설치형 클라이언트 장치의 사용자 화면 웹 페이지로 전송하는, 모바일 단말이 제공된다.
상기 사용자 화면 웹 페이지에 비밀 키 생성을 위한 정보가 출력되고, 상기 모바일 단말 인증서 서비스 앱에 비밀 키 생성을 위한 정보가 출력되면, 상기 사용자 화면 웹 페이지에 출력된 비밀 키 생성을 위한 정보 및 상기 모바일 단말 인증서 서비스 앱에 출력된 비밀 키 생성을 위한 정보의 일치 여부가 사용자에 의해 확인될 수 있다.
상기 사용자 화면 웹 페이지에 비밀 키 생성을 위한 정보의 일부가 출력되면, 상기 사용자 화면 웹 페이지에 출력된 비밀 키 생성을 위한 정보의 일부가 사용자에 의해 상기 모바일 단말 인증서 서비스 앱에 입력될 수 있다.
또 다른 일 측에 있어서, 비-설치형 클라이언트에게 사용자 인증을 제공하는 인증 서비스 시스템에 있어서, 웹 서버; 및 인증 서버를 포함하고, 상기 웹 서버는 웹을 통해 상기 비-설치형 클라이언트에게 사용자 화면 웹 페이지를 제공하고, 상기 비-설치형 클라이언트로부터 하나 이상의 인증 서비스들 중 선택된 인증 서비스의 정보를 수신하고, 선택된 인증 서비스의 정보를 상기 인증 서버로 전송하고, 상기 인증 서버는 상기 선택된 인증 서비스의 정보를 모바일 단말로 전송하는, 인증 서비스 시스템이 제공된다.
상기 하나 이상의 인증 서비스들은 공인 인증서 모바일 단말 전자 서명, 공인 인증서 모바일 단말 저장 및 공인 인증서 전송을 포함할 수 있다.
상기 공인 인증서 모바일 단말 저장은 공인 인증서를 상기 모바일 단말의 유심(USIM)에 저장하는 것 또는 상기 공인 인증서를 상기 모바일 단말에 설치된 모바일 단말 인증서 서비스 앱 내의 메모리에 저장하는 것일 수 있다.
상기 공인 인증서 모바일 단말 전자 서명은 상기 USIM 또는 상기 모바일 단말 인증서 서비스 앱 내의 메모리에 저장된 상기 공인 인증서를 사용하여 상기 비-설치형 클라리언트의 공인 인증 보안 모듈로부터 전달 받은 전자 서명 원문에 대한 사용자의 전자 서명을 제공하는 것일 수 있다.
상기 공인 인증서 전송은 상기 모바일 단말에 저장된 공인 인증서의 전송을 통해 사용자를 인증하는 것일 수 있다.
상기 인증 서버에서는 상기 선택된 인증 서비스에 따라 자동으로 분기가 이루어질 수 있다.
상기 인증 서버는 상기 선택된 인증 서비스가 상기 공인 인증서 모바일 단말 전자 서명이면, 공인 인증서 모바일 단말 전자 서명 모드로 분기할 수 있다.
상기 인증 서버는 상기 선택된 인증 서비스가 상기 공인 인증서 모바일 단말 저장이면, 공인 인증서 모바일 단말 저장 모드로 분기할 수 있다.
상기 인증 서버는 상기 선택된 인증 서비스가 상기 공인 인증서 전송이면, 공인 인증서 전송 모드로 분기할 수 있다.
상기 선택된 인증 서비스의 요청은 상기 비-설치형 클라이언트 장치 및 설치형 클라이언트 장치 중 하나에 의해 전송될 수 있다.
상기 인증 서버에서는 상기 선택된 인증 서비스를 전송한 클라이언트 장치의 종류에 따라 자동으로 분기가 이루어질 수 있다.
상기 인증 서버는 비밀 키 생성을 위한 정보를 생성할 수 있다.
상기 비밀 키 생성을 위한 정보는 상기 비-설치형 클라이언트의 사용자 화면 웹 페이지에서 출력될 수 있다.
상기 비밀 키 생성을 위한 정보의 전체 또는 일부는 모바일 단말의 모바일 단말 인증서 서비스 앱에서 출력될 수 있다.
상기 인증 서버는 상기 비밀 키에 대한 검증 및 세션 키의 공유를 위해 상기 웹 서버의 웹 응용 프로그램 및 상기 모바일 단말 인증서 서비스 앱 간에서 전송되는 정보를 중계할 수 있다.
웹 서비스에 기반하여 사용자에 대한 인증을 처리하는 장치 및 방법이 제공된다.
도 1은 일 실시예에 따른 인증 서비스 시스템을 나타낸다.
도 2는 일 실시예에 따른 비-설치형 클라이언트 장치의 블록도이다.
도 3은 일 실시예에 따른 웹 서버의 블록도이다.
도 4는 일 실시예에 따른 인증 서버의 블록도이다.
도 5는 일 실시예에 따른 모바일 단말의 블록도이다.
도 6은 일 실시예에 따른 인증 서비스 시스템의 동작을 나타내는 신호 흐름도이다.
도 7은 일 실시예에 따른 키의 획득을 위한 인증 서비스 시스템의 키 획득의 동작을 나타내는 신호 흐름도이다.
도 8은 일 실시예에 따른 인증 서비스 시스템의 데이터 전송의 동작을 나타내는 신호 흐름도이다.
도 9는 일 실시예에 따른 인증 서비스 시스템의 공인 인증서 모바일 단말 전자 서명의 동작을 나타내는 신호 흐름도이다.
도 10은 일 실시예에 따른 인증 서비스 시스템의 공인 인증서 모바일 단말 저장의 동작을 나타내는 신호 흐름도이다.
도 11은 일 실시예에 따른 인증 서비스 시스템의 공인 인증서 전송의 동작을 나타내는 신호 흐름도이다.
도 12는 일 예에 따른 인증 서비스 시스템의 구성을 나타낸다.
도 13은 일 실시예에 따른 인증 서비스 시스템의 프로그램 구성을 나타낸다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
이하에서는, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 1은 일 실시예에 따른 인증 서비스 시스템을 나타낸다.
인증 서비스 시스템(100)은 비-설치형 클라이언트 장치(110), 웹 서버(120), 인증 서버(130), 모바일 단말(140) 및 설치형 클라이언트 장치(190) 중 적어도 하나를 포함할 수 있다.
비-설치형 클라이언트 장치(110), 웹 서버(120), 인증 서버(130), 모바일 단말(140) 및 설치형 클라이언트 장치(190)은 서로 연동하여 인증 서비스를 제공할 수 있다.
클라이언트 장치는 비-설치형 클라이언트 장치(110) 및 설치형 클라이언트 장치(190)를 포함할 수 있다.
비-설치형 클라이언트 장치(110)는 웹 브라우저가 설치된 클라이언트 장치일 수 있다. 예를 들면, 웹 브라우저는 에이치티엠엘(HTML) 5를 지원할 수 있으며, HTML 5를 통해 인증 서비스를 제공할 수 있다. 또는, 웹 브라우저는 레거시(legacy)인 이전의 HTML 버전을 지원하고, 이전의 HTML 버전을 통해 인증 서비스를 제공할 수 있다.
비-설치형 클라이언트 장치(110)는 인증 서비스를 제공하기 위해 동적 링크 라이브러리(Dynamic-link Library; DLL) 등의 설치를 요구하지 않는 클라이언트 장치일 수 있다. 말하자면, 비-설치형 클라이언트 장치(110)는 HTML 5 등을 지원하는 웹 브라우저를 통해서 인증 서비스를 제공하는 클라이언트 장치일 수 있다. 예를 들면, 비-설치형 클라이언트 장치(110)의 공인 인증 보안 모듈은 웹 서버(120)로부터 제공될 수 있다.
설치형 클라이언트(190) 장치는 인증 서비스를 제공하기 위해 DLL 등의 설치를 요구하는 클라이언트 장치일 수 있다. 예를 들면, 설치형 클라이언트(190)의 공인 인증 보안 모듈은 DLL의 형태로 설치형 클라이언트(190)에 설치될 수 있다.
사용자는 클라이언트 장치를 통해 소정의 서비스를 제공받을 수 있다. 예를 들면, 사용자는 클라이언트 장치를 통해 인터넷 서비스 및 웹 서비스 등을 제공받을 수 있다. 또한, 사용자는 모바일 단말(140)을 사용할 수 있다. 이하에서, 클라이언트 장치(110)의 사용자 및 모바일 단말(140)의 사용자는 동일인을 의미할 수 있다. 또한, 이하의 설명에서, 클라이언트 장치의 사용자 및 모바일 단말(140)의 사용자는 서로 대체되어 사용될 수 있다. 말하자면, 인증 서비스를 사용하기 위해 사용자는 자신의 클라이언트 장치 및 모바일 단말(140)을 사용할 수 있다.
클라이언트 장치는 개인용 컴퓨터(Personal Computer; PC), 노트북 컴퓨터, 휴대폰(mobile phone), 태블릿 PC, 네비게이션(navigation), 스마트폰(smart phone), 피디에이(Personal Digital Assistants; PDA) 디브이비(Digital Video Broadcasting; DVB), 스마트 텔레비전 및 셋탑(set-top)와 같은 통신 장치일 수 있다.
서비스의 제공에 있어서, 사용자에 대한 인증이 요구될 수 있다. 사용자는 사용자에 대한 인증을 위해 클라이언트 장치 및 모바일 단말(140)을 사용할 수 있다.
웹 서버(120)는 사용자 화면 웹 페이지를 비-설치형 클라이언트(110)에게 제공할 수 있고, 사용자 인증을 위한 웹 응용 프로그램을 실행할 수 있다. 웹 서버(120)는 비-설치형 클라이언트(110)로부터 선택된 인증 서비스의 정보를 수신할 수 있고, 선택된 인증 서비스의 정보를 인증 서버(130)로 전송할 수 있다.
인증 서버(130)는 선택된 인증 서비스의 정보를 모바일 단말(140)로 전송할 수 있다.
인증 서비스 시스템(100) 및 모바일 단말(140)은 사용자에 대한 인증과 관련된 하나 이상의 인증 서비스들을 제공할 수 있다. 하나 이상의 인증 서비스들은 1) 공인 인증서 모바일 단말 전자 서명, 2) 공인 인증서 모바일 단말 저장 및 3) 공인 인증서 전송을 포함할 수 있다.
공인 인증서 모바일 단말 저장은, 공인 인증서를 모바일 단말(140)의 USIM에 저장하는 것 또는 공인 인증서를 모바일 단말 인증서 서비스 앱 내의 메모리에 저장하는 것일 수 있다. 공인 인증서 모바일 단말 전자 서명은 USIM 또는 모바일 단말 인증서 서비스 앱 내의 메모리에 저장된 공인 인증서를 사용하여 공인 인증 보안 모듈로부터 전달 받은 전자 서명 원문에 대한 사용자의 전자 서명을 제공하는 것일 수 있다. 공인 인증서 모바일 단말 전자 서명 공인 인증서 전송은 모바일 단말(140)에 저장된 공인 인증서의 전송을 통해 사용자를 인증하는 것일 수 있다.
선택된 인증 서비스의 정보가 전송되면, 모바일 단말(140)의 모바일 단말 인증서 서비스 앱에서는 선택된 인증 서비스에 따라 자동으로 분기가 이루어질 수 있다.
예를 들면, 모바일 단말 인증서 서비스 앱은 선택된 인증 서비스가 공인 인증서 모바일 단말 전자 서명이면, 공인 인증서 모바일 단말 전자 서명 모드로 분기할 수 있다. 모바일 단말 인증서 서비스 앱은 선택된 인증 서비스가 공인 인증서 모바일 단말 저장이면, 공인 인증서 모바일 단말 저장 모드로 분기할 수 있다. 또한, 공인 인증서 모바일 단말 저장에서 공인 인증서가 USIM에 저장될 경우 모바일 단말 인증서 서비스 앱은 USIM 저장 모드로 분기할 수 있고, 공인 인증서 모바일 단말 저장에서 공인 인증서가 모바일 단말 인증서 서비스 앱 내의 메모리에 저장될 경우 모바일 단말 인증서 서비스 앱은 모바일 단말 인증서 서비스 앱 저장 모드로 분기할 수 있다. 모바일 단말 인증서 서비스 앱은 선택된 인증 서비스가 공인 인증서 전송이면 공인 인증서 전송 모드로 분기할 수 있다.
선택된 인증 서비스는 비-설치형 클라이언트 장치(110) 및 설치형 클라이언트 장치(120) 중 하나에 의해 전송될 수 있다. 모바일 단말(140)의 모바일 단말 인증서 서비스 앱에서는 선택된 인증 서비스를 전송한 클라이언트 장치의 종류에 따라 자동으로 분기가 이루어질 수 있다.
선택된 인증 서비스의 정보가 전송되고, 선택된 인증 서비스에 따른 분기가 이루어지면, 모바일 단말(140)의 모바일 단말 인증서 서비스 앱은 모바일 단말 인증서 서비스 앱에 의해 제공되는 하나 이상의 인증 서비스들 중 선택된 인증 서비스를 자동으로 제공할 수 있다.
인증 서비스의 제공에 있어서, 비-설치형 클라이언트 장치(110), 웹 서버(120), 인증 서버(130) 및 모바일 단말(140) 간의 상호 작용이 이루어질 수 있다.
인증 서비스를 위한 비-설치형 클라이언트 장치(110), 웹 서버(120), 인증 서버(130) 및 모바일 단말(140)의 기능 및 동작이 아래의 실시예들에서 보다 상세하게 설명된다.
도 2는 일 실시예에 따른 비-설치형 클라이언트 장치의 블록도이다.
비-설치형 클라이언트 장치(110)는 프로세서(210), 메모리(220) 및 통신부(230)를 포함할 수 있다.
프로세서(210)는 프로그램을 실행할 수 있다. 메모리(220)는 프로그램을 저장할 수 있다.
프로그램은 웹 브라우저를 포함할 수 있다.
프로세서(210)는 웹 브라우저에서 비-설치형 인증 서비스를 실행할 수 있다.
통신부(230)는 외부의 다른 장치로부터 데이터 또는 정보를 수신할 수 있고, 외부의 다른 장치로 데이터 또는 정보를 전송할 수 있다.
통신부(230)는 웹 브라우저의 통신을 처리할 수 있다.
통신부(230)는 비-설치형 인증 서비스의 통신을 처리할 수 있다.
웹 브라우저는 공인 인증 보안 모듈을 실행할 수 있다.
비-설치형 인증 서비스는 공인 인증 보안 모듈에 의해 실행될 수 있다.
이하에서, 웹 브라우저는 비-설치형 인증 서비스를 제공하기 위해 제공되는 것으로, 웹 브라우저에 의해 실행, 제공 및 처리되는 기능은 비-설치형 인증 서비스에 의해 실행, 제공 및 처리되는 것으로 간주될 수 있다.
웹 브라우저는 웹 서버(120)에 의해 제공되는 사용자 화면 웹 페이지를 로드할 수 있다. 웹 브라우저는 웹 서버(120)에 의해 제공되는 웹 스크립트를 사용하여 사용자 화면 웹 페이지를 표시할 수 있다.
공인 인증 보안 모듈 및 사용자 화면 웹 페이지는 사용자에 대한 인증과 관련된 하나 이상의 인증 서비스들을 제공할 수 있다. 하나 이상의 인증 서비스들은 1) 공인 인증서 모바일 단말 전자 서명, 2) 공인 인증서 모바일 단말 저장 및 3) 공인 인증서 전송을 포함할 수 있다.
사용자 화면 웹 페이지는 공인 인증서의 선택 및 공인 인증서의 패스워드의 입력을 위한 인터페이스를 비-설치형 클라이언트 장치(110)의 사용자에게 제공할 수 있고, 사용자로부터 공인 인증서의 선택 및 공인 인증서의 패스워드를 수신할 수 있다.
도 3은 일 실시예에 따른 웹 서버의 블록도이다.
웹 서버(120)는 프로세서(310), 메모리(320) 및 통신부(330)를 포함할 수 있다.
프로세서(310)는 프로그램을 실행할 수 있다. 메모리(320)는 프로그램을 저장할 수 있다.
프로그램은 웹 응용 프로그램을 포함할 수 있다.
통신부(230)는 외부의 다른 장치로부터 데이터 또는 정보를 수신할 수 있고, 외부의 다른 장치로 데이터 또는 정보를 전송할 수 있다.
통신부(230)는 웹 응용 프로그램의 통신을 처리할 수 있다.
웹 서버는 웹 서비스를 통해 사용자 화면 웹 페이지를 비-설치형 단말(110)에게 제공할 수 있다.
도 4는 일 실시예에 따른 인증 서버의 블록도이다.
인증 서버(130)는 프로세서(410), 메모리(420) 및 통신부(430)를 포함할 수 있다.
프로세서(410)는 프로그램을 실행할 수 있다. 메모리(420)는 프로그램을 저장할 수 있다.
통신부(430)는 외부의 다른 장치로부터 데이터 또는 정보를 수신할 수 있고, 외부의 다른 장치로 데이터 또는 정보를 전송할 수 있다.
인증 서버는 사용자에 대한 인증과 관련된 하나 이상의 인증 서비스들을 제공할 수 있다. 하나 이상의 인증 서비스들은 1) 공인 인증서 모바일 단말 전자 서명, 2) 공인 인증서 모바일 단말 저장 및 3) 공인 인증서 전송을 포함할 수 있다.
도 5는 일 실시예에 따른 모바일 단말의 블록도이다.
모바일 단말(140)은 프로세서(510), 메모리(520) 및 통신부(530)를 포함할 수 있다.
프로세서(510)는 모바일 프로그램을 실행할 수 있다. 메모리(520)는 모바일 프로그램을 저장할 수 있다. 메모리(520)는 모바일 단말(140)의 내장 메모리일 수 있다. 또는, 메모리(520)는 메모리 카드(card) 등과 같은 모바일 단말(140)에 장착된 메모리일 수 있다.
모바일 프로그램은 모바일 단말 인증서 서비스 앱을 포함할 수 있다.
프로세서(510)는 특정된 조건이 충족되면, 모바일 단말 인증서 서비스 앱 등의 모바일 프로그램을 실행할 수 있다.
예를 들면, 프로세서(510)는 인증 서버(130)로부터 에스엠에스(SMS) 메시지 또는 푸쉬(push) 메시지가 수신되면 모바일 단말 인증 서비스 앱을 실행할 수 있다. 프로세서(510)는 인증 서버(130)로부터 발송된 SMS 메시지 또는 푸쉬 메시지를 확인한 후, 모바일 단말 인증 서비스 앱을 실행할 수 있다.
통신부(530)는 외부의 다른 장치로부터 데이터 또는 정보를 수신할 수 있고, 외부의 다른 장치로 데이터 또는 정보를 전송할 수 있다.
통신부(530)는 모바일 단말 인증서 서비스 앱의 통신을 처리할 수 있다.
모바일 단말(140)에는 모바일 USIM(540)이 장착될 수 있다. 또는, 모바일 단말(140)은 모바일 USIM(540)을 포함할 수 있다.
모바일 단말 인증서 서비스 앱은 모바일 단말(140)의 사용자에 대한 인증과 관련된 하나 이상의 인증 서비스들을 제공할 수 있다. 하나 이상의 인증 서비스들은 1) 공인 인증서 모바일 단말 전자 서명, 2) 공인 인증서 모바일 단말 저장 및 3) 공인 인증서 전송을 포함할 수 있다.
모바일 USIM(540)은 USIM 보안 토큰을 제공할 수 있다. USIM 보안 토큰은 모바일 USIM(540) 내의 보안 모듈을 구비한 보안 토큰일 수 있다. 이하에서, USIM 보안 토큰은 보안 토큰으로 약술될 수 있다. 모바일 USIM(540)은 USIM으로 약술될 수 있다. 모바일 단말 인증서 서비스 앱은 USIM 보안 토큰에 공인 인증서를 저장할 수 있다.
모바일 단말(140) 또는 모바일 단말(140)의 운영 체제(Operating System)은 하나 이상의 인증 서비스들을 제공하는 모바일 단말 인증서 서비스 앱을 단일한 어플리케이션으로서 설치 및 관리할 수 있다.
모바일 단말 인증서 서비스 앱에 의해 다양한 인증 서비스들이 제공됨에 따라, 사용자는 자신이 항상 휴대하고 있는 모바일 단말(140)을 통해 자신에게 필요한 인증 서비스들을 제공받을 수 있으며, 인증 서비스 별로 어플리케이션을 설치 및 관리하는 불편함이 해소될 수 있다. 또한, 모바일 어플리케이션을 통해 다양한 인증 서비스들에 대하여 통일된 사용자 인터페이스(user interface) 및 사용자 경험(user experience)이 제공될 수 있다.
또한, 단일한 모바일 단말 인증서 서비스 앱에 의해 다양한 인증 서비스들이 제공됨에 따라, 어플리케이션의 설치에 따른 저장 공간의 문제 및 보안 문제들이 해결될 수 있다.
도 6은 일 실시예에 따른 인증 서비스 시스템의 동작을 나타내는 신호 흐름도이다.
단계(610)에서, 비-설치형 클라이언트 장치(110)의 웹 브라우저는 비-설치형 클라이언트 장치(110)에 의해 제공되는 공인 인증 보안 모듈의 화면을 출력할 수 있다. 공인 인증 보안 모델의 화면은 HTML로 구성될 수 있다.
공인 인증 보안 모듈의 화면은 사용자에 대한 적어도 하나의 인증 방식을 포함할 수 있다. 말하자면, 공인 인증 보안 모듈의 화면은 사용자에게 가용한 적어도 하나의 인증 방식의 목록을 출력할 수 있다.
사용자는 출력된 적어도 하나의 인증 방식 중 하나의 인증 방식을 선택할 수 있고, 선택된 인증 방식은 비-설치형 클라이언트 장치(110)에 입력될 수 있다.
사용자는 출력된 적어도 하나의 인증 방식 중 휴대폰 인증을 선택할 수 있다. 이하에서는 휴대폰 인증의 과정에 대해서 설명된다.
휴대폰 인증이 선택되면, 단계(615), 단계(620) 및 단계(625)에서, 공인 인증 보안 모듈에 포함된 웹 스크립트 파일의 웹 스크립트는 웹 서버(120)에 의해 제공되는 사용자 화면 웹 페이지를 웹 브라우저로 호출할 수 있다.
사용자 화면 웹 페이지는 비-설치형 클라이언트 장치(110)의 운영 체제(Operating System; OS)의 종류 및 웹 브라우저의 종류와 무관하게 일정한 화면을 보여주는 장치 독립적인, 반응형 웹 페이지일 수 있다. 여기에서, 반응형 웹 페이지는 장치의 종류 및 웹 브라우저의 종류에 따라 최적으로 조절되는 웹 페이지일 수 있다.
단계(615)에서, 웹 스크립트 파일의 웹 스크립트는 웹 서버(120)에게 사용자 화면 웹 페이지를 요청할 수 있다.
단계(620)에서, 웹 서버(120)는 사용자 화면 웹 페이지를 비-설치형 클라이언트 장치(110)로 전송할 수 있다.
단계(625)에서, 비-설치형 클라이언트 장치(110)의 웹 브라우저는 사용자 화면 웹 페이지를 로드할 수 있다.
사용자 화면 웹 페이지가 호출될 때, 매개 변수가 웹 스크립트 또는 공인 인증 보안 모듈로부터 사용자 화면 웹 페이지로 전달될 수 있다. 매개 변수는 HTML5 웹 어플리케이션 프로그래밍 인터페이스(Application Programming Interface; API) 중 커뮤니케이션(communication) API 통신을 통해 전달될 수 있다.
비-설치형 클라이언트 장치(110)의 웹 브라우저의 현재의 웹 페이지의 도메인 및 사용자 화면 웹 페이지의 도메인은 서로 다를 수 있다. 도메인들이 서로 다름에 따라 서로 다른 도메인들 간에 이벤트가 전달되지 않는 크로스-도메인(cross-domain) 문제가 발생할 수 있다. 이러한 문제는 전술된 HTML5 웹 API의 커뮤니케이션 API 통신을 통해 해결될 수 있다.
매개 변수는 모바일 단말(140)의 전화 번호, 제휴사 채널 정보 및 보안 모듈 코드를 포함할 수 있다.
제휴사 채널 정보는 제휴사의 식별자일 수 있다. 제휴사 채널 정보는 비-설치형 클라이언트 장치(110)의 웹 브라우저의 현재의 웹 페이지가 어떤 제휴사의 웹 페이지인가를 나타낼 수 있다.
제휴사는 비-설치형 클라이언트 장치(110)를 통해 제공되는 소정의 서비스를 제공하는 주체일 수 있다. 또는, 제휴사는 인증 서비스를 사용하는 주체일 수 있다. 예를 들면, 제휴사는 금융사, 공공 기관 및 증권사 등일 수 있다.
보안 모듈 코드는 공인 인증 보안 모듈의 식별자일 수 있다.
단계(630)에서, 사용자는 사용자 화면 웹 페이지에 출력된 하나 이상의 인증 서비스들 중 하나를 선택하고, 인증 서비스 정보를 입력할 수 있다. 선택된 인증 서비스 및 입력된 인증 서비스 정보는 사용자 화면 웹 페이지에 입력될 수 있다.
하나 이상의 인증 서비스들은 1) 공인 인증서 모바일 단말 전자 서명, 2) 공인 인증서 모바일 단말 저장 및 3) 공인 인증서 전송을 포함할 수 있다. 공인 인증서 모바일 단말 저장은, 공인 인증서를 모바일 단말(140)의 USIM에 저장하는 것 또는 공인 인증서를 모바일 단말 인증서 서비스 앱 내의 메모리에 저장하는 것일 수 있다.
이러한 선택에 의해, 사용자 화면 웹 페이지로 공인 인증서 모바일 단말 서명의 요청의 이벤트, 공인 인증서 전송의 요청의 이벤트 및 공인 인증서 모바일 단말 저장의 요청의 이벤트의 적어도 하나의 이벤트 중 사용자에 의해 선택된 이벤트가 입력될 수 있다.
공인 인증서 모바일 단말 서명의 요청의 이벤트가 입력된 경우, 공인 인증서 모바일 단말 전자 서명의 인증 서비스가 수행될 수 있다.
공인 인증서 전송의 요청의 이벤트가 입력된 경우, 공인 인증서 전송의 인증 서비스가 수행될 수 있다.
공인 인증서 모바일 단말 저장의 요청의 이벤트가 입력된 경우, 공인 인증서 모바일 단말 저장의 인증 서비스가 수행될 수 있다.
공인 인증서 모바일 단말 전자 서명이 선택된 경우에 대해서는 도 8 및 도 9를 참조하여 상세하게 설명된다. 공인 인증서 모바일 단말 저장이 선택된 경우에 대해서는 도 8 및 도 10을 참조하여 상세하게 설명된다.
인증 서비스 정보는 모바일 단말(140)의 전화 번호 및 이동 통신사 정보를 포함할 수 있다.
단계(635)에서, 사용자 화면 웹 페이지는 선택된 인증 서비스의 요청을 웹 서버(120)의 웹 응용 프로그램으로 전달할 수 있다.
인증 서비스의 요청은 인증 서비스 정보를 포함할 수 있다.
인증 서비스의 요청은 하나 이상의 인증 서비스들 중 사용자에 의해 선택되는 인증 서비스를 요청하는 것일 수 있다.
사용자 화면 웹 페이지는 하이퍼텍스트 전송 프로토콜 보안 (Hypertext Transfer Protocol Secure; HTTPS) 통신을 통해 선택된 인증 서비스의 요청을 웹 서버(120)의 웹 응용 프로그램으로 전송할 수 있다.
HTTPS 통신은 비동기적으로 이루어질 수 있다. HTTPS 통신을 통해 선택된 인증 서비스의 요청이 전송됨에 따라, 사용자 화면 웹 페이지는 웹 응용 프로그램과의 연결을 수행하고 있더라도 블록되지 않고 사용자 이벤트를 처리할 수 있다. 사용자 화면 웹 페이지 및 웹 응용 프로그램은 HTTPS 통신을 사용하여 통신할 수 있다. HTTPS에는 보안 소켓 레이어(Secure Socket Layer; SSL)가 적용될 수 있다.
단계(640)에서, 인증 서비스 정보를 포함하는 선택된 인증 서비스의 요청이 수신되면 웹 응용 프로그램은 사용자에 대한 개별적인 세션을 생성할 수 있다.
웹 응용 프로그램은 접속 요청을 인증 서버(130)로 전송하여 인증 서버(130)로 접속할 수 있다.
접속 요청은 인증 서비스 정보를 포함할 수 있다.
선택된 인증 서비스의 요청은 비-설치형 클라이언트 장치(110) 및 설치형 클라이언트 장치(120) 중 하나에 의해 전송될 수 있다. 단계(640)에서, 인증 서버(130)에서는 선택된 인증 서비스를 전송한 클라이언트 장치의 종류에 따라 자동으로 분기가 이루어질 수 있다.
단계(640)에서, 인증 서버(130)에서는 선택된 인증 서비스에 따라 자동으로 분기가 이루어질 수 있다. 예를 들면, 인증 서버(130)는 선택된 인증 서비스가 공인 인증서 모바일 단말 전자 서명이면, 공인 인증서 모바일 단말 전자 서명 모드로 분기할 수 있고, 이후 도 9의 단계들(910 및 920)가 수행될 수 있다. 예를 들면, 인증 서버(130)는 선택된 인증 서비스가 공인 인증서 모바일 단말 저장이면, 공인 인증서 모바일 단말 저장 모드로 분기할 수 있고, 이후 도 10의 단계들(1010, 1020 및 1030)가 수행될 수 있다. 또한, 공인 인증서 모바일 단말 저장에서 공인 인증서가 USIM에 저장될 경우 인증 서버(130)는 USIM 저장 모드로 분기할 수 있고, 공인 인증서 모바일 단말 저장에서 공인 인증서가 모바일 단말 인증서 서비스 앱 내의 메모리에 저장될 경우 인증 서버(130)는 모바일 단말 인증서 서비스 앱 저장 모드로 분기할 수 있다. 예를 들면, 인증 서버(130)는 선택된 인증 서비스가 공인 인증서 전송이면 공인 인증서 전송 모드로 분기할 수 있다.
전자 서명은 하나 이상의 전자 서명 방식들 중 선택된 전자 서명 방식으로 이루어질 수 있다. 하나 이상의 전자 서명 방식들은 앱 내 전자 서명 전달 방식, USIM 보안 토큰 전자 서명 전달 방식 및 트러스트 존 전자 서명 전달 방식을 포함할 수 있다.
인증 서버(130)에서는 선택된 전자 서명 방식에 따라 자동으로 분기가 이루어질 수 있다.
단계(645)에서, 인증 서버(130)는 인증 서비스 정보를 사용하여 접속 요청을 모바일 단말(140)의 모바일 단말 인증서 서비스 앱으로 전송할 수 있다. 또는, 접속 요청이 모바일 단말(140)로 전송됨에 따라, 모바일 단말 인증서 서비스 앱이 실행될 수 있고, 접속 요청이 모바일 단말 인증서 서비스 앱으로 전송될 수 있다.
접속 요청은 유알엘(URL) 문자 메시지 또는 푸시 알림 메시지일 수 있다. 접속 요청은 설치 안내 메시지 또는 실행 안내 메시지를 포함할 수 있다.
인증 서버(130)는 인증 서비스 정보를 사용하여 모바일 단말(140)의 모바일 단말 인증서 서비스 앱으로 전송될 접속 요청을 생성 및 전송할 수 있다. 여기에서, 인증 서비스 정보는 모바일 단말(140)의 전화 번호일 수 있다.
단계(650)에서, 접속 요청이 수신되면 모바일 단말 인증서 서비스 앱은 인증 서버(130)에 접속할 수 있다. 모바일 단말 인증서 서비스 앱은 모바일 단말(140)의 전화 번호를 인증 서버(130)에 전달할 수 있고, 전화 번호의 전달을 통해 모바일 단말(140) 및 비-설치형 클라이언트(110) 간의 연결이 이루어질 수 있다.
단계(650)의 이후 도 7을 참조하여 설명될 키 획득의 단계들이 실행될 수 있다.
도 7은 일 실시예에 따른 키의 획득을 위한 인증 서비스 시스템의 키 획득의 동작을 나타내는 신호 흐름도이다.
단계(710)는 단계(650)의 이후에 수행될 수 있다.
단계(710)에서, 인증 서버(130)는 비밀 키 생성을 위한 정보를 생성할 수 있다. 비밀 키는 공개 키를 암호화하기 위해 사용될 수 있다
단계(715)에서, 인증 서버(130)는 비밀 키 생성을 위한 정보를 모바일 단말(140)의 모바일 단말 인증서 서비스 앱 및 웹 서버(120)의 웹 응용 프로그램으로 전송할 수 있다.
단계(720)에서, 모바일 단말(140)의 모바일 단말 인증서 서비스 앱은 비밀 키 생성을 위한 정보의 전체 또는 일부를 출력할 수 있다.
단계(725)에서, 웹 응용 프로그램으로 비밀 키 생성을 위한 정보가 전송됨에 따라, 사용자 화면 웹 페이지에서 비밀 키 생성을 위한 정보가 출력될 수 있다. 또는, 사용자 화면 웹 페이지는 키 확인 화면을 출력할 수 있다. 키 확인 화면 내에서 비밀 키 생성을 위한 정보가 출력될 수 있다.
웹 응용 프로그램은 키 확인 요청을 사용자 화면 웹 페이지로 전송할 수 있다. 키 확인 요청은 키 생성 정보의 일부를 포함할 수 있다. 키 확인 요청이 수신됨에 따라 사용자 화면 웹 페이지는 키 확인 화면을 출력할 수 있다.
단계(730)에서, 사용자에 의해 비밀 키 생성을 위한 정보의 일치 여부가 확인될 수 있다.
사용자 화면 웹 페이지에 출력된 비밀 키 생성을 위한 정보 및 모바일 단말 인증서 서비스 앱에 출력된 비밀 키 생성을 위한 정보의 일치 여부가 사용자에 의해 확인될 수 있다.
예를 들면, 사용자 화면 웹 페이지에 출력된 비밀 키 생성을 위한 정보 및 모바일 단말 인증서 서비스 앱에 출력된 비밀 키 생성을 위한 정보가 일치한다는 확인이 사용자에 의해 모바일 단말 인증서 서비스 앱에 입력될 수 있다. 사용자 화면 웹 페이지는 출력된 키 확인 화면을 통해 사용자로부터 키 생성 정보의 일부에 대한 확인을 수신할 수 있다.
또는, 사용자 화면 웹 페이지에 출력된 비밀 키 생성을 위한 정보의 일부가 사용자에 의해 모바일 단말 인증서 서비스 앱에 입력될 수 있다.
이러한 확인 또는 비밀 키 생성을 위한 정보의 일부가 입력되면, 단계(740)의 진행을 위한 메시지가 모바일 단말 인증서 서비스 앱으로부터 웹 응용 프로그램으로 전송될 수 있다.
단계(740)에서, 확인 또는 비밀 키 생성을 위한 정보가 입력되면, 웹 응용 프로그램 및 모바일 단말 인증서 서비스 앱의 각각은 비밀 키 생성을 위한 정보를 이용하여 비밀 키를 생성할 수 있다. 웹 응용 프로그램 및 모바일 단말 인증서 서비스 앱의 각각에서 생성된 비밀 키들은 같을 수 있다.
단계(745)에서, 웹 응용 프로그램은 세션 키의 공유를 위해 키 쌍을 생성할 수 있다. 세션 키는 일회용의 키일 수 있다. 세션 키는 매번 다르게 생성되는 키일 수 있다. 말하자면, 세션 키의 사용이 요구될 때마다, 서로 다른 세션 키가 사용될 수 있다.
이하에서, 세션 키의 공유를 위해 웹 서버(120)의 웹 응용 프로그램 및 모바일 단말(140)의 모바일 단말 인증서 서비스 앱 간에서 정보가 전송될 수 있다. 인증 서버(130)는 비밀 키에 대한 검증 및 세션 키의 공유를 위해 웹 응용 프로그램 및 모바일 단말 인증서 서비스 앱 간에서 전송되는 정보를 중계할 수 있다.
키 쌍은 공개 키 및 개인 키를 포함할 수 있다.
단계(750)에서, 웹 응용 프로그램은 비밀 키를 사용하여 공개 키를 암호화함으로써 암호화된 공개 키를 생성할 수 있다.
단계(755)에서, 웹 응용 프로그램은 암호화된 공개 키를 인증 서버(130)를 통해 모바일 단말(140)의 모바일 단말 인증서 서비스 앱으로 전송할 수 있다.
단계(760)에서, 모바일 단말 인증서 서비스 앱은 비밀 키를 사용하여 암호화된 공개 키를 복호화함으로써 공개 키를 획득할 수 있다.
단계(765)에서, 모바일 단말 인증서 서비스 앱은 공개 키의 획득의 결과를 인증 서버(130)를 통해 웹 응용 프로그램으로 전송할 수 있다.
상기의 결과는, 1) 공개 키가 획득(또는, 생성)되었는지 여부, 2) 획득된 공개 키 및 3) 공개 키가 획득되었다는 확인 등을 포함할 수 있다.
단계(770)에서, 모바일 단말 인증서 서비스 앱은 세션 키를 생성할 수 있다.
단계(775)에서, 모바일 단말 인증서 서비스 앱은 공개 키를 사용하여 세션 키를 암호화함으로써 암호화된 세션 키를 생성할 수 있다.
단계(780)에서, 모바일 단말 인증서 서비스 앱은 암호화된 세션 키를 인증 서버(130)를 통해 웹 응응 프로그램으로 전송할 수 있다.
단계(785)에서, 웹 응용 프로그램은 개인 키를 사용하여 암호화된 세션 키를 복호화함으로써 세션 키를 획득할 수 있다.
단계(790)에서, 웹 응용 프로그램은 세션 키의 획득의 결과를 인증 서버(130)를 통해 모바일 단말 인증서 서비스 앱으로 전송할 수 있다.
상기의 결과는, 1) 세션 키가 획득(또는, 생성)되었는지 여부, 2) 획득된 세션 키 및 3) 세션 키가 획득되었다는 확인 등을 포함할 수 있다.
단계(790)의 이후 도 8을 참조하여 설명될 데이터 전송의 단계들이 실행될 수 있다.
도 8은 일 실시예에 따른 인증 서비스 시스템의 데이터 전송의 동작을 나타내는 신호 흐름도이다.
단계(810)에서, 모바일 단말 인증서 서비스 앱은 세션 키를 사용하여 데이터의 암호화를 수행함으로써 암호화된 데이터를 생성할 수 있다.
단계(820)에서, 모바일 단말 인증서 서비스 앱은 인증 서비스의 결과인 암호화된 데이터를 비-설치형 클라이언트(110)의 사용자 화면 웹 페이지로 전송할 수 있다.
단계(810) 및 단계(820)는 전술된 인증 서비스에 따라서 다른 동작을 수행할 수 있다. 도 9는 선택된 인증 서비스가 1) 공인 인증서 모바일 단말 전자 서명일 경우를 나타낸다. 도 10은 선택된 인증 서비스가 2) 공인 인증서 모바일 단말 저장일 경우를 나타낸다. 도 11은 선택된 인증 서비스가 3) 공인 인증서 전송인 경우를 나타낸다.
도 9는 일 실시예에 따른 인증 서비스 시스템의 공인 인증서 모바일 단말 전자 서명의 동작을 나타내는 신호 흐름도이다.
전자 서명은 하나 이상의 전자 서명 방식들 중 선택된 전자 서명 방식으로 이루어질 수 있다. 하나 이상의 전자 서명 방식들은 앱 내 전자 서명 전달 방식, USIM 보안 토큰 전자 서명 전달 방식 및 트러스트 존 전자 서명 전달 방식을 포함할 수 있다. 아래에서는, 도 9를 참조하여 USIM 보안 토큰 전자 서명 전달 방식이 설명된다.
전자 서명을 위해 공인 인증서의 비밀 번호 또는 사용자의 지문을 포함하는 생체 정보가 사용될 수 있다.
단계(630)에서 선택된 인증 서비스는 공인 인증서 모바일 단말 전자 서명일 수 있다. 선택된 전자 서명 방식은 USIM 보안 토큰 전자 서명 전달 방식일 수 있다.
우선, 모바일 단말(140)의 모바일 단말 인증서 서비스 앱은 보안 토큰 인증을 수행할 수 있다. 모바일 단말 인증서 서비스 앱은 보안 토큰 인증 완료 알림을 사용자 화면 웹 페이지로 전송할 수 있다. 모바일 단말 인증서 서비스 앱은 전자 서명의 결과 값 요청을 모바일 단말 인증서 서비스 앱으로 전송할 수 있다.
전자 서명의 결과 값 요청은 서명 데이터를 포함할 수 있다. 서명 데이터는 전자 서명의 대상일 수 있다.
단계(810)는 단계(910)를 포함할 수 있다.
다음으로, 단계(910)에서, 모바일 단말 인증서 서비스 앱은 사용자의 선택에 따라 USIM에 저장된 공인 인증서를 사용하여 전자 서명을 수행할 수 있다.
전자 서명의 수행에 있어서, 공인 인증 보안 모듈에 의해 요청된 전자 서명 원문은 웹 서버(120)의 웹 응용 프로그램 및 인증 서버(130)를 통해 모바일 단말(140)로 전달될 수 있고, 전달된 전자 서명 원문을 사용하여 모바일 단말(140) 내에서 전자 서명이 이루어질 수 있다.
전자 서명의 서명 값은 서명 데이터에 대해 전자 서명이 적용된 결과일 수 있다.
전자 서명의 서명 값, 전자 서명의 결과 값 및 공인 인증서는 세션 키로 암호화될 수 있다.
단계(820)는 단계(920)를 포함할 수 있다.
단계(920)에서, 모바일 단말 인증서 서비스 앱은 세션 키로 암호화된 전자 서명의 서명 값, 전자 서명의 결과 값 및 공인 인증서를 인증 서버(130) 및 웹 응용 프로그램을 통해 사용자 화면 웹 페이지로 전송할 수 있다. 사용자 화면 웹 페이지는 커뮤니케이션 API를 통해 전자 서명의 서명 값, 전자 서명의 결과 값 및 공인 인증서를 공인 인증 보안 모듈로 전송할 수 있다.
세션 키로 암호화된 전자 서명의 서명 값, 전자 서명의 결과 값 및 공인 인증서는 티씨피/아이피(TCP/IP) 프로토콜을 통해 모바일 단말 인증서 서비스 앱으로부터 사용자 화면 웹 페이지로 보안 소켓 레이어(Secure Sockets Layer; SSL) 암호화되어 말단-대-말단(End-to-End; E2E)로 전송될 수 있다.
전자 서명의 결과 값이 비-설치형 클라이언트 장치(110)로 전송되면, 이후 비-설치형 클라이언트 장치(110)는 사용자에 대한 인증을 수행하는 서버로 전자 서명의 결과 값을 전송할 수 있다. 서버는 전자 서명의 결과 값을 사용하여 비-설치형 클라이언트 장치(110)의 사용자에 대한 인증을 수행할 수 있고, 사용자에 대한 인증의 결과를 비-설치형 클라이언트 장치(110)로 전송할 수 있다. 비-설치형 클라이언트 장치(110)의 사용자에 대한 인증의 결과를 수신할 수 있고, 사용자에 대한 인증의 결과를 출력할 수 있다.
일 실시예에서, 선택된 전자 서명 방식이 앱 내 전자 서명 전달 방식인 경우, 모바일 단말 인증서 서비스 앱은 모바일 단말 인증서 서비스 앱 내의 메모리에 저장된 공인 인증서를 사용하여 전자 서명을 수행할 수 있다.
일 실시예에서, 선택된 전자 서명 방식이 트러스트 존 전자 서명 전달 방식인 경우, 모바일 단말 인증서 서비스 앱은 트러스트 존(trust zone) 내에 안전하게 저장된 개인 키를 사용하여 트러스트 존 내에서 전자 서명을 수행할 수 있다.
도 10은 일 실시예에 따른 인증 서비스 시스템의 공인 인증서 모바일 단말 저장의 동작을 나타내는 신호 흐름도이다.
단계(630)에서 선택된 인증 서비스는 공인 인증서 모바일 단말 저장일 수 있다.
단계(810)는 단계(1010) 및 단계(1020)를 포함할 수 있다.
단계(1010)의 이전에 비-설치형 클라이언트(110)에게 은행 등의 공인 인증서 발급 기관으로부터 공인 인증서 및 키 파일이 발급될 수 있다.
단계(1010)에서, 사용자 화면 웹 페이지는 사용자의 공인 인증서 및 키 파일을 웹 응용 프로그램 및 인증 서버(130)를 통해 모바일 단말 인증서 서비스 앱으로 전송할 수 있다.
단계(1020)에서, 모바일 단말 인증서 서비스 앱은 사용자가 선택한 USIM 또는 모바일 단말 인증서 서비스 앱 내의 메모리에 공인 인증서 및 키 파일을 저장할 수 있다.
단계(820)는 단계(1030)을 포함할 수 있다.
단계(1020)에서, 모바일 단말 인증서 서비스 앱은 공인 인증서 저장의 결과를 인증 서버(130) 및 웹 응용 프로그램을 통해 사용자 화면 웹 페이지로 전송할 수 있다.
단계(1030)에서, 사용자 화면 웹 페이지는 커뮤니케이션 API를 통해 공인 인증서 저장의 결과를 공인 인증 보안 모듈로 전송할 수 있다.
도 11은 일 실시예에 따른 인증 서비스 시스템의 공인 인증서 전달의 동작을 나타내는 신호 흐름도이다.
단계(630)에서 선택된 인증 서비스는 공인 인증서 전달일 수 있다.
사용자 화면 웹 페이지 및 모바일 단말 인증서 서비스 앱 간의 보안 채널이 형성될 수 있다. 양자 간의 보안 채널의 형성을 위해, 사용자 화면 웹 페이지 및 모바일 단말 인증서 서비스 앱 간의 난수 검증이 수행될 수 있다. 난수 검증에서 사용되는 난수는 16자리일 수 있다.
단계(810)는 단계(1110) 및 단계(1120)를 포함할 수 있다.
단계(1110)에서, 사용자 화면 웹 페이지는 공인 인증서 요청을 모바일 단말 인증서 서비스 앱으로 전송할 수 있다.
단계(1120)에서, 모바일 단말 인증서 서비스 앱은 모바일 단말(140)에 저장된 사용자의 공인 인증서에 대한 암호화를 수행하여 암호화된 공인 인증서를 생성할 수 있다.
단계(820)는 단계(1130)를 포함할 수 있다.
단계(1130)에서, 모바일 단말 인증서 서비스 앱은 공인 인증서를 사용자 화면 웹 페이지로 전달할 수 있다. 전달된 공인 인증서는 암호화된 공인 인증서일 수 있다.
공인 인증서가 전달되면, 공인 인증 보안 모듈에서 공인 인증서를 사용하는 전자 서명이 이루어질 수 있다.
도 12는 일 예에 따른 인증 서비스 시스템의 구성을 나타낸다.
인증 서비스 시스템(100)은 공인 인증 보안 모듈, 웹 스크립트 파일, 사용자 화면 웹 페이지, 웹 응용 프로그램 및 인증 서버에 의해 구성될 수 있다.
도 12에서, 인증 서버는 전술된 인증 서버(130)를 나타낼 수 있다. 모바일 단말은 전술된 모바일 단말(140)을 나타낼 수 있다.
공인 인증 보안 모듈은 공인 인증 기능을 제공할 수 있다. 공인 인증 보안 모듈은 인증 방식을 선택하기 위한 화면을 제공할 수 있으며, 기타 인증 서비스를 위한 화면을 제공할 수 있다.
웹 스크립트 파일은 인증 서비스의 제휴사에 의해서 제공될 수 있다.
공인 인증 보안 모듈 및 웹 스크립트는 파일 설치를 요구하지 않는 비-설치형일 수 있으며, 웹을 통해 제공될 수 있다.
웹 스크립트 파일의 웹 스크립트는 공인 인증 보안 모듈의 호출을 통해 설정 값 및 이벤트를 수신할 수 있다.
예를 들면, 이벤트는 인증 방식의 선택 및 인증 서비스의 선택 등일 수 있고, 설정 값은 선택된 인증 방식 및 선택된 인증 서비스 등일 수 있다.
웹 스크립트는 설정 값 및 이벤트를 커뮤니케이션 API를 통해 사용자 화면 웹 페이지로 전송할 수 있다.
여기에서, 설정 값은 제휴사 식별 정보, 보안 모듈 식별 정보 및 기타의 보안 식별 정보를 포함할 수 있다.
이벤트는 공인 인증서 모바일 단말 서명의 요청의 이벤트, 공인 인증서 전송의 요청의 이벤트 및 공인 인증서 모바일 단말 저장의 요청의 이벤트를 포함할 수 있다.
모바일 단말(140)에 설치된 모바일 단말 인증서 서비스 앱으로부터 전자 서명의 서명 값 및 전자 서명의 결과 값이 생성된 경우, 웹 스크립트는 커뮤니케이션 API를 통해 사용자 화면 웹 페이지로부터 전자 서명의 서명 값 및 전자 서명의 결과 값을 수신할 수 있고, 전자 서명의 서명 값 및 전자 서명의 결과 값을 공인 인증 보안 모듈로 전송할 수 있다.
웹 스크립트는 사용자 화면 웹 페이지를 브라우저 내에서 출력할 수 있다.
사용자 화면 웹 페이지는 인증 서비스 시스템의 이용을 위한 사용자 인터페이스를 제공할 수 있다.
예를 들면, 사용자 화면 웹 페이지는 사용자의 이동 통신사의 입력, 사용자의 전화 번호의 입력, 공인 인증서 모바일 단말 저장 시 공인 인증서의 선택, 공인 인증서 모바일 단말 저장 시 비밀 번호의 입력 및 네트워크 보안 정보(일련 번호)의 입력 등을 위한 사용자 인터페이스를 제공할 수 있다.
예를 들면, 사용자 화면 웹 페이지는 인증 서비스의 진행 상황의 표시, 각종 상태 메시지의 표시 및 인증 서비스의 완료의 표시 등과 같은 사용자 인터페이스를 제공할 수 있다.
사용자 화면 웹 페이지는 HTTPS 통신을 통해 공인 인증서 모바일 단말 전자 서명의 요청 및 공인 인증서 모바일 단말 저장의 요청을 웹 응용 프로그램으로 전송할 수 있다. 전송된 공인 인증서 모바일 단말 전자 서명의 요청 및 공인 인증서 모바일 단말 저장의 요청은 다시 모바일 단말 인증서 서비스 앱으로 전송될 수 있다.
사용자 화면 웹 페이지는 웹 스크립트로부터 전송된 설정 값 및 이벤트에 대한 처리를 할 수 있다.
모바일 단말(140)에 설치된 모바일 단말 인증서 서비스 앱으로부터 전자 서명의 서명 값 및 전자 서명의 결과 값이 생성된 경우, 사용자 화면 웹 페이지는 커뮤니케이션 API를 통해 전자 서명의 서명 값 및 전자 서명의 결과 값을 웹 스크립트로 전송할 수 있다.
사용자 화면 웹 페이지는 공인 인증서 모바일 단말 저장 시 저장의 대상인 공인 인증서를 사용자에 의해 인증된 공인 인증서의 비밀 번호를 사용하여 검증할 수 있다.
웹 응용 프로그램은 사용자 또는 클라이언트 장치 별로 세션을 생성할 수 있고, 검증 및 관리를 수행할 수 있다.
웹 응용 프로그램은 공인 인증서 모바일 단말 전자 서명의 요청 및 공인 인증서 모바일 단말 저장의 요청을 TCP 통신을 통해 인증 서버(130)로 전송할 수 있다.
웹 응용 프로그램은 사용자 화면 웹 페이지가 전달한 네트워크 보안 정보(일련 번호)를 TCP 통신을 통해 인증 서버(130)로 전송할 수 있다.
웹 응용 프로그램은 인증 서버(130)가 전송한 인증 서비스의 진행 상황을 HTTPS 통신을 통해 사용자 화면 웹 페이지로 전송할 수 있다.
도 13은 일 실시예에 따른 인증 서비스 시스템의 프로그램 구성을 나타낸다.
인증 서비스 시스템의 프로그램은 보안 모듈 부, 제휴사 배포 부 및 서버 부로 구성될 수 있다.
보안 모듈 부는 공인 인증 보안 묘듈의 제조사에 의해 배포 및 관리되는 모듈일 수 있다. 보안 모듈 부는 HTML 파일로 구성될 수 있다.
보안 모듈 부는 공인 인증 보안 모듈의 파일을 포함할 수 있다.
제휴사 배포 부는 인증 서비스의 제휴사에 의해 배포 및 관리되는 모듈일 수 있다. 제휴사 배포 부는 HTML 파일, 자바스크립트 파일, 케시케이딩 스타일 시트 (Cascading Style Sheets; CSS) 파일 및 이미지 파일로 구성될 수 있다.
제휴사 배포 부는 제휴사의 서버에서 제공될 수 있다. 제휴사의 서버는 전술된 웹 서버(120)일 수 있다.
재휴사 배포부는 1) 웹 스크립트 파일에 해당하는 제휴사.JS 파일, 2) 사용자 화면 웹 페이지에 해당하는 TransXPC.html 파일 및 이미지 파일과 3) 기타 파일 등을 포함할 수 있다.
서버 부는 인증 서버(130)의 제조사에 의해 배포 및 관리되는 모듈일 수 있다. 서버 부는 WebService.dll 파일 등을 포함할 수 있다.
아래의 표 1은 웹 스크립트가 제공하는 API를 예시한다. 웹 스크립트가 제공하는 API는 공인 인증 보안 모듈로부터 웹 스크립트로 정보를 전달하기 위한 API일 수 있다.
API 명칭 기능
Tranx2pcS 공인 인증서 모바일 단말 전자 서명의 실행을 위한 API
Tranx2phone 공인 인증서 모바일 단말 저장의 실행을 위한 API
웹 스크립트는 하나 이상의 인증 서비스들의 각각에 대해 공인 인증 보안 모듈로부터 웹 스크립트로 정보를 전달하기 위한 API를 제공할 수 있다.
아래의 표 2는 제휴사의 콜 백 함수를 예시한다. 제휴사의 콜 백 함수는 공인 인증 보안 모듈이 웹 스크립트로부터 전자 서명의 서명 값, 전자 서명의 결과 값 및 공인 인증서를 수신하는 함수일 수 있다.
말하자면, 공인 인증 보안 모듈은 선택된 인증 서비스의 요청을 위해 웹 스크립트의 함수를 호출할 수 있고, 함수의 파라미터로서 설정된 콜 백 함수를 사용하여 전자 서명의 서명 값 등을 수신할 수 있다.
API 명칭 기능
callbackFunc 전자 서명의 서명 값, 전자 서명의 결과 값 및/또는 공인 인증서가 비-설치형 클라이언트(110)로 전송된 후, 공인 인증 보안 모듈이 전자 서명의 서명 값, 전자 서명의 결과 값 및/또는 공인 인증서를 전달받게 하는 함수
callbackFunc의 실행이 이후에 공인 인증 보안 모듈에 의한 전자 서명의 서명 값에 대한 처리 과정이 진행될 수 있다.
아래의 표 3은 웹 응용 프로그램 연동 API를 예시한다. 웹 응용 프로그램 연동 API는 웹 스크립트가 웹 응용 프로그램으로 정보를 전달하기 위한 API일 수 있다.
API 명칭 기능
InitTranX2PC 공인 인증서를 비-설치형 클라이언트(110)로 전송하는 작업을 위한 진입점
InitTranX2Phone 공인 인증서를 모바일 장치(130)에 저장하는 작업을 위한 진입점
WaitPhone 모바일 장치(130)의 접속 상태를 확인
1초 단위로 반복하여 접속 상태를 확인
AllowSMS SMS 동의 화면에서 동의의 여부를 웹 서버(120)로 전송
SecureNum 사용자에 의해 입력된 일련 번호를 전송
일련 번호는 16 자리일 수 있음.
Close 세션의 종료
전술된 Transx2pcS의 신택스는 아래의 코드 1과 같을 수 있다.
[코드 1]
function Tranx2pcS(var callbackFunc, var hashData)
파라미터 callbackFunc는 웹 스크립트로부터 전자 서명의 서명 값 등을 전달받는 콜 백 함수일 수 있다. 파라미터로서 전달된 콜 백 함수로 전자 서명의 서명 값, 전자 서명의 결과 값 및 전자 서명된 공인 인증서 등이 전송될 수 있다.
파라미터 hashData는 공인 인증서로 전자 서명되어야 할 원문의 해시 데이터일 수 있다.
Tranx2pcS의 리턴 값은 존재하지 않을 수 있으며, Tranx2pcS의 호출의 결과는 콜 백 함수로 전달될 수 있다.
채널의 정보, 공인 인증 보안 모듈의 정보 및 키보드 보안의 정보는 웹 스크립트 내에서 자체적으로 작성 및 처리될 수 있다. 따라서, 이러한 자체적인 작성 및 처리에 의해, 공인 인증 보안 모듈이 호출하는 Tranx2pcS는 채널의 정보, 공인 인증 보안 모듈의 정보 및 키보드 보안의 정보 등의 파라미터들을 포함하지 않을 수 있다.
콜 백 함수 callbackFunc의 신택스는 아래의 코드 2와 같을 수 있다.
[코드 2]
function callbackFunc(var signedData, var cert, var result)
파라미터 singedData는 hashData에 대한 전자 서명의 서명 값일 수 있다.
파라미터 cert는 공인 인증서일 수 있다.
파라미터 result는 Transx2pcS의 처리 결과 또는 전자 서명의 결과 값일 수 있다.
전술된 Tranx2phone의 신택스는 아래의 코드 3과 같을 수 있다.
[코드 3]
function Tranx2phone(var callbackFunc, var cert, var key)
파라미터 callbackFunc는 공인 인증서 모바일 단말 저장의 완료를 전달받는 콜 백 함수일 수 있다.
파라미터 cert는 저장될 공인 인증서일 수 있다.
파라미터 key는 저장될 키 파일일 수 있다.
Tranx2phone의 리턴 값은 존재하지 않을 수 있으며, Tranx2pcS의 호출의 결과는 콜 백 함수로 전달될 수 있다.
채널의 정보, 공인 인증 보안 모듈의 정보 및 키보드 보안의 정보는 웹 스크립트 내에서 자체적으로 작성 및 처리될 수 있다. 따라서, 이러한 자체적인 작성 및 처리에 의해, 공인 인증 보안 모듈이 호출하는 Tranx2pcS는 채널의 정보, 공인 인증 보안 모듈의 정보 및 키보드 보안의 정보 등의 파라미터들을 포함하지 않을 수 있다.
파라미터 cert 및 파라미터 key는 공인 인증서의 발급 시에만 사용될 수 있으며, 공인 인증서가 발급되는 것이 아닌 경우에는 파라미터 cert 및 파라미터 key의 값들로서 널(null) 값들이 전달될 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
110: 비-설치형 클라이언트 장치
120: 웹 서버
130: 인증 서버
140: 모바일 단말
190: 설치형 클라이언트 장치

Claims (20)

  1. 삭제
  2. 웹 브라우저에서 비-설치형 인증 서비스를 실행하는 프로세서; 및
    상기 비-설치형 인증 서비스의 통신을 처리하는 통신부
    를 포함하고,
    상기 비-설치형 인증 서비스는 공인 인증 보안 모듈에 의해 실행되고, 웹 서버에 의해 제공되는 웹 스크립트를 사용하여 사용자 화면 웹 페이지를 표시하고,
    상기 공인 인증 보안 모듈은 인증 방식을 선택하기 위한 화면을 제공하고,
    상기 공인 인증 보안 모듈 및 상기 웹 스크립트는 웹을 통해 제공되고,
    상기 공인 인증 보안 모듈 및 상기 웹 스크립트는 파일 설치를 요구하지 않는 비-설치형이고,
    비-설치형 클라이언트 장치는 모바일 단말과 연동하여 상기 비-설치형 인증 서비스를 제공하고,
    상기 사용자 화면 웹 페이지에 비밀 키 생성을 위한 정보의 일부가 출력되면,
    상기 사용자 화면 웹 페이지에 출력된 상기 비밀 키 생성을 위한 정보의 일부가 상기 비-설치형 클라이언트 장치의 사용자에 의해 상기 모바일 단말에 입력되는, 비 설치형 클라이언트 장치.
  3. 웹 브라우저에서 비-설치형 인증 서비스를 실행하는 프로세서; 및
    상기 비-설치형 인증 서비스의 통신을 처리하는 통신부
    를 포함하고,
    상기 비-설치형 인증 서비스는 공인 인증 보안 모듈에 의해 실행되고, 웹 서버에 의해 제공되는 웹 스크립트를 사용하여 사용자 화면 웹 페이지를 표시하고,
    상기 공인 인증 보안 모듈은 인증 방식을 선택하기 위한 화면을 제공하고,
    상기 공인 인증 보안 모듈 및 상기 웹 스크립트는 웹을 통해 제공되고,
    상기 공인 인증 보안 모듈 및 상기 웹 스크립트는 파일 설치를 요구하지 않는 비-설치형이고,
    상기 사용자 화면 웹 페이지로 공인 인증서 모바일 단말 전자 서명의 요청의 이벤트, 공인 인증서 전송의 요청의 이벤트 및 공인 인증서 모바일 단말 저장의 요청의 이벤트의 적어도 2 개의 이벤트 중 사용자에 의해 선택된 이벤트가 입력되고,
    상기 사용자 화면 웹 페이지로 인증 서비스 정보가 입력되고,
    상기 인증 서비스 정보는 모바일 단말의 전화 번호 및 이동 통신사 정보를 포함하고,
    상기 공인 인증서 모바일 단말 저장은 공인 인증서를 상기 모바일 단말의 유심(USIM)에 저장하는 것 또는 상기 공인 인증서를 상기 모바일 단말에 설치된 모바일 단말 인증서 서비스 앱 내의 메모리에 저장하는 것이고,
    상기 공인 인증서 모바일 단말 전자 서명은 상기 USIM 또는 상기 모바일 단말 인증서 서비스 앱 내의 메모리에 저장된 상기 공인 인증서를 사용하여 비-설치형 클라이언트의 상기 공인 인증 보안 모듈로부터 전달 받은 전자 서명 원문에 대한 사용자의 전자 서명을 상기 공인 인증 보안 모듈에게 제공하는 것이고
    상기 공인 인증서 전송은 상기 모바일 단말에 저장된 상기 공인 인증서의 전송을 통해 사용자를 인증하는 것인, 비-설치형 클라이언트 장치.
  4. 웹 브라우저에서 비-설치형 인증 서비스를 실행하는 프로세서; 및
    상기 비-설치형 인증 서비스의 통신을 처리하는 통신부
    를 포함하고,
    상기 비-설치형 인증 서비스는 공인 인증 보안 모듈에 의해 실행되고, 웹 서버에 의해 제공되는 웹 스크립트를 사용하여 사용자 화면 웹 페이지를 표시하고,
    상기 공인 인증 보안 모듈은 인증 방식을 선택하기 위한 화면을 제공하고,
    상기 공인 인증 보안 모듈 및 상기 웹 스크립트는 웹을 통해 제공되고,
    상기 공인 인증 보안 모듈 및 상기 웹 스크립트는 파일 설치를 요구하지 않는 비-설치형이고,,
    상기 사용자 화면 웹 페이지는 비-설치형 클라이언트 장치의 운영 체제의 종류 및 상기 웹 브라우저의 종류와 무관하게 일정한 화면을 보여주는 장치 독립적인 반응형 웹 페이지이고,
    상기 웹 브라우저의 현재의 웹 페이지의 도메인 및 상기 사용자 화면 웹 페이지의 도메인은 서로 다르고
    상기 웹 스크립트는 상기 공인 인증 보안 모듈의 호출을 통해 설정 값 및 이벤트를 수신하고, 상기 설정 값 및 이벤트를 커뮤니케이션 어플리케이션 프로그래밍 인터페이스(Application Programming Interface; API)를 통해 상기 사용자 화면 웹 페이지로 전송하는, 비-설치형 클라이언트 장치.
  5. 웹 브라우저에서 비-설치형 인증 서비스를 실행하는 프로세서; 및
    상기 비-설치형 인증 서비스의 통신을 처리하는 통신부
    를 포함하고,
    상기 비-설치형 인증 서비스는 공인 인증 보안 모듈에 의해 실행되고, 웹 서버에 의해 제공되는 웹 스크립트를 사용하여 사용자 화면 웹 페이지를 표시하고,
    상기 공인 인증 보안 모듈은 인증 방식을 선택하기 위한 화면을 제공하고,
    상기 공인 인증 보안 모듈 및 상기 웹 스크립트는 웹을 통해 제공되고,
    상기 공인 인증 보안 모듈 및 상기 웹 스크립트는 파일 설치를 요구하지 않는 비-설치형이고,
    상기 웹 스크립트는 상기 공인 인증 보안 모듈의 호출을 통해 설정 값 및 이벤트를 수신하고, 상기 설정 값 및 이벤트를 커뮤니케이션 어플리케이션 프로그래밍 인터페이스(Application Programming Interface; API)를 통해 상기 사용자 화면 웹 페이지로 전송하고,
    상기 설정 값은 제휴사 식별 정보, 보안 모듈 식별 정보 및 보안 식별 정보를 포함하고,
    상기 이벤트는 공인 인증서 전송의 요청의 이벤트 및 공인 인증서 모바일 단말 저장의 요청의 이벤트를 포함하고,
    상기 공인 인증서 모바일 단말 저장은 공인 인증서를 모바일 단말의 유심(USIM)에 저장하는 것 또는 상기 공인 인증서를 상기 모바일 단말에 설치된 모바일 단말 인증서 서비스 앱 내의 메모리에 저장하는 것이고,
    상기 공인 인증서 전송은 상기 모바일 단말에 저장된 상기 공인 인증서의 전송을 통해 사용자를 인증하는 것인, 비-설치형 클라이언트 장치.
  6. 웹 브라우저에서 비-설치형 인증 서비스를 실행하는 프로세서; 및
    상기 비-설치형 인증 서비스의 통신을 처리하는 통신부
    를 포함하고,
    상기 비-설치형 인증 서비스는 공인 인증 보안 모듈에 의해 실행되고, 웹 서버에 의해 제공되는 웹 스크립트를 사용하여 사용자 화면 웹 페이지를 표시하고,
    상기 공인 인증 보안 모듈은 인증 방식을 선택하기 위한 화면을 제공하고,
    상기 공인 인증 보안 모듈 및 상기 웹 스크립트는 웹을 통해 제공되고,
    상기 공인 인증 보안 모듈 및 상기 웹 스크립트는 파일 설치를 요구하지 않는 비-설치형이고,
    상기 웹 스크립트는 커뮤니케이션 API를 통해 사용자 화면 웹 페이지로부터 모바일 단말의 모바일 단말 인증서 서비스 앱에서 생성된 전자 서명의 결과 값을 수신하고, 상기 전자 서명의 상기 결과 값을 상기 공인 인증 보안 모듈로 전송하여 사용자 인증을 하는, 비-설치형 클라이언트 장치.
  7. 웹 브라우저에서 비-설치형 인증 서비스를 실행하는 프로세서; 및
    상기 비-설치형 인증 서비스의 통신을 처리하는 통신부
    를 포함하고,
    상기 비-설치형 인증 서비스는 공인 인증 보안 모듈에 의해 실행되고, 웹 서버에 의해 제공되는 웹 스크립트를 사용하여 사용자 화면 웹 페이지를 표시하고,
    상기 공인 인증 보안 모듈은 인증 방식을 선택하기 위한 화면을 제공하고,
    상기 공인 인증 보안 모듈 및 상기 웹 스크립트는 웹을 통해 제공되고,
    상기 공인 인증 보안 모듈 및 상기 웹 스크립트는 파일 설치를 요구하지 않는 비-설치형이고,
    상기 사용자 화면 웹 페이지는 모바일 단말의 모바일 단말 인증서 서비스 앱으로부터 공인 인증서 저장의 결과를 수신하고, 커뮤니케이션 API를 통해 상기 공인 인증서 저장의 결과를 상기 공인 인증 보안 모듈로 전송하는, 비-설치형 클라이언트 장치.
  8. 웹 브라우저에서 비-설치형 인증 서비스를 실행하는 프로세서; 및
    상기 비-설치형 인증 서비스의 통신을 처리하는 통신부
    를 포함하고,
    상기 비-설치형 인증 서비스는 공인 인증 보안 모듈에 의해 실행되고, 웹 서버에 의해 제공되는 웹 스크립트를 사용하여 사용자 화면 웹 페이지를 표시하고,
    상기 공인 인증 보안 모듈은 인증 방식을 선택하기 위한 화면을 제공하고,
    상기 공인 인증 보안 모듈 및 상기 웹 스크립트는 웹을 통해 제공되고,
    상기 공인 인증 보안 모듈 및 상기 웹 스크립트는 파일 설치를 요구하지 않는 비-설치형이고,
    상기 비-설치형 인증 서비스는 사용자에 대한 인증과 관련된 복수의 인증 서비스들을 제공하고,
    복수의 인증 서비스들은 공인 인증서 모바일 단말 전자 서명, 공인 인증서 모바일 단말 저장 및 공인 인증서 전송 중 적어도 2 개를 포함하고,
    상기 공인 인증서 모바일 단말 저장은 공인 인증서를 모바일 단말의 유심(USIM)에 저장하는 것 또는 상기 공인 인증서를 상기 모바일 단말에 설치된 모바일 단말 인증서 서비스 앱 내의 메모리에 저장하는 것이고,
    상기 공인 인증서 모바일 단말 전자 서명은 상기 USIM 또는 상기 모바일 단말 인증서 서비스 앱 내의 메모리에 저장된 상기 공인 인증서를 사용하여 비-설치형 클라이언트의 상기 공인 인증 보안 모듈로부터 전달 받은 전자 서명 원문에 대한 사용자의 전자 서명을 상기 공인 인증 보안 모듈에게 제공하는 것이고
    상기 공인 인증서 전송은 상기 모바일 단말에 저장된 상기 공인 인증서의 전송을 통해 사용자를 인증하는 것인, 비-설치형 클라이언트 장치.
  9. 제8항에 있어서,
    상기 복수의 인증 서비스들 중 하나가 상기 비-설치형 클라이언트 장치의 사용자에 의해 선택되면, 상기 사용자 화면 웹 페이지는 하이퍼텍스트 전송 프로토콜 보안 (Hypertext Transfer Protocol Secure; HTTPS) 통신을 통해 선택된 인증 서비스의 요청을 상기 웹 서버의 웹 응용 프로그램으로 전송하고,
    상기 웹 스크립트는 상기 복수의 인증 서비스들의 각각에 대해 공인 인증 보안 모듈로부터 상기 웹 스크립트로 정보를 전달하기 위한 API를 제공하는, 비-설치형 클라이언트 장치.
  10. 제9항에 있어서,
    상기 웹 서버는 상기 비-설치형 클라이언트로부터 상기 선택된 인증 서비스의 정보를 수신하고, 선택된 인증 서비스의 정보를 인증 서버로 전송하고,
    상기 선택된 인증 서비스의 요청은 상기 비-설치형 클라이언트 장치 및 설치형 클라이언트 장치 중 하나에 의해 전송되고,
    상기 인증 서버에서는 상기 선택된 인증 서비스를 전송한 클라이언트 장치의 종류에 따라 자동으로 분기가 이루어지는, 비-설치형 클라이언트 장치.
  11. 제9항에 있어서,
    상기 공인 인증 보안 모듈은 선택된 인증 서비스의 요청을 위해 상기 웹 스크립트의 함수를 호출하고, 상기 함수의 파라미터로서 설정된 콜 백 함수를 사용하여 상기 선택된 인증 서비스의 결과를 수신하는, 비-설치형 클라이언트 장치.
  12. 제11항에 있어서,
    상기 콜 백 함수는 상기 복수의 인증 서비스들에게 공통되고, 상기 복수의 인증 서비스들의 결과들에 대응하는 복수의 파라미터들을 갖는, 비-설치형 클라이언트 장치.
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
KR1020190039256A 2019-04-03 2019-04-03 비설치형 인증 방법 및 장치 KR102130321B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190039256A KR102130321B1 (ko) 2019-04-03 2019-04-03 비설치형 인증 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190039256A KR102130321B1 (ko) 2019-04-03 2019-04-03 비설치형 인증 방법 및 장치

Publications (1)

Publication Number Publication Date
KR102130321B1 true KR102130321B1 (ko) 2020-08-05

Family

ID=72041476

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190039256A KR102130321B1 (ko) 2019-04-03 2019-04-03 비설치형 인증 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102130321B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102335674B1 (ko) * 2020-12-23 2021-12-07 주식회사 틸코블렛 윈도우용 전자인증을 지원하는 웹사이트를 사용할 수 있는 개방형 os 기반의 통신 단말기

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100033053A (ko) * 2008-09-19 2010-03-29 (주) 엘지텔레콤 무선 통신 네트워크를 통한 카드 결제 서비스 시스템 및 그방법과 카드 결제 서비스 기능을 갖춘 이동통신 단말기
KR20120010756A (ko) * 2010-07-27 2012-02-06 주식회사 케이티 Otp 서명을 이용한 id 기반의 소액 결제 시스템 및 그 방법
KR20160073930A (ko) * 2014-12-17 2016-06-27 한만성 신용카드 간편결제를 위한 신용카드 정보 비저장, 결제 프로그램 비설치 및 결제 절차간소화 시스템 및 그 방법
KR101852791B1 (ko) * 2017-10-16 2018-04-27 (주)케이스마텍 모바일 단말기를 이용한 공인인증서 로그인 서비스 시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100033053A (ko) * 2008-09-19 2010-03-29 (주) 엘지텔레콤 무선 통신 네트워크를 통한 카드 결제 서비스 시스템 및 그방법과 카드 결제 서비스 기능을 갖춘 이동통신 단말기
KR20120010756A (ko) * 2010-07-27 2012-02-06 주식회사 케이티 Otp 서명을 이용한 id 기반의 소액 결제 시스템 및 그 방법
KR20160073930A (ko) * 2014-12-17 2016-06-27 한만성 신용카드 간편결제를 위한 신용카드 정보 비저장, 결제 프로그램 비설치 및 결제 절차간소화 시스템 및 그 방법
KR101852791B1 (ko) * 2017-10-16 2018-04-27 (주)케이스마텍 모바일 단말기를 이용한 공인인증서 로그인 서비스 시스템 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102335674B1 (ko) * 2020-12-23 2021-12-07 주식회사 틸코블렛 윈도우용 전자인증을 지원하는 웹사이트를 사용할 수 있는 개방형 os 기반의 통신 단말기

Similar Documents

Publication Publication Date Title
US9838205B2 (en) Network authentication method for secure electronic transactions
US9231925B1 (en) Network authentication method for secure electronic transactions
CN109088889B (zh) 一种ssl加解密方法、***及计算机可读存储介质
US10708054B2 (en) Secure microform
KR101852791B1 (ko) 모바일 단말기를 이용한 공인인증서 로그인 서비스 시스템 및 방법
CN105072125B (zh) 一种http通信***及方法
US20180294980A1 (en) Management of secret data items used for server authentication
CN112039826B (zh) 应用于小程序端的登录方法和装置,电子设备,可读介质
KR101974062B1 (ko) 클라우드 하드웨어 모듈 기반 전자 서명 방법
US11811939B2 (en) Advanced crypto token authentication
KR101879758B1 (ko) 사용자 단말기별 사용자 디지털 인증서 발급 방법 및 그 인증서에 의한 인증 방법
CN107566413B (zh) 一种基于数据短信技术的智能卡安全认证方法及***
CN106845986A (zh) 一种数字证书的签章方法及***
KR20120080283A (ko) 통합센터를 이용한 유심칩기반 모바일 오티피 인증장치 및 인증방법
TW201524177A (zh) 多通訊管道認證授權平臺系統和方法
US9674166B2 (en) Method for securing a request for executing a first application, by a second application
KR101746102B1 (ko) 무결성 및 보안성이 강화된 사용자 인증방법
CN108768655B (zh) 动态口令生成方法和***
KR102130321B1 (ko) 비설치형 인증 방법 및 장치
JP5036500B2 (ja) 属性証明書管理方法及び装置
US20240113898A1 (en) Secure Module and Method for App-to-App Mutual Trust Through App-Based Identity
GB2575250A (en) Methods for delivering an authenticatable management activity to remote devices
KR102086406B1 (ko) 사용자 통합 인증 서비스 시스템 및 그 방법
KR101675880B1 (ko) Usim을 이용하는 otp 인증을 제공하는 인증 서비스 장치 및 이를 위한 방법
KR101708880B1 (ko) 통합 로그인 장치 및 통합 로그인 방법

Legal Events

Date Code Title Description
AMND Amendment
AMND Amendment
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant