KR102486585B1 - 네트워크를 통한 사용자 자격 검증 방법 및 이에 사용되는 서비스 제공 서버 - Google Patents
네트워크를 통한 사용자 자격 검증 방법 및 이에 사용되는 서비스 제공 서버 Download PDFInfo
- Publication number
- KR102486585B1 KR102486585B1 KR1020210140835A KR20210140835A KR102486585B1 KR 102486585 B1 KR102486585 B1 KR 102486585B1 KR 1020210140835 A KR1020210140835 A KR 1020210140835A KR 20210140835 A KR20210140835 A KR 20210140835A KR 102486585 B1 KR102486585 B1 KR 102486585B1
- Authority
- KR
- South Korea
- Prior art keywords
- user
- credential
- information
- index information
- verification
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000012795 verification Methods 0.000 claims abstract description 114
- 238000012797 qualification Methods 0.000 claims description 35
- 238000013507 mapping Methods 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 abstract description 12
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000010339 medical test Methods 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000002255 vaccination Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/06009—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking
- G06K19/06037—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking multi-dimensional coding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
네트워크를 통한 사용자 자격 검증 방법 및 이에 사용되는 서비스 제공 서버가 개시된다. 본 발명은, 서비스 제공 서버가 사용자 단말기로부터 사용자 단말기가 사용자의 자격 증명 정보에 기초하여 생성한 자격 증명 인덱스 정보를 수신하고, 자격 증명 인덱스 정보를 사용자의 자격 증명 정보에 맵핑 저장하며, 사용자 단말기로부터 자격 증명 인덱스 정보를 수신한 검증 요청자 단말기로부터 자격 증명 인덱스 정보를 포함하는 사용자 검증 요청을 수신하고, 자격 증명 인덱스 정보와 사용자의 자격 증명 정보에 기초하여 사용자의 자격을 검증하는 과정을 통해 구현된다. 본 발명에 따르면, 사용자 단말기는 사용자의 자격 증명 정보를 검증 요청자 단말기로 직접 전송하지 않고, 자격 증명 정보를 암호화 처리하여 생성된 해쉬 함수값인 자격 증명 인덱스 정보를 QR 코드 등을 통해 검증 요청자 단말기로 제공함으로써 사용자의 자격 증명을 검증받을 수 있게 됨에 따라, 자격 증명 정보의 외부 유출에 의한 개인 정보 유출의 위험을 제거할 수 있게 된다. 아울러, 본 발명에 따르면, 자격 증명 인덱스 정보를 이용함으로써 사용자의 자격 증명 정보를 전송하지 않을 수 있게 됨에 따라, 사용자 자격 검증을 위한 데이터 전송 및 연산 부하를 낮출 수 있게 될 뿐만 아니라, QR 코드 방식 이외의 다양한 전송 방식을 활용할 수 있게 되며, 자격 증명 인덱스 정보에 기초하여 QR 코드를 생성하는 경우에는 검증 인식률을 높일 수 있게 된다.
Description
본 발명은 네트워크를 통한 사용자 자격 검증 방법 및 이에 사용되는 서비스 제공 서버에 관한 것으로, 더욱 상세하게는 사용자 단말기가 사용자의 자격 증명 정보를 검증 요청자 단말기로 직접 전송하지 않고, 자격 증명 정보를 암호화 처리하여 생성된 해쉬 함수값인 자격 증명 인덱스 정보를 검증 요청자 단말기로 제공함으로써 사용자의 자격 증명을 검증받을 수 있게 됨에 따라, 자격 증명 정보의 외부 유출에 의한 개인 정보 유출의 위험을 제거할 수 있으며, 자격 증명 인덱스 정보를 이용함으로써 사용자의 자격 증명 정보를 전송하지 않을 수 있게 됨에 따라, 사용자 자격 검증을 위한 데이터 전송 및 연산 부하를 낮출 수 있게 될 뿐만 아니라, QR 코드 방식 이외의 다양한 전송 방식을 활용할 수 있게 되며, 자격 증명 인덱스 정보에 기초하여 QR 코드를 생성하는 경우에는 검증 인식률을 높일 수 있도록 하는 네트워크를 통한 사용자 자격 검증 방법 및 이에 사용되는 서비스 제공 서버에 관한 것이다.
최근 일상 생활에서 VC(Verifiable Credential) 기반의 신원 확인 및 자격 증명의 요구가 늘어나고 있다.
한편, 이와 같이 검증자(Verifier)가 요청하는 검증 가능한 자격 증명(Verifiable Credential: VC) 정보에는 개인 신상 정보가 포함되어 있기 때문에 이와 같은 자격 증명 검증 과정에서 VC 정보의 외부 유출을 엄격하게 통제할 필요가 있다.
그럼에도 불구하고 종래 기술에 따른 사용자 자격 검증 시스템에서는 사용자의 편의성을 위해 VC 정보를 QR 코드에 전달하는 경우가 많이 있어 왔으며, 이와 같이 VC 데이터의 기밀성이 보장되지 못함으로 인해 VC 정보가 외부로 유출됨에 따른 개인 정보 유출의 문제가 대두되고 있다.
