KR101651607B1 - One click log-in method using anonymous ID and system thereof - Google Patents
One click log-in method using anonymous ID and system thereof Download PDFInfo
- Publication number
- KR101651607B1 KR101651607B1 KR1020140060505A KR20140060505A KR101651607B1 KR 101651607 B1 KR101651607 B1 KR 101651607B1 KR 1020140060505 A KR1020140060505 A KR 1020140060505A KR 20140060505 A KR20140060505 A KR 20140060505A KR 101651607 B1 KR101651607 B1 KR 101651607B1
- Authority
- KR
- South Korea
- Prior art keywords
- user
- service server
- server
- random nonce
- affiliate service
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 발명은 온라인 웹사이트 등을 포함하는 다양한 서비스에서의 사용자 인증 방법 및 시스템에 관한 것이다. 본 발명은 (a) 사용자 단말기가 제휴 서비스 서버로 사용자 인증을 위한 정보를 요청하는 단계; (b) 사용자 인증 서버가 상기 제휴 서비스 서버로부터 상기 사용자에 대응하는 무작위 임시어(Nonce)를 요청받고, 이를 생성하여 상기 제휴 서비스 서버로 전달하는 단계; (c) 상기 사용자 단말기가 상기 제휴 서비스 서버로부터 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 인증 정보를 전달받는 단계; (d) 사용자가 사용자 인터페이스(User Interface)를 통하여 상기 제휴 서비스에서의 사용자 인증을 시도하면, 사용자 단말기가 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하는 단계; 및 (e) 사용자 인증 서버가 암호화되어 전달된 상기 인증 정보를 복호화하여 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 각 정보들을 산출한 후, 산출된 무작위 임시어(Nonce)가 상기 (b) 단계에서 생성한 무작위 임시어(Nonce)와 일치하는지 검증하고, 그 결과를 상기 제휴 서비스 서버로 전달하는 단계를 포함하는 것을 특징으로 하는 사용자 인증 방법을 개시한다.The present invention relates to a user authentication method and system in various services including an online web site and the like. (A) the user terminal requests information for user authentication with an affiliate service server; (b) receiving a random nonce corresponding to the user from the affiliate service server, generating and transmitting the generated random nonce to the affiliate service server; (c) receiving, by the user terminal, authentication information including the random nonce, identification information of the affiliate service server, and identification information of the user authentication server from the association service server; (d) when the user attempts to authenticate the user in the affiliate service through a user interface, the user terminal transmits the random nonce, identification information of the affiliate service server, and identification information of the user authentication server And transmitting the encrypted authentication information to the user authentication server; And (e) decrypting the authentication information transmitted by encrypting the user authentication server to calculate each piece of information including the random nonce and the identification information of the affiliate service server, and then calculating the random nonce ) Matches the random nonce that is generated in the step (b), and transmitting the result to the affiliate service server.
Description
본 발명은 온라인 웹사이트 등을 포함하는 다양한 서비스에서의 사용자 인증 방법 및 시스템에 관한 것으로서, 구체적으로는 사용자가 직접 아이디와 패스워드를 입력함이 없이 한번의 클릭만으로 익명의 아이디를 사용하여 온라인 웹사이트 등에서 사용자를 인증하는 방법 및 시스템에 관한 것이다.The present invention relates to a user authentication method and system in various services including an online web site, and more particularly, to a user authentication method and system in an online web site using an anonymous ID, And the like.
근래 통신 기술과 서비스가 지속적으로 발전하면서, 수많은 사용자들이 개인용 컴퓨터(PC) 혹은 스마트폰 등의 휴대용 단말기를 이용하여 다양한 서비스를 이용하고 있다. 예를 들어, 종래 사용자들은 개인용 컴퓨터(PC) 혹은 스마트폰을 이용하여 채팅 서비스를 이용하거나, 특정 웹 서비스를 이용하거나, 타 사용자와 이메일을 주고 받는 서비스를 이용하여 왔다.Recently, as communication technologies and services continue to evolve, a large number of users are using various services using portable terminals such as personal computers (PCs) or smart phones. For example, conventional users have used a chat service, a specific web service, or an e-mail exchange service with other users by using a personal computer (PC) or a smart phone.
이때, 사용자는 개인용 컴퓨터(PC) 혹은 스마트폰을 기반으로 동작하는 다양한 어플리케이션들을 이용하여 특정 통신 서비스를 이용하게 된다. 그런데 이 과정에서 사용자는 각각의 어플리케이션이 제공하는 특정 통신 서비스 이용을 위해서는 해당 어플리케이션 운용을 지원하는 서비스 장치와 인증 과정을 수행하여 정당한 사용자인지를 확인하고 이용 권한을 획득해야 한다. 이러한 인증 과정은 각 사용자들의 정상적인 통신 서비스 이용 및 보안을 위해서 필수적으로 거쳐야 하는 과정이라 할 수 있다.At this time, the user uses a specific communication service by using various applications operating on a personal computer (PC) or a smart phone. In this process, in order to utilize the specific communication service provided by each application, the user must perform an authentication process with a service device supporting application operation to confirm whether the user is a legitimate user and acquire a usage right. This authentication process is a necessary process for the normal use of the communication service and security of each user.
그런데, 이러한 사용자 인증 과정은 때로는 사용자에게 매우 큰 불편함을 주는 경우가 있다. 이를테면 사용자는 복수의 특정 어플리케이션 기반의 통신 서비스 이용을 위하여 각각의 서비스 장치와 인증 정보를 송수신하고 이를 인증받는 과정을 개별적으로 수행해야 하므로, 사용자가 불편한 인증 정보 입력 과정을 반복적으로 수행하여야 한다는 문제가 있었다.However, such a user authentication process sometimes causes a great inconvenience to the user. For example, a user must individually perform a process of transmitting / receiving authentication information to / from each service device for using a plurality of specific application-based communication services and performing authentication of the authentication information individually. Therefore, the user must repeatedly perform an inconvenient authentication information input process there was.
이에 대하여, 오픈 아이디/싱글 사인온(Open ID/SSO) 등을 이용하여 복수의 웹 사이트 등을 한번의 로그인 과정을 통하여 통합 로그인할 수 있도록 하는 방법이 시도되었다. 예를 들어 대한민국 공개특허 제 10-2010-0040413호(2010년 4월 20일 공개)에서는 오픈 아이디(Open ID)를 지원하는 단일 사용승인 아이디 인증 방법에 대하여 개시하고 있고, 도 1에서는 이에 따르는 오픈 아이디(Open ID)를 지원하는 단일 사용승인 아이디 인증 방법의 일실시예에 대한 흐름도를 보여주고 있다.On the other hand, a method has been attempted in which a plurality of websites can be logically integrated through one login process by using an open ID / single sign-on (Open ID / SSO). For example, Korean Patent Laid-Open No. 10-2010-0040413 (published on Apr. 20, 2010) discloses a single-use approval ID authentication method supporting OpenID, and in FIG. 1, FIG. 5 shows a flowchart of an embodiment of a single-use approval ID authentication method supporting an Open ID.
그러나, 상기한 오픈 아이디/싱글 사인온(Open ID/SSO) 등을 이용하는 로그인 방법에도 여전히 여러가지 문제점이 존재하게 된다. 예를 들어, 오픈 아이디/싱글 사인온(Open ID/SSO)은 모든 사이트/어플리케이션에 대하여 하나의 계정(ID)를 사용하게 됨으로써 각 사이트/어플리케이션에서 동일 사용자임이 쉽게 드러날 수 있어 익명성을 보장하기 어렵게 되고, 또한 최소한 한번의 계정(ID) 및 비밀번호(Password)를 입력하여야 하므로 키스트로킹(keystroking) 등의 해킹 위험성에 노출될 수 있으며, 특히 스마트폰 등을 사용하는 경우 텍스트 기반의 사용자 인증 방식은 사용자 인터페이스(User Interface) 측면에서 상당한 불편함을 초래하게 된다.However, there are still various problems in the login method using the open ID / single sign-on (Open ID / SSO). For example, OpenID / Single Sign-On (ID / SSO) uses one account (ID) for all sites / applications, which makes it easy to identify the same user in each site / application. And at least one account (ID) and password are required to be input, so that the user may be exposed to the risk of hacking such as keystroking. In particular, in the case of using a smart phone, Resulting in considerable inconvenience in terms of interface (User Interface).
이에 따라, 복수의 사이트/어플리케이션에서의 익명성을 보장할 수 있고, 텍스트 기반의 사용자 인증 절차에 따르는 키스트로킹(keystroking) 등의 해킹 위험을 방지할 수 있으며, 나아가 스마트폰 등을 사용하는 경우에도 간편하게 사용자 인증 절차를 수행할 수 있는 사용자 인터페이스를 제공하는 사용자 인증 방법 및 시스템이 요구되고 있으나, 아직 이에 대한 적절한 해결책이 제시되지 못하고 있는 실정이다.Accordingly, anonymity in a plurality of sites / applications can be ensured, and the risk of hacking such as keystroke by a text-based user authentication procedure can be prevented. Even in the case of using a smart phone or the like There is a need for a user authentication method and a system that provide a user interface for easily performing a user authentication procedure, but a proper solution has not been proposed yet.
본 발명은 상기와 같은 종래 기술의 문제점을 해결하기 위해 창안된 것으로, 복수의 사이트/어플리케이션에서의 익명성을 보장할 수 있고, 텍스트 기반의 사용자 인증 절차에 따르는 키스트로킹(keystroking) 등의 해킹 위험을 방지할 수 있으며, 나아가 스마트폰 등을 사용하는 경우에도 간편하게 사용자 인증 절차를 수행할 수 있는 사용자 인터페이스를 제공하는 사용자 인증 방법 및 시스템을 제공하는 것을 목적으로 한다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problems of the prior art, and it is an object of the present invention to provide a method and system for providing anonymity in a plurality of sites / applications and to provide a hacking risk such as keystroke And it is an object of the present invention to provide a user authentication method and system that can provide a user interface that can easily perform a user authentication procedure even when using a smart phone or the like.
상기 과제를 해결하기 위한 본 발명의 한 측면에 따른 사용자 인증 방법은 (a) 사용자 단말기가 제휴 서비스 서버로 서비스의 제공을 요청하는 단계; (b) 사용자 인증 서버가 상기 제휴 서비스 서버로부터 상기 사용자에 대응하는 무작위 임시어(Nonce)를 요청받고, 이를 생성하여 상기 제휴 서비스 서버로 전달하는 단계; (c) 상기 사용자 단말기가 상기 제휴 서비스 서버로부터 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 인증 정보를 전달받는 단계; (d) 사용자가 사용자 인터페이스(User Interface)를 통하여 상기 제휴 서비스에서의 사용자 인증을 시도하면, 사용자 단말기가 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하는 단계; 및 (e) 사용자 인증 서버가 암호화되어 전달된 상기 인증 정보를 복호화하여 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 각 정보들을 산출한 후, 산출된 무작위 임시어(Nonce)가 상기 (b) 단계에서 생성한 무작위 임시어(Nonce)와 일치하는지 검증하고, 그 결과를 상기 제휴 서비스 서버로 전달하는 단계를 포함하는 것을 특징으로 한다.According to an aspect of the present invention, there is provided a method for authenticating a user, the method comprising: (a) requesting a user terminal to provide a service to an affiliate service server; (b) receiving a random nonce corresponding to the user from the affiliate service server, generating and transmitting the generated random nonce to the affiliate service server; (c) receiving, by the user terminal, authentication information including the random nonce, identification information of the affiliate service server, and identification information of the user authentication server from the association service server; (d) when the user attempts to authenticate the user in the affiliate service through a user interface, the user terminal transmits the random nonce, identification information of the affiliate service server, and identification information of the user authentication server And transmitting the encrypted authentication information to the user authentication server; And (e) decrypting the authentication information transmitted by encrypting the user authentication server to calculate each piece of information including the random nonce and the identification information of the affiliate service server, and then calculating the random nonce ) Matches the random nonce generated in the step (b), and transmitting the result to the affiliate service server.
본 발명의 다른 측면에 따른 사용자 인증 방법은 (a) 사용자가 사용자 인터페이스(User Interface)를 통하여 제휴 서비스 서버에서 제공하는 소정의 서비스에서의 사용자 인증을 시도하면, 사용자 단말기가 상기 제휴 서비스 서버로 사용자 인증을 위한 정보를 요청하는 단계; (b) 사용자 인증 서버가 상기 제휴 서비스 서버로부터 상기 사용자에 대응하는 무작위 임시어(Nonce)를 요청받고, 이를 생성하여 상기 제휴 서비스 서버로 전달하는 단계; (c) 상기 사용자 단말기가 상기 제휴 서비스 서버로부터 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 일련의 정보를 전달받는 단계; (d) 사용자 단말기가 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하는 단계; 및 (e) 사용자 인증 서버가 암호화되어 전달된 상기 인증 정보를 복호화하여 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 각 정보들을 산출한 후, 산출된 무작위 임시어(Nonce)가 상기 (b) 단계에서 생성한 무작위 임시어(Nonce)와 일치하는지 검증하고, 그 결과를 상기 제휴 서비스 서버로 전달하는 단계를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a method of authenticating a user, comprising: (a) when a user attempts authentication of a user in a predetermined service provided by an affiliate service server through a user interface, Requesting information for authentication; (b) receiving a random nonce corresponding to the user from the affiliate service server, generating and transmitting the generated random nonce to the affiliate service server; (c) receiving, by the user terminal, a series of information including the random nonce, identification information of the affiliate service server, and identification information of the user authentication server from the affiliate service server; (d) encrypting authentication information including a random nonce, identification information of the affiliate service server, and identification information of the user authentication server, and transmitting the authentication information to the user authentication server; And (e) decrypting the authentication information transmitted by encrypting the user authentication server to calculate each piece of information including the random nonce and the identification information of the affiliate service server, and then calculating the random nonce ) Matches the random nonce generated in the step (b), and transmitting the result to the affiliate service server.
여기서, 사용자는 한번의 클릭 동작만을 통하여 상기 소정의 서비스에서의 사용자 인증을 시도할 수 있다.Here, the user can try to authenticate the user in the predetermined service through only one click operation.
또한, 상기 제휴 서비스 서버는 웹서버이고, 상기 사용자 단말기에서는 웹브라우저 프로그램이 구동되며, 이때 사용자가 상기 제휴 서비스 서버의 웹사이트에서의 사용자 인증을 위하여 마련된 소정의 버튼을 클릭하는 경우, 상기 사용자 단말기의 이미 구동되고 있던 또는 새롭게 구동되는 사용자 인증 어플리케이션이 사용자 인증 절차를 수행할 수 있다.In addition, when the affiliate service server is a web server, the web browser program is activated in the user terminal, and when the user clicks a predetermined button provided for user authentication on the web site of the affiliate service server, The already activated or newly activated user authentication application of the mobile terminal can perform the user authentication procedure.
또한, 상기 사용자 단말기는 수정된 자원위치지정자 구조(custom URL scheme)를 이용하여 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 전달받을 수 있다.Also, the user terminal can receive the random nonce, the identification information of the affiliate service server, and the identification information of the user authentication server using a modified resource location scheme (custom URL scheme).
또한, 상기 (e) 단계에 이어서, (f) 제휴 서비스 서버가 상기 사용자 인증 서버로부터 전달받은 검증 결과를 바탕으로 상기 사용자 단말기로 서비스를 제공하는 단계를 더 포함할 수 있다.In addition, the step (e) may further include the step of (f) providing the service to the user terminal based on the verification result received from the user authentication server by the affiliate service server.
또한, 상기 (d) 단계는, (d1) 상기 제휴 서비스 서버의 식별 정보와 소정의 비밀키(secret key)를 사용하고 해쉬 기반 메시지 인증 코드(HMAC)를 이용하여 제1 개인키(Private key)와 제1 공용키(Public key)를 생성하는 단계; (d2) 상기 무작위 임시어(Nonce)를 상기 제1 개인키(Private key)로 암호화하여 제1 전자서명을 생성하는 단계; 및 (d3) 상기 사용자 인증 서버의 식별 정보와 소정의 비밀키(secret key)를 사용하고 해쉬 기반 메시지 인증 코드(HMAC)를 이용하여 생성된 제2 개인키를 사용하여, 상기 제1 전자서명 및 제1 공용키를 묶은 하나의 데이터를 암호화하여 제2 전자서명을 생성하여 상기 사용자 인증 서버로 전달하는 단계를 포함할 수 있다.The step (d) may further comprise the steps of: (d1) using a first secret key and a first private key using a hash-based message authentication code (HMAC) And generating a first public key; (d2) encrypting the random nonce with the first private key to generate a first digital signature; And (d3) using the second private key generated using the hash-based message authentication code (HMAC) using the identification information of the user authentication server and a predetermined secret key, Encrypting one piece of data bundled with the first public key to generate a second digital signature and delivering the second digital signature to the user authentication server.
또한, 상기 (e) 단계는, (e1) 상기 사용자 인증 서버의 식별 정보와 소정의 비밀키(secret key)를 사용하고 해쉬 기반 메시지 인증 코드(HMAC)를 이용하여 생성되어, 사용자가 상기 사용자 인증 서버의 인증 서비스에 가입할 때 등록된 제2 공용키를 사용하여, 상기 사용자 인증 서버로 전달된 제2 전자서명을 복호화하여 제1 전자서명과 제1 공용키를 산출하는 단계; (e2) 상기 제1 공용키를 사용하여 상기 제1 전자서명을 복호화하여 무작위 임시어(Nonce)를 산출한 후, 이를 상기 (b) 단계에서 생성된 무작위 임시어(Nonce)와 비교하여 일치 여부를 검증하는 단계를 포함할 수 있다.The step (e) may further include: (e1) generating a hash-based message authentication code (HMAC) using the identification information of the user authentication server and a predetermined secret key, Decrypting a second digital signature transmitted to the user authentication server using the second public key registered when joining the authentication service of the server to calculate a first digital signature and a first public key; (e2) decrypting the first digital signature using the first public key to calculate a random nonce, and comparing the random nonce with the random nonce generated in step (b) . ≪ / RTI >
본 발명의 또 다른 측면에 따른 사용자 인증 시스템은, 제휴 서비스 서버로 사용자 인증을 위한 정보를 요청하고, 상기 제휴 서비스 서버로부터 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 사용자 인증 서버의 식별 정보를 포함하는 일련의 정보를 전달받은 후, 사용자가 사용자 인터페이스(User Interface)를 통하여 상기 제휴 서비스 서버에서 제공하는 소정의 서비스에서의 사용자 인증을 시도하는 경우, 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하는 사용자 단말기; 및 상기 제휴 서비스 서버로부터 상기 사용자에 대응하는 무작위 임시어(Nonce)를 요청받아, 이를 생성하여 상기 제휴 서비스 서버로 전달하며, 상기 사용자 단말기로부터 암호화되어 전달된 상기 인증 정보를 복호화하여 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 각 정보들을 산출한 후, 산출된 무작위 임시어(Nonce)가 상기 사용자 인증 서버가 생성한 무작위 임시어(Nonce)와 일치하는지 검증하고, 그 결과를 상기 제휴 서비스 서버로 전달하는 사용자 인증 서버를 포함하여 구성되는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a user authentication system, comprising: requesting information for user authentication with an affiliate service server, receiving a random nonce from the affiliate service server, identification information of the affiliate service server, When a user tries to authenticate a user in a predetermined service provided by the affiliate service server through a user interface after receiving a series of information including identification information, the random nonce, A user terminal for encrypting authentication information including identification information of the affiliate service server and identification information of the user authentication server and transmitting the encrypted authentication information to the user authentication server; And a random nonce corresponding to the user from the affiliate service server, generating and transmitting the random nonce to the affiliate service server, decrypting the authentication information encrypted and transmitted from the user terminal, And the identification information of the affiliate service server, and verifies whether the calculated random nonce corresponds to the random nonce generated by the user authentication server, And a user authentication server for transmitting a result to the affiliate service server.
본 발명의 또 다른 측면에 따른 사용자 인증 시스템은, 사용자가 사용자 인터페이스(User Interface)를 통하여 제휴 서비스 서버에서 제공하는 소정의 서비스에서의 사용자 인증을 시도하는 경우, 상기 제휴 서비스 서버로 사용자 인증을 위한 정보를 요청하고, 상기 제휴 서비스 서버로부터 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 사용자 인증 서버의 식별 정보를 포함하는 일련의 정보를 전달받은 후, 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하는 사용자 단말기; 및 상기 제휴 서비스 서버로부터 상기 사용자에 대응하는 무작위 임시어(Nonce)를 요청받아, 이를 생성하여 상기 제휴 서비스 서버로 전달하며, 상기 사용자 단말기로부터 암호화되어 전달된 상기 인증 정보를 복호화하여 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 각 정보들을 산출한 후, 산출된 무작위 임시어(Nonce)가 상기 사용자 인증 서버가 생성한 무작위 임시어(Nonce)와 일치하는지 검증하고, 그 결과를 상기 제휴 서비스 서버로 전달하는 사용자 인증 서버를 포함하여 구성되는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a user authentication system, wherein when a user tries to authenticate a user in a predetermined service provided by an affiliate service server through a user interface, And receives a series of information including a random nonce, identification information of the affiliate service server, and identification information of the user authentication server from the affiliate service server, and then transmits the random nonce, A user terminal for encrypting authentication information including identification information of the affiliate service server and transmitting the encrypted authentication information to the user authentication server; And a random nonce corresponding to the user from the affiliate service server, generating and transmitting the random nonce to the affiliate service server, decrypting the authentication information encrypted and transmitted from the user terminal, And the identification information of the affiliate service server, and verifies whether the calculated random nonce corresponds to the random nonce generated by the user authentication server, And a user authentication server for transmitting a result to the affiliate service server.
여기서, 상기 제휴 서비스 서버는 웹서버이고, 상기 사용자 단말기에서는 웹브라우저 프로그램이 구동되며, 이때 사용자가 상기 제휴 서비스 서버의 웹사이트에서의 사용자 인증을 위하여 마련된 소정의 버튼을 클릭하는 경우, 상기 사용자 단말기의 이미 구동되고 있던 또는 새롭게 구동되는 사용자 인증 어플리케이션이 사용자 인증 절차를 수행할 수 있다.Here, the affiliate service server is a web server, and a web browser program is activated in the user terminal. When the user clicks a predetermined button provided for user authentication on the web site of the affiliate service server, The already activated or newly activated user authentication application of the mobile terminal can perform the user authentication procedure.
또한, 상기 사용자 단말기가 상기 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달함에 있어, 상기 제휴 서비스 서버의 식별 정보와 소정의 비밀키(secret key)를 사용하고 해쉬 기반 메시지 인증 코드(HMAC)를 이용하여 제1 개인키(Private key)와 제1 공용키(Public key)를 생성하고, 상기 무작위 임시어(Nonce)를 상기 제1 개인키(Private key)로 암호화하여 제1 전자서명을 생성한 후, 상기 사용자 인증 서버의 식별 정보와 소정의 비밀키(secret key)를 사용하고 해쉬 기반 메시지 인증 코드(HMAC)를 이용하여 생성된 제2 개인키를 사용하여, 상기 제1 전자서명 및 제1 공용키를 묶은 하나의 데이터를 암호화하여 제2 전자서명을 생성하여 상기 사용자 인증 서버로 전달할 수 있다.In addition, when the user terminal encrypts the authentication information and transmits the encrypted authentication information to the user authentication server, the user terminal uses a hash-based message authentication code (HMAC) using a secret key and identification information of the affiliate service server Generates a first private key and a first public key, generates a first digital signature by encrypting the random nonce with the first private key, Using the second private key generated using a hash-based message authentication code (HMAC) using the identification information of the user authentication server and a predetermined secret key, the first digital signature and the first public key The second digital signature may be generated and transmitted to the user authentication server by encrypting one piece of data bundled with the key.
또한, 상기 사용자 인증 서버가 암호화되어 전달된 상기 인증 정보를 복호화함에 있어, 상기 사용자 인증 서버의 식별 정보와 소정의 비밀키(secret key)를 사용하고 해쉬 기반 메시지 인증 코드(HMAC)를 이용하여 생성되어, 사용자가 상기 사용자 인증 서버의 인증 서비스에 가입할 때 등록된 제2 공용키를 사용하여, 상기 사용자 인증 서버로 전달된 제2 전자서명을 복호화하여 제1 전자서명과 제1 공용키를 산출하고, 상기 제1 공용키를 사용하여 상기 제1 전자서명을 복호화하여 무작위 임시어(Nonce)를 산출할 수 있다.Also, in decrypting the authentication information transmitted by the user authentication server, the authentication information is generated using a hash-based message authentication code (HMAC) using the identification information of the user authentication server and a predetermined secret key, And decrypts the second digital signature transmitted to the user authentication server using the second public key registered when the user subscribes to the authentication service of the user authentication server to calculate the first digital signature and the first public key And decrypting the first digital signature using the first public key to calculate a random nonce.
본 발명의 또 다른 측면에 따른 사용자 단말기는, 제휴 서비스 서버로 사용자 인증을 위한 정보를 요청하고, 상기 제휴 서비스 서버로부터 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 사용자 인증 서버의 식별 정보를 포함하는 일련의 정보를 전달받은 후, 사용자가 사용자 인터페이스(User Interface)를 통하여 상기 제휴 서비스 서버에서 제공하는 소정의 서비스에서의 사용자 인증을 시도하는 경우, 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하는 것을 특징으로 하며, 이때 상기 사용자 인증 서버는, 상기 제휴 서비스 서버로부터 상기 사용자에 대응하는 무작위 임시어(Nonce)를 요청받아, 이를 생성하여 상기 제휴 서비스 서버로 전달하며, 상기 사용자 단말기로부터 암호화되어 전달된 상기 인증 정보를 복호화하여 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 각 정보들을 산출한 후, 산출된 무작위 임시어(Nonce)가 상기 사용자 인증 서버가 생성한 무작위 임시어(Nonce)와 일치하는지 검증하고, 그 결과를 상기 제휴 서비스 서버로 전달하는 서버인 것을 특징으로 한다.According to another aspect of the present invention, a user terminal requests information for user authentication with an affiliate service server, receives a random nonce from the affiliate service server, identification information of the affiliate service server, When a user tries to authenticate a user in a predetermined service provided by the affiliate service server through a user interface, the random nonce, the random nonce, Wherein the authentication server transmits the authentication information including the identification information of the affiliate service server and the identification information of the user authentication server to the user authentication server, A random nonce is generated and generated, Decrypts the authentication information encrypted and transmitted from the user terminal, calculates each information including the random nonce and the identification information of the affiliate service server, and transmits the random random number And verifies whether the nonce matches the random nonce generated by the user authentication server and transmits the result to the affiliate service server.
본 발명의 또 다른 측면에 따른 사용자 단말기는, 사용자가 사용자 인터페이스(User Interface)를 통하여 제휴 서비스 서버에서 제공하는 소정의 서비스에서의 사용자 인증을 시도하는 경우, 상기 제휴 서비스 서버로 사용자 인증을 위한 정보를 요청하고, 상기 제휴 서비스 서버로부터 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 사용자 인증 서버의 식별 정보를 포함하는 일련의 정보를 전달받은 후, 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하는 것을 특징으로 하며, 이때 상기 사용자 인증 서버는, 상기 제휴 서비스 서버로부터 상기 사용자에 대응하는 무작위 임시어(Nonce)를 요청받아, 이를 생성하여 상기 제휴 서비스 서버로 전달하며, 상기 사용자 단말기로부터 암호화되어 전달된 상기 인증 정보를 복호화하여 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 각 정보들을 산출한 후, 산출된 무작위 임시어(Nonce)가 상기 사용자 인증 서버가 생성한 무작위 임시어(Nonce)와 일치하는지 검증하고, 그 결과를 상기 제휴 서비스 서버로 전달하는 서버인 것을 특징으로 한다.According to another aspect of the present invention, there is provided a user terminal, which, when a user tries to authenticate a user in a predetermined service provided by an affiliate service server through a user interface, And receives a series of information including a random nonce, identification information of the affiliate service server, and identification information of the user authentication server from the affiliate service server, and then transmits the random nonce, Wherein the authentication server encrypts the authentication information including the identification information of the affiliate service server and transmits the encrypted authentication information to the user authentication server, wherein the user authentication server receives a random nonce corresponding to the user from the affiliate service server Receives the request, generates it, transfers it to the affiliate service server, Decrypts the authentication information encrypted and transmitted from the terminal, calculates each information including the random nonce and identification information of the affiliate service server, and then the calculated random nonce is transmitted to the user authentication server And transmits a result of the verification to the affiliate service server.
본 발명의 또 다른 측면에 따른 사용자 인증 서버는, 상기 제휴 서비스 서버로부터 상기 사용자에 대응하는 무작위 임시어(Nonce)를 요청받아, 이를 생성하여 상기 제휴 서비스 서버로 전달하며, 상기 사용자 단말기로부터 암호화되어 전달된 상기 인증 정보를 복호화하여 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 각 정보들을 산출한 후, 산출된 무작위 임시어(Nonce)가 상기 사용자 인증 서버가 생성한 무작위 임시어(Nonce)와 일치하는지 검증하고, 그 결과를 상기 제휴 서비스 서버로 전달하는 서버인 것을 특징으로 하며, 이때 상기 사용자 단말기는, 사용자가 사용자 인터페이스(User Interface)를 통하여 제휴 서비스 서버에서 제공하는 소정의 서비스에서의 사용자 인증을 시도하는 경우, 상기 제휴 서비스 서버로 사용자 인증을 위한 정보를 요청하고, 상기 제휴 서비스 서버로부터 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 사용자 인증 서버의 식별 정보를 포함하는 일련의 정보를 전달받은 후, 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하거나, 또는, 제휴 서비스 서버로 사용자 인증을 위한 정보를 요청하고, 상기 제휴 서비스 서버로부터 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 사용자 인증 서버의 식별 정보를 포함하는 일련의 정보를 전달받은 후, 사용자가 사용자 인터페이스(User Interface)를 통하여 상기 제휴 서비스 서버에서 제공하는 소정의 서비스에서의 사용자 인증을 시도하는 경우, 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하는 것을 특징으로 한다.A user authentication server according to another aspect of the present invention receives a request for a random nonce corresponding to the user from the affiliate service server, generates the random nonce, and transmits the nonce to the affiliate service server, Decrypting the received authentication information, calculating each piece of information including the random nonce and the identification information of the affiliate service server, and then calculating the random nonce according to the randomness generated by the user authentication server And the server transmits the result to the affiliate service server. In this case, the user terminal may be a server that verifies whether the user name matches with the nonce, When trying to authenticate a user in a predetermined service, And receives a series of information including a random nonce, identification information of the affiliate service server, and identification information of the user authentication server from the affiliate service server, and then transmits the random nonce ) And authentication information including the identification information of the affiliate service server, and transmits the authentication information to the user authentication server, or requests information for user authentication to the affiliate service server, and transmits a random non- ), The identification information of the affiliate service server, and the identification information of the user authentication server, and then transmits the user information to the user in the predetermined service provided by the affiliate service server through the user interface When attempting to authenticate, the random interceptor (Nonce), the expression of the affiliate service server Information, and to encrypt the authentication information including identification information of the user authentication server it is characterized in that transmission to the user authentication server.
본 발명에 따르면, 사용자가 한번의 클릭 동작만으로 사용자 인증 요청을 할 수 있고, 이에 대하여 제휴 서비스 제공자와 원클릭 사용자 인증 서버가 익명 아이디를 사용하여 사용자 인증을 수행하도록 함으로써, 복수의 사이트/어플리케이션에서의 익명성을 보장할 수 있고, 텍스트 기반의 사용자 인증 절차에 따르는 키스트로킹(keystroking) 등의 해킹 위험을 방지할 수 있으며, 나아가 스마트폰 등을 사용하는 경우에도 편리하게 사용자 인증 절차를 수행할 수 있는 사용자 인터페이스를 제공하는 사용자 인증 방법 및 시스템을 구현하는 효과를 갖는다.According to the present invention, a user can make a user authentication request with only one click operation, and the affiliate service provider and the one-click user authentication server perform user authentication using an anonymous ID, And it is possible to prevent the risk of hacking such as keystroke according to the text-based user authentication procedure. Further, even when using a smartphone or the like, the user authentication procedure can be conveniently performed And a user authentication method and system for providing a user interface with a user interface.
본 발명에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부도면은 본 발명에 대한 실시예를 제공하고, 상세한 설명과 함께 본 발명의 기술적 사상을 설명한다.
도 1은 종래 기술에 따른 오픈 아이디(Open ID)를 지원하는 단일 사용승인 아이디 인증 방법의 흐름도이다.
도 2는 종래 기술에 따른 텍스트 기반 로그인 사용자 인터페이스와 본 발명에 따른 원클릭 로그인 사용자 인터페이스의 비교도이다.
도 3은 본 발명의 일 실시예에 따른 익명 아이디를 사용하는 원클릭 사용자 인증 시스템의 구성 및 동작에 대한 설명도이다.
도 4는 본 발명의 일 실시예에 따른 익명 아이디를 사용하는 원클릭 사용자 인증 방법의 순서도이다.
도 5는 본 발명의 일 실시예에 따른 수정된 자원위치지정자 구조(custom URL scheme)의 예시도이다.
도 6은 본 발명의 일 실시예에 따른 원클릭 사용자 인증 방법에서의 인증 정보 암호화 및 복화화 과정에 대한 설명도이다.BRIEF DESCRIPTION OF THE DRAWINGS The accompanying drawings, which are included to provide a further understanding of the invention and are incorporated in and constitute a part of the specification, illustrate embodiments of the invention and, together with the description, serve to explain the principles of the invention.
1 is a flowchart of a single use approval ID authentication method supporting OpenID according to the prior art.
Figure 2 is a comparison of a text-based login user interface according to the prior art and a one-click login user interface according to the present invention.
3 is an explanatory diagram of a configuration and operation of a one-click user authentication system using an anonymous ID according to an embodiment of the present invention.
4 is a flowchart of a one-click user authentication method using an anonymous ID according to an embodiment of the present invention.
Figure 5 is an illustration of a modified custom URL scheme according to an embodiment of the present invention.
6 is an explanatory diagram of a process of encrypting and decrypting authentication information in the one-click user authentication method according to an embodiment of the present invention.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 이하에서는 특정 실시예들을 첨부된 도면을 기초로 상세히 설명하고자 한다.BRIEF DESCRIPTION OF THE DRAWINGS The present invention is capable of various modifications and various embodiments, and specific embodiments will be described in detail below with reference to the accompanying drawings.
본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되는 것은 아니며, 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.The terms first, second, etc. may be used to describe various components, but the components are not limited by the terms, and the terms are used only for the purpose of distinguishing one component from another Is used.
본 발명은, 종래 기술에 따라 오픈 아이디/싱글 사인온(Open ID/SSO) 등을 이용하는 통합 로그인 방법을 사용하는 경우 모든 사이트/어플리케이션에 대하여 하나의 계정(ID)를 사용하게 되어 각 사이트/어플리케이션에서 동일 사용자임이 쉽게 드러날 수 있어 익명성을 보장하기 어렵고, 또한 최소한 한번의 계정(ID) 및 비밀번호(Password)를 입력하여야 하므로 키스트로킹(keystroking) 등의 해킹 위험성에 노출될 수 있으며, 특히 스마트폰 등을 사용하는 경우 텍스트 기반의 사용자 인증 방식은 사용자 인터페이스(User Interface) 측면에서 상당한 불편함을 초래할 수 있다는 문제점에 착안하여, 사용자가 한번의 클릭 동작만으로 사용자 인증 요청을 할 수 있고, 이에 따라 제휴 서비스 제공자와 원클릭 사용자 인증 서버가 익명 아이디를 사용하여 사용자 인증을 수행하도록 함으로써, 복수의 사이트/어플리케이션에서의 익명성을 보장할 수 있고, 텍스트 기반의 사용자 인증 절차에 따르는 키스트로킹(keystroking) 등의 해킹 위험을 방지할 수 있으며, 나아가 스마트폰 등을 사용하는 경우에도 편리하게 사용자 인증 절차를 수행할 수 있는 사용자 인터페이스를 제공하는 사용자 인증 방법 및 시스템을 개시하는 것을 특징으로 한다.According to the present invention, when an integrated login method using OpenID / Single Sign-On is used according to the related art, one account (ID) is used for all sites / applications, It is difficult to guarantee anonymity because it can easily be revealed by the same user and it is required to input at least one account ID and password so that it can be exposed to the risk of hacking such as keystroking, , The text-based user authentication method may incur considerable inconvenience in terms of the user interface, so that the user can request the user authentication with only one click operation, Provider and one-click user authentication server perform user authentication with anonymous user ID It is possible to guarantee anonymity in a plurality of sites / applications and to prevent the risk of hacking such as keystroke according to a text-based user authentication procedure, and even when using a smart phone or the like And a user authentication method and system for providing a user interface capable of conveniently performing a user authentication procedure.
도 2에서는 종래 기술에 따른 텍스트 기반 로그인 사용자 인터페이스와 본 발명에 따른 원클릭 로그인 사용자 인터페이스의 비교도를 보여주고 있다. 도 2에서 볼 수 있는 바와 같이, 종래 기술에 따른 텍스트 기반 로그인 사용자 인터페이스(User Interface)의 경우 사용자가 계정(ID)와 비밀번호(Password)를 입력하여야 하는 불편함과 함께, 키스트로킹(keystroking) 등의 해킹 위험이 따르게 되지만, 본 발명에 따른 원클릭 로그인 사용자 인터페이스의 경우에는 스마트폰 등에서도 간편하게 한번의 클릭만으로 사용자 인증 절차를 수행할 수 있고, 사용자가 직접 계정(ID)와 비밀번호(Password)를 입력할 필요가 없어 키스트로킹(keystroking) 등의 해킹 위험을 방지할 수 있게 된다.FIG. 2 shows a comparison between a text-based login user interface according to the prior art and a one-click login user interface according to the present invention. 2, in the case of a text-based login user interface according to the related art, it is inconvenient for a user to input an account ID and a password, and in addition to keystroking However, in the case of the one-click login user interface according to the present invention, the user authentication procedure can be easily performed with a single click even in a smart phone or the like, and a user can directly access the account (ID) and password So that it is possible to prevent the risk of hacking such as keystroking.
예를 들어, 통상의 웹사이트나 게임, 스마트폰 어플리케이션 등에서 사용되고 있는 종래 기술에 따른 텍스트 기반 로그인 사용자 인터페이스를 본 발명에 따른 원클릭 로그인 사용자 인터페이스로 대체하거나, 양 사용자 인터페이스를 병렬적으로 구성할 수도 있다.For example, it is possible to replace the text-based login user interface according to the prior art used in a normal web site, a game, a smartphone application, etc. with a one-click login user interface according to the present invention, or to configure both user interfaces in parallel have.
도 3에서는 본 발명의 일 실시예에 따른 익명 아이디를 사용하는 원클릭 사용자 인증 시스템(300)의 구성 및 동작에 대한 설명도를 도시하고 있다. 도 3에서 볼 수 있는 바와 같이, 본 발명의 일 실시예에 따른 익명 아이디를 사용하는 원클릭 사용자 인증 시스템(300)은 사용자 단말기(310), 사용자 단말기로 소정의 서비스를 제공하는 제휴 서비스 서버(330) 및 상기 사용자 단말기(310)와 제휴 서비스 서버(320)와 연결되어 상기 사용자 단말기(310)에 대한 사용자 인증을 수행하는 사용자 인증 서버(320)를 포함하여 구성될 수 있다.FIG. 3 illustrates a configuration and operation of a one-click user authentication system 300 using an anonymous ID according to an embodiment of the present invention. 3, a one-click user authentication system 300 using an anonymous identity according to an exemplary embodiment of the present invention includes a
또한, 도 3에서 볼 수 있는 바와 같이, 본 발명의 일 실시예에 따른 익명 아이디를 사용하는 원클릭 사용자 인증 시스템(300)의 동작 원리를 웹 서비스의 경우를 예로 들어 간략하게 살펴보면 먼저 사용자 단말기(310)가 제휴 서비스 서버(330)로 사용자 인증을 위한 정보 요청에 대하여, ① 제휴 서비스 서버(330)가 사용자 단말기(310)로 HTTP 페이지의 전송 시에 수정된 자원위치지정자 구조(custom URL scheme)에 상기 사용자 인증을 위한 정보를 포함하는 방식으로 전달할 수 있고, ② 사용자가 웹사이트에 로그인하기 위하여 원클릭 로그인 사용자 인터페이스를 클릭하는 경우 ③ 사용자 단말기(310)상기 사용자 인증을 위한 정보를 암호화하여 사용자 인증 서버(320)로 전송하여 사용자 인증을 요청하고, ④ 사용자 인증 서버(320)는 상기 사용자 인증을 위한 정보를 복호화하여 사용자 인증을 수행한 후 인증 결과를 제휴 서비스 서버(330)로 전달하면, ⑤ 제휴 서비스 서버(330)는 그 인증 결과에 따라 사용자 단말기(310)로 적절한 서비스를 제공하게 된다.3, the principle of operation of the one-click user authentication system 300 using an anonymous ID according to an embodiment of the present invention will be briefly described as an example of a web service. As shown in FIG. 3, 310 sends a request for information for user authentication to the
도 4에서는 본 발명의 일 실시예에 따른 익명 아이디를 사용하는 원클