아울러, 종래 기술에 따른 사용자 자격 검증 시스템에서는 검증자(Verifier)에게 VC 검증 요청을 위해 전달되는 VC 데이터가 전자 서명 등을 포함하면서 최소 1600자를 초과하게 된다.
이와 같이 VC 데이터가 최소 1600자를 초과하게 됨에 따라 종래 기술에 따른 사용자 자격 검증 시스템에서는 사용자 편의성을 고려하여 VC 정보를 QR 코드를 통한 전송 방식과 같은 제한된 방식을 통해서만 전송 가능하다는 기술적 한계가 있을 뿐만 아니라, 전송되는 데이터 사이즈가 비대해짐으로 인해 전송 및 검증 오류의 발생 빈도가 높아진다는 문제가 있으며, 만약 기밀성을 위해 VC 정보에 대한 암호화를 수행하는 경우에는 데이터 사이즈가 더욱 커지게 됨에 따라 이와 같은 문제는 더욱 심각해지게 된다.
따라서, 본 발명의 목적은, 사용자 단말기가 사용자의 자격 증명 정보를 검증 요청자 단말기로 직접 전송하지 않고, 자격 증명 정보를 암호화 처리하여 생성된 해쉬 함수값인 자격 증명 인덱스 정보를 검증 요청자 단말기로 제공함으로써 사용자의 자격 증명을 검증받을 수 있게 됨에 따라, 자격 증명 정보의 외부 유출에 의한 개인 정보 유출의 위험을 제거할 수 있으며, 자격 증명 인덱스 정보를 이용함으로써 사용자의 자격 증명 정보를 전송하지 않을 수 있게 됨에 따라, 사용자 자격 검증을 위한 데이터 전송 및 연산 부하를 낮출 수 있게 될 뿐만 아니라, QR 코드 방식 이외의 다양한 전송 방식을 활용할 수 있게 되며, 자격 증명 인덱스 정보에 기초하여 QR 코드를 생성하는 경우에는 검증 인식률을 높일 수 있도록 하는 네트워크를 통한 사용자 자격 검증 방법 및 이에 사용되는 서비스 제공 서버를 제공함에 있다.
본 발명의 해결하고자 하는 과제는 언급한 과제로 제한되지 않으며, 이하의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있는 다른 기술적 과제들을 포함한다.
상기 목적을 달성하기 위한 본 발명에 따른 네트워크를 통한 사용자 자격 검증 방법은, (a) 서비스 제공 서버가, 사용자 단말기로부터 상기 사용자 단말기가 사용자의 자격 증명 정보에 기초하여 생성한 자격 증명 인덱스 정보를 수신하는 단계; (b) 상기 서비스 제공 서버가, 상기 자격 증명 인덱스 정보를 상기 사용자의 자격 증명 정보에 맵핑 저장하는 단계; (c) 상기 서비스 제공 서버가, 상기 사용자 단말기로부터 상기 자격 증명 인덱스 정보를 수신한 검증 요청자 단말기로부터 상기 자격 증명 인덱스 정보를 포함하는 사용자 검증 요청을 수신하는 단계; 및 (d) 상기 서비스 제공 서버가, 상기 자격 증명 인덱스 정보와 상기 사용자의 자격 증명 정보에 기초하여 상기 사용자의 자격을 검증하는 단계를 포함한다.
바람직하게는, 상기 (d) 단계는, (d1) 상기 서비스 제공 서버가, 기 저장된 상기 사용자의 자격 증명 인덱스 정보를 검색하는 단계; 및 (d2) 상기 서비스 제공 서버가, 검색된 상기 사용자의 자격 증명 인덱스 정보와 맵핑 저장되어 있는 상기 사용자의 자격 증명 정보를 검색하는 단계를 포함한다.
한편, 본 발명에 따른 서비스 제공 서버는, 사용자 단말기로부터 상기 사용자 단말기가 사용자의 자격 증명 정보에 기초하여 생성한 자격 증명 인덱스 정보를 수신하는 수신부; 및 상기 자격 증명 인덱스 정보를 상기 사용자의 자격 증명 정보에 맵핑 저장하는 저장부를 포함하며, 상기 수신부는, 상기 사용자 단말기로부터 상기 자격 증명 인덱스 정보를 수신한 검증 요청자 단말기로부터 상기 자격 증명 인덱스 정보를 포함하는 사용자 검증 요청을 수신하고, 상기 자격 증명 인덱스 정보와 상기 사용자의 자격 증명 정보에 기초하여 상기 사용자의 자격을 검증하는 판단부를 더 포함한다.
바람직하게는, 상기 판단부는, 기 저장된 상기 사용자의 자격 증명 인덱스 정보를 검색하고, 검색된 상기 사용자의 자격 증명 인덱스 정보와 맵핑 저장되어 있는 상기 사용자의 자격 증명 정보를 검색하는 것을 특징으로 한다.
본 발명에 따르면, 사용자 단말기는 사용자의 자격 증명 정보를 검증 요청자 단말기로 직접 전송하지 않고, 자격 증명 정보를 암호화 처리하여 생성된 해쉬 함수값인 자격 증명 인덱스 정보를 검증 요청자 단말기로 제공함으로써 사용자의 자격 증명을 검증받을 수 있게 됨에 따라, 자격 증명 정보의 외부 유출에 의한 개인 정보 유출의 위험을 제거할 수 있게 된다.
아울러, 본 발명에 따르면, 자격 증명 인덱스 정보를 이용함으로써 사용자의 자격 증명 정보를 전송하지 않을 수 있게 됨에 따라, 사용자 자격 검증을 위한 데이터 전송 및 연산 부하를 낮출 수 있게 될 뿐만 아니라, 자격 증명 인덱스 정보에 기초하여 QR 코드를 생성하는 경우에는 검증 인식률을 높일 수 있게 된다.
아울러, 본 발명에 따르면, 자격 증명 인덱스 정보를 이용함으로써 사용자의 자격 증명 정보를 전송하지 않을 수 있게 됨에 따라, QR 코드 방식 이외의 다양한 전송 방식을 활용할 수 있게 된다.
본 발명의 효과는 언급한 효과로 제한되지 않으며, 이하의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있는 다른 효과들을 포함한다.
도 1은 본 발명의 일 실시예에 따른 네트워크를 통한 사용자 자격 검증 시스템의 구성도,
도 2는 본 발명의 일 실시예에 따른 네트워크를 통한 사용자 자격 검증 방법을 실행하는 서비스 제공 서버의 구조를 나타내는 기능 블록도,
도 3은 본 발명의 일 실시예에 따른 네트워크를 통한 사용자 자격 검증 방법의 실행 과정을 설명하는 신호 흐름도, 및
도 4는 본 발명에 따른 사용자 자격 검증 실행 과정에서의 상세 절차를 설명하는 절차 흐름도이다.
도 2는 본 발명의 일 실시예에 따른 네트워크를 통한 사용자 자격 검증 방법을 실행하는 서비스 제공 서버의 구조를 나타내는 기능 블록도,
도 3은 본 발명의 일 실시예에 따른 네트워크를 통한 사용자 자격 검증 방법의 실행 과정을 설명하는 신호 흐름도, 및
도 4는 본 발명에 따른 사용자 자격 검증 실행 과정에서의 상세 절차를 설명하는 절차 흐름도이다.
이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다. 도면들 중 동일한 구성요소들은 가능한 한 어느 곳에서든지 동일한 부호들로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략한다.
도 1은 본 발명의 일 실시예에 따른 네트워크를 통한 사용자 자격 검증 시스템의 구성도이다. 도 1을 참조하면, 본 발명의 일 실시예에 따른 네트워크를 통한 사용자 자격 검증 시스템은 사용자 단말기(100), 검증 요청자 단말기(200), 및 서비스 제공 서버(300)를 포함한다.
사용자 단말기(100)는 VC(Verifiable Credential) 기반의 신원 확인 및 자격 증명의 요구받는 사용자가 소지하고 있는 스마트 폰 등의 통신 단말기이며, 이와 같은 사용자 단말기(100)에는 본 발명의 일 실시예에 따른 네트워크를 통한 사용자 자격 검증 서비스를 이용하는 데 필요한 소정의 어플리케이션 프로그램이 설치될 수 있을 것이다.
이와 같이 본 발명은 VC(Verifiable Credential) 기반의 신원 확인 및 자격 증명을 위해 실행되며, 본 명세서에서 단독으로 사용된 자격 증명은 사용자의 신원 확인과 사용자의 자격 증명을 모두 포함하는 의미로서 정의된다.
검증 요청자 단말기(200)는 사용자 단말기(100)의 어플리케이션 프로그램이 생성한 QR 코드(10) 등의 코드 정보를 독출하고, 해당 코드 정보를 포함하는 사용자 검증 요청을 서비스 제공 서버(300)로 송신한다.
한편, 본 발명을 실시함에 있어서, 검증 요청자 단말기(200)는 사용자의 자격 증명을 검증하고자 하는 검증자(Verifier)가 자격 증명 검증 요청을 위해 사용하는 통신 단말기로서, 예를 들어, 태블릿 PC 등의 통신 단말기가 될 수 있을 것이다.
서비스 제공 서버(300)는 본 발명의 일 실시예에 따른 네트워크를 통한 사용자 자격 검증 서비스를 제공하는 사업자가 설치 및 운영하는 서버로서, 이와 같은 서비스 제공 서버(300)는 사용자 단말기(100)가 사용자의 자격 증명 정보에 기초하여 생성한 자격 증명 인덱스 정보를 사용자 단말기(100)로부터 수신하고, 자격 증명 인덱스 정보를 사용자의 자격 증명 정보에 맵핑 저장하며, 사용자 단말기(100)가 자격 증명 인덱스 정보에 기초하여 생성한 코드 정보를 독출한 검증 요청자 단말기(200)로부터 해당 코드 정보를 포함하는 사용자 검증 요청을 수신하고, 해당 코드 정보와 상기 자격 증명 정보에 기초하여 사용자의 자격 검증을 실행한다.
도 2는 본 발명의 일 실시예에 따른 네트워크를 통한 사용자 자격 검증 방법을 실행하는 서비스 제공 서버의 구조를 나타내는 기능 블록도이다. 도 2를 참조하면, 본 발명의 일 실시예에 따른 네트워크를 통한 사용자 자격 검증 방법을 실행하는 서비스 제공 서버(300)는 수신부(310), 저장부(330), 판단부(350), 및 송신부(370)를 포함한다.
서비스 제공 서버(300)의 수신부(310)는 사용자 단말기(100)가 사용자의 자격 증명 정보에 기초하여 생성한 자격 증명 인덱스 정보를 사용자 단말기(100)로부터 수신하고, 사용자 단말기(100)가 생성한 QR 코드 정보 등의 사용자 검증용 데이터를 포함하는 사용자 검증 요청을 검증 요청자 단말기(200)로부터 수신하며, 서비스 제공 서버(300)의 송신부(370)는 사용자의 자격 검증 결과 정보를 검증 요청자 단말기(200)로 송신한다.
서비스 제공 서버(300)의 저장부(330)는 사용자의 자격 증명 인덱스 정보를 사용자의 자격 증명 정보에 맵핑 저장하며, 서비스 제공 서버(300)의 판단부(350)는 검증 요청자 단말기(200)로부터 수신된 QR 코드 정보 등의 사용자 검증용 데이터와 저장부(330)에 기 저장되어 있는 사용자의 자격 증명 인덱스 정보에 기초하여 사용자의 자격을 검증한다.
도 3은 본 발명의 일 실시예에 따른 네트워크를 통한 사용자 자격 검증 방법의 실행 과정을 설명하는 신호 흐름도이다. 이하에서는 도 1 내지 도 3을 참조하여, 본 발명의 일 실시예에 따른 네트워크를 통한 사용자 자격 검증 방법의 실행 과정을 설명하기로 한다.
먼저, VC(Verifiable Credential) 기반의 신원 확인 및 자격 증명을 요구받은 경우에 사용자가 사용자 단말기(100)에 설치되어 있는 어플리케이션 프로그램을 실행한 다음, 어플리케이션 프로그램의 실행 화면에 표시된 소정의 자격 증명 실행 버튼을 선택함에 따라 어플리케이션 프로그램은 백신 접종 정보 등과 같은 사용자의 검증 가능한 자격 증명(Verifiable Credential: VC)을 사용자 단말기(100)에서 검색한다(S400).
본 발명을 실시함에 있어서, 검증 가능한 자격 증명(Verifiable Credential: VC)는 신분증 등의 신원 확인 정보, 졸업 증명서, 의료 검사 결과 등의 자격 증명 정보로서 정의될 수 있을 것이다.
한편, 전술한 S400 단계에서 사용자의 검증 가능한 자격 증명(Verifiable Credential: VC)이 사용자 단말기(100)에서 검색되지 않는 경우에 사용자 단말기(100)에 설치된 어플리케이션 프로그램은 해당 자격 증명을 발행하는 공공 기관, 학교 등의 자격 증명 발행자(VC Issuer)를 통해 자격 증명을 발급받게 되며, 발급된 자격 증명은 클라우드 에이전트(Cloud Agent) 및/또는 사용자 단말기(100)에 저장된다.
이와 같이 생성된 생성된 자격 증명은 사용자 단말기(100) 및 서비스 제공 서버(300)로 송신되며, 서비스 제공 서버(300)는 사용자의 자격 증명 정보를 저장부(330)에 저장한다(S410).
본 발명을 실시함에 있어서, 클라우드 에이전트(Cloud Agent)는 일종의 전자 지갑(Wallet)의 형태로 정보 주체자만 접근 가능한 서버에 존재하는 전자 지갑이 될 수 있을 것이다.
한편, 전술한 S400 단계에서 사용자 단말기(100)에서 자격 증명이 검색되었거나, 검색되지 않아 상술한 바와 같이 자격 증명을 생성한 경우에 사용자 단말기(100)는 해당 자격 증명 정보에 기초하여 자격 증명 인덱스 정보를 생성한다(S420).
본 발명을 실시함에 있어서, 이와 같은 자격 증명 인덱스 정보는, 폰 번호, IMEI 등과 같은 사용자 단말기(100)의 고유 식별자 정보, 사용자의 분산 아이디(Decentralized Identifier: DID), 사용자의 자격 증명 아이디(VC ID) 정보, 및 자격 증명 인덱스 정보 생성 시점의 타임 스탬프 정보(유효 기간은 예를 들면, 3분), 접근 제어 정보(예를 들면, QR 리딩한 모든 사용자 접근 가능 또는 특정 DID 만 접근 가능) 등을 순차적인 입력값으로 하여 암호화 처리된 해쉬 함수값이 될 수 있을 것이다.
사용자 단말기(100)는 상기와 같이 생성된 자격 증명 인덱스 정보를 자격 증명 인덱스 정보 생성에 사용된 상기 입력 정보 중 일부의 정보(예를 들면, 자격 증명 아이디 정보), 및 자격 증명 인덱스 정보 생성 시점의 타임 스탬프 정보(유효 기간은 예를 들면, 3분)와 함께 서비스 제공 서버(300)로 송신한다(S430).
이에 서비스 제공 서버(300)는 사용자 단말기(100)로부터 수신된 상기 자격 증명 인덱스 정보, 자격 증명 인덱스 정보 생성에 사용된 상기 입력 정보 중 일부의 정보(예를 들면, 자격 증명 아이디 정보), 및 자격 증명 인덱스 정보 생성 시점의 타임 스탬프 정보 등을 전술한 S410 단계에서 저장부(330)에 기 저장된 사용자의 자격 증명 정보에 맵핑하여 저장한다(S440).
본 발명을 실시함에 있어서, 서비스 제공 서버(300)는 상술한 바와 같은 맵핑 저장을 일반 DB(RDB, NoSQL 등), IPFS 등의 오프 체인(OffChain) 또는 온 체인(OnChail)의 블록 체인 영역에서 실행할 수 있으며, 삭제가 필요할 경우 블록체인의 Private Data 영역에서 실행할 수도 있을 것이다.
한편, 사용자 단말기(100)에 설치된 어플리케이션 프로그램은 전술한 S430 단계에서 자격 증명 인덱스 정보를 생성하여 서비스 제공 서버(300)로 송신한 다음, 해당 자격 증명 인덱스 정보를 포함하는 QR 코드(10) 등과 같은 소정 형식의 정보 코드를 생성한다(S450).
본 발명을 실시함에 있어서, 사용자 단말기(100)에 설치된 어플리케이션 프로그램이 생성하는 QR 코드(10)에는 상기 자격 증명 인덱스 정보, 자격 증명 인덱스 정보 생성에 사용된 입력 정보 중 일부의 정보, 폰 번호, IMEI 등과 같은 사용자 단말기(100)의 고유 식별자 정보, 사용자의 분산 아이디(Decentralized Identifier: DID), QR 코드(10) 생성 시점 등의 검증 요청 시점의 타임 스탬프 정보(유효 기간은 예를 들면, 15초), 및 접근 제어 정보(예를 들면, QR 리딩한 모든 사용자 접근 가능 또는 특정 DID 만 접근 가능) 등이 포함될 수 있을 것이다.
한편, 이와 같이 생성되어 사용자 단말기(100)의 화면에 출력된 QR 코드(10)를 검증 요청자 단말기(200)의 카메라 모듈이 촬영함에 따라 검증 요청자 단말기(200)는 해당 QR 코드 정보를 독출하게 된다(S460).
한편, 본 발명을 실시함에 있어서, 사용자 단말기(100)는 상기와 같이 QR 코드(10)를 생성하지 않고, QR 코드(10)에 포함된 상술한 바와 같은 각 정보를 포함하는 사용자 검증용 데이터 패킷을 생성하며, 이와 같이 생성된 사용자 검증용 데이터 패킷을 NFC 통신 모듈 등의 다양한 근거리 통신 방법을 통해 검증 요청자 단말기(200)로 송신할 수도 있을 것이다.
이에 검증 요청자 단말기(200)는 QR 코드 정보, 검증 요청자 단말기(200)의 고유 식별자 정보, 및 검증 요청자 단말기(200)를 이용하여 QR 코드(10)를 리딩한 검증 요청자의 분산 아이디(Decentralized Identifier: DID)를 포함하는 사용자 검증 요청을 서비스 제공 서버(300)로 송신할 수 있을 것이다(S470).
이에 서비스 제공 서버(300)의 판단부(350)는 검증 요청자 단말기(200)로부터 수신된 QR 코드 정보와 상술한 바와 같은 맵핑 저장 정보에 기초하여 사용자의 자격 검증을 실행한다(S480).
도 4는 본 발명에 따른 사용자 자격 검증 실행 과정에서의 상세 절차를 설명하는 절차 흐름도이다. 이하에서는 도 1, 도 2 및 도 4를 참조하여, 본 발명에 따른 사용자 자격 검증 실행 과정에서의 상세 절차를 설명하기로 한다.
먼저, 서비스 제공 서버(300)의 판단부(350)는 검증 요청자 단말기(200)로부터 수신된 QR 코드 정보에 포함되어 있는, 자격 증명 인덱스 정보 생성에 사용된 입력 정보 중 일부의 정보와 동일한 정보를 저장부(330)를 통해 검색하고, 검색된 정보와 함께 전술한 S440 단계에서 저장부(330)에 맵핑 저장되어 있는 자격 증명 인덱스 정보 생성 시점의 타임 스탬프 정보(유효 기간은 예를 들면, 3분)를 검색하며, 이와 같이 검색된 자격 증명 인덱스 정보 생성 시점의 타임 스탬프 정보와, 검증 요청자 단말기(200)로부터 수신된 QR 코드 정보에 포함되어 있는 자격 증명 인덱스 정보를 복호화 처리함으로써 생성된 타임 스탬프 정보(유효 기간은 예를 들면, 3분)를 상호 비교함으로써 검증 요청자 단말기(200)로부터 수신된 자격 증명 인덱스 정보의 시간적 유효성(즉, 유효 기간)을 검증할 수 있을 것이며(S481), 이를 통해 외부로부터의 리플레이 공격(Replay Attack)을 방지할 수 있게 된다.
아울러, 본 발명을 실시함에 있어서, 서비스 제공 서버(300)의 판단부(350)는 상기 접근 제어 정보(예를 들면, 특정 DID 만 접근 가능)를 기초로 하여 특정 DID 만 해당 정보를 확인 및 검증토록 할 수도 있을 것이다.
한편, 전술한 S481 단계를 실행함에 있어서, 서비스 제공 서버(300)의 판단부(350)는 검증 요청자 단말기(200)로부터 수신된 QR 코드 정보에 포함되어 있는 자격 증명 인덱스 정보와 동일한 자격 증명 인덱스 정보를 저장부(330)를 통해 검색하고, 검색된 자격 증명 인덱스 정보와 함께 전술한 S440 단계에서 저장부(330)에 맵핑 저장되어 있는 자격 증명 인덱스 정보 생성 시점의 타임 스탬프 정보(유효 기간은 예를 들면, 3분)를 검색할 수도 있을 것이다.
또한, 서비스 제공 서버(300)의 판단부(350)는 전술한 S470 단계에서 검증 요청자 단말기(200)로부터 수신된 QR 코드 정보에 포함되어 있는 사용자 단말기(100)의 고유 식별자 정보, 해당 QR 코드 정보 등에 포함되어 있는 사용자의 분산 아이디, 전술한 S481 단계에서 검색된 자격 증명 인덱스 정보와 함께 전술한 S440 단계에서 저장부(330)에 맵핑 저장되어 있는 사용자의 자격 증명 정보, 및 전술한 S481 단계에서 검색된 자격 증명 인덱스 정보와 함께 전술한 S440 단계에서 사용자의 자격 증명 정보에 맵핑 저장되어 있는 타임 스탬프 정보(유효 기간은 예를 들면, 3분)를 전술한 S420 단계에서와 동일한 순서를 갖는 순차적인 입력값으로 하여 암호화 처리된 해쉬 함수값을 생성하고, 이와 같이 생성된 해쉬 함수값(즉, 자격 증명 인덱스 정보)을 전술한 S470 단계에서 검증 요청자 단말기(200)로부터 수신된 QR 코드 정보에 포함되어 있는 자격 증명 인덱스 정보와 비교하여 양자의 일치 여부를 판단함으로써 검증 요청자 단말기(200)로부터 수신된 자격 증명 인덱스 정보의 검증을 실행할 수 있을 것이다(S483).
본 발명에서는 이와 같은 자격 증명 인덱스 정보의 검증 절차를 통해 자격 증명 인덱스 정보가 위변조되지 않았음을 확인할 수 있게 된다.
또한, 서비스 제공 서버(300)의 판단부(350)는 전술한 S470 단계에서 검증 요청자 단말기(200)로부터 수신된 자격 증명 인덱스 정보와 일치하는 자격 증명 인덱스 정보를 저장부(330)를 통해 검색하며, 이를 통해 해당 자격 증명 인덱스 정보가 서비스 제공 서버(300)에 등록되어 있음이 확인된 경우에 서비스 제공 서버(300)는 검색된 자격 증명 인덱스 정보와 함께 전술한 S440 단계에서 맵핑 저장되어 있는 자격 증명 아이디(VC ID)를 기초로 하여 해당 사용자의 자격 증명 정보에 대한 조회 및 검증을 실행할 수 있을 것이다(S485).
또한, 본 발명을 실시함에 있어서, 서비스 제공 서버(300)의 판단부(350)는 전술한 S470 단계에서 검증 요청자 단말기(200)로부터 수신된 QR 코드(10)에 포함되어 있는 QR 코드 생성 시점의 타임 스탬프 정보(유효 기간은 예를 들면, 15초)와 전술한 S470 단계에서 검증 요청자 단말기(200)로부터 QR 코드 정보를 수신한 시각 정보에 기초하여 수신된 QR 코드(10)의 시간적 유효성(즉, 유효 기간)을 추가적으로 검증함으로써, 기 생성된 QR 코드가 화면 캡처됨으로써 이후 스니핑 등으로 재사용되는 것을 방지할 수 있을 것이다.
한편, 이와 같은 QR 코드(10)의 유효 기간 검증 절차는 전술한 S481 단계 이전에 실행되거나, 전술한 S485 단계 이후에 실행될 수 있을 것이다.
이와 같이 사용자의 자격 증명에 대한 검증이 최종 완료되는 경우에 서비스 제공 서버(300)는 검증 요청자 단말기(200)로 사용자의 자격 증명 검증 결과를 송신하며(S490), 이를 통해 검증 요청자는 사용자의 자격 증명 검증 결과를 확인할 수 있게 된다.
한편, 본 발명을 실시함에 있어서, 서비스 제공 서버(300)의 판단부(350)는 전술한 S480 단계에서 사용자 자격 검증 절차의 실행 전 또는 실행 후에 전술한 S470 단계에서의 사용자 검증 요청에 포함되어 있는 검증 요청자 단말기(200)의 고유 식별자 정보와 서비스 제공 서버(300)에 기 등록되어 있는 검증 요청자 단말기(200)의 고유 식별자 정보의 일치 여부를 판단함으로써 검증 요청자 단말기(200)에 대한 인증 절차를 실행하고, 사용자 검증 요청에 포함되어 있는 검증 요청자의 분산 아이디(Decentralized Identifier: DID) 정보와 서비스 제공 서버(300)에 기 저장되어 있는 검증 요청자의 분산 아이디(Decentralized Identifier: DID) 정보를 비교함으로써 검증 요청자에 대한 인증 절차를 실행할 수 있을 것이다.
이와 같이 본 발명에 의하면, 사용자 단말기(100)는 사용자의 자격 증명 정보를 검증 요청자 단말기(200)로 직접 전송하지 않고, 자격 증명 정보를 암호화 처리하여 생성된 해쉬 함수값인 자격 증명 인덱스 정보를 QR 코드(10) 등의 소정 형태의 정보 코드를 통해 검증 요청자 단말기(200)로 제공함으로써 사용자의 자격 증명을 검증받을 수 있게 됨에 따라, 자격 증명 아이디(VC ID) 등과 같이 자격 증명 정보에 포함되어 있는 중요 정보의 외부 유출의 위험을 제거할 수 있게 된다.
아울러, 이와 같이 본 발명에 의하면, 자격 증명 인덱스 정보를 이용함으로써 사용자의 자격 증명 정보를 전송하지 않을 수 있게 됨에 따라, 사용자 자격 검증을 위한 데이터 전송 및 연산 부하를 낮출 수 있게 될 뿐만 아니라, QR 코드 방식 이외의 다양한 전송 방식을 활용할 수 있게 되며, 자격 증명 인덱스 정보에 기초하여 QR 코드를 생성하는 경우에는 검증 인식률을 높일 수 있게 된다.
한편, 본 발명을 실시함에 있어서, 이와 같이 사용자의 자격 증명에 대한 검증이 최종 완료되는 경우에 서비스 제공 서버(300)는 전술한 S440 단계에서의 맵핑 정보를 필요시 삭제 처리함으로써 이후 사용자의 개인 정보 유출의 가능성을 근본적으로 차단하는 한편, 상술한 바와 같은 사용자 자격 검증의 실행 이력을 퍼블릭 블록 체인의 형태로 등록 및 저장함으로써, 향후 감사를 위한 기록을 생성할 수 있을 것이다(S495).
아울러, 본 발명을 실시함에 있어서, 서비스 제공 서버(300)에서의 상기 각 정보들의 저장 및 처리가 블록 체인 기술을 통해 이루어지는 경우 전술한 S480 단계 및 S495 단계에서의 절차를 스마트 컨트랙트(Smart Contract) 기능을 통해 구현할 수 있을 것이다.
본 발명에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
이상에서는 본 발명의 바람직한 실시예 및 응용예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예 및 응용예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.
10: QR 코드, 100: 사용자 단말기,
200: 검증 요청자 단말기, 300: 서비스 제공 서버.
200: 검증 요청자 단말기, 300: 서비스 제공 서버.
Claims (4)
- (a) 서비스 제공 서버가, 사용자 단말기로부터 상기 사용자 단말기가 사용자의 자격 증명 정보에 기초하여 생성한 자격 증명 인덱스 정보를 수신하는 단계;
(b) 상기 서비스 제공 서버가, 상기 자격 증명 인덱스 정보를 상기 사용자의 자격 증명 정보에 맵핑 저장하는 단계;
(c) 상기 서비스 제공 서버가, 상기 사용자 단말기로부터 상기 자격 증명 인덱스 정보를 수신한 검증 요청자 단말기로부터 상기 자격 증명 인덱스 정보를 포함하는 사용자 검증 요청을 수신하는 단계; 및
(d) 상기 서비스 제공 서버가, 상기 자격 증명 인덱스 정보와 상기 사용자의 자격 증명 정보에 기초하여 상기 사용자의 자격을 검증하는 단계
를 포함하는 네트워크를 통한 사용자 자격 검증 방법.
- 제1항에 있어서,
상기 (d) 단계는,
(d1) 상기 서비스 제공 서버가, 기 저장된 상기 사용자의 자격 증명 인덱스 정보를 검색하는 단계; 및
(d2) 상기 서비스 제공 서버가, 검색된 상기 사용자의 자격 증명 인덱스 정보와 맵핑 저장되어 있는 상기 사용자의 자격 증명 정보를 검색하는 단계
를 포함하는 것인 네트워크를 통한 사용자 자격 검증 방법.
- 사용자 단말기로부터 상기 사용자 단말기가 사용자의 자격 증명 정보에 기초하여 생성한 자격 증명 인덱스 정보를 수신하는 수신부; 및
상기 자격 증명 인덱스 정보를 상기 사용자의 자격 증명 정보에 맵핑 저장하는 저장부
를 포함하며,
상기 수신부는, 상기 사용자 단말기로부터 상기 자격 증명 인덱스 정보를 수신한 검증 요청자 단말기로부터 상기 자격 증명 인덱스 정보를 포함하는 사용자 검증 요청을 수신하고,
상기 자격 증명 인덱스 정보와 상기 사용자의 자격 증명 정보에 기초하여 상기 사용자의 자격을 검증하는 판단부를 더 포함하는 서비스 제공 서버.
- 제3항에 있어서,
상기 판단부는,
기 저장된 상기 사용자의 자격 증명 인덱스 정보를 검색하고, 검색된 상기 사용자의 자격 증명 인덱스 정보와 맵핑 저장되어 있는 상기 사용자의 자격 증명 정보를 검색하는 것인 서비스 제공 서버.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210140835A KR102486585B1 (ko) | 2021-10-21 | 2021-10-21 | 네트워크를 통한 사용자 자격 검증 방법 및 이에 사용되는 서비스 제공 서버 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210140835A KR102486585B1 (ko) | 2021-10-21 | 2021-10-21 | 네트워크를 통한 사용자 자격 검증 방법 및 이에 사용되는 서비스 제공 서버 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102486585B1 true KR102486585B1 (ko) | 2023-01-09 |
Family
ID=84892814
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210140835A KR102486585B1 (ko) | 2021-10-21 | 2021-10-21 | 네트워크를 통한 사용자 자격 검증 방법 및 이에 사용되는 서비스 제공 서버 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102486585B1 (ko) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101071132B1 (ko) * | 2002-11-20 | 2011-10-10 | 마이크로소프트 코포레이션 | 클라이언트 컴퓨터 시스템에서 리소스에 액세스할 권한을 부여받는 데에 사용되는 클라이언트측 자격 증명서를 보증하는 방법, 사용자 자격 증명서를 보존하는 방법, 사용자 자격 증명서의 유효성을 결정하는 방법 및 컴퓨터 판독가능 기록 매체 |
| KR20140121583A (ko) * | 2013-04-08 | 2014-10-16 | 에스케이플래닛 주식회사 | 애플리케이션 자동검증 시스템 및 방법 |
| KR20150033053A (ko) * | 2013-09-23 | 2015-04-01 | 숭실대학교산학협력단 | 사용자 인증 방법 및 장치 |
| KR20190138389A (ko) * | 2018-06-05 | 2019-12-13 | 아이리텍 잉크 | 일회용 비밀번호를 적용한 신원관리가 포함된 블록체인 |
-
2021
- 2021-10-21 KR KR1020210140835A patent/KR102486585B1/ko active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101071132B1 (ko) * | 2002-11-20 | 2011-10-10 | 마이크로소프트 코포레이션 | 클라이언트 컴퓨터 시스템에서 리소스에 액세스할 권한을 부여받는 데에 사용되는 클라이언트측 자격 증명서를 보증하는 방법, 사용자 자격 증명서를 보존하는 방법, 사용자 자격 증명서의 유효성을 결정하는 방법 및 컴퓨터 판독가능 기록 매체 |
| KR20140121583A (ko) * | 2013-04-08 | 2014-10-16 | 에스케이플래닛 주식회사 | 애플리케이션 자동검증 시스템 및 방법 |
| KR20150033053A (ko) * | 2013-09-23 | 2015-04-01 | 숭실대학교산학협력단 | 사용자 인증 방법 및 장치 |
| KR20190138389A (ko) * | 2018-06-05 | 2019-12-13 | 아이리텍 잉크 | 일회용 비밀번호를 적용한 신원관리가 포함된 블록체인 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110692214B (zh) | 用于使用区块链的所有权验证的方法和*** | |
| US10681025B2 (en) | Systems and methods for securely managing biometric data | |
| CN110383757B (zh) | 用于安全处理电子身份的***和方法 | |
| CN108989346B (zh) | 基于账号隐匿的第三方有效身份托管敏捷认证访问方法 | |
| ES2951585T3 (es) | Autenticación de transacciones usando un identificador de dispositivo móvil | |
| US20190190723A1 (en) | Authentication system and method, and user equipment, authentication server, and service server for performing same method | |
| CN107181714B (zh) | 基于业务码的验证方法和装置、业务码的生成方法和装置 | |
| US20190251561A1 (en) | Verifying an association between a communication device and a user | |
| US10237072B2 (en) | Signatures for near field communications | |
| CN104662864A (zh) | 使用了移动认证应用的用户方便的认证方法和装置 | |
| KR101858653B1 (ko) | 블록체인 데이터베이스 및 이와 연동하는 머클 트리 구조를 통해 모바일 아이디를 이용하여 사용자를 인증하는 방법, 단말 및 이를 이용한 서버 | |
| EP3206329B1 (en) | Security check method, device, terminal and server | |
| KR20180013710A (ko) | 공개키 기반의 서비스 인증 방법 및 시스템 | |
| US20150188916A1 (en) | Vpn connection authentication system, user terminal, authentication server, biometric authentication result evidence information verification server, vpn connection server, and computer program product | |
| KR20180122843A (ko) | Qr코드 진본여부 검증 방법 및 시스템 | |
| CN110995661A (zh) | 一种网证平台 | |
| US10671718B2 (en) | System and method for authentication | |
| KR102486585B1 (ko) | 네트워크를 통한 사용자 자격 검증 방법 및 이에 사용되는 서비스 제공 서버 | |
| US20160342996A1 (en) | Two-factor authentication method | |
| KR20170042137A (ko) | 인증 서버 및 방법 | |
| CN115865495A (zh) | 数据传输控制方法、装置、电子设备和可读存储介质 | |
| CN105743883B (zh) | 一种网络应用的身份属性获取方法及装置 | |
| CN115086090A (zh) | 基于UKey的网络登录认证方法及装置 | |
| KR20190012026A (ko) | 로그인 인증 처리를 위한 시스템 및 방법 | |
| KR102160892B1 (ko) | 공개키 기반의 서비스 인증 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |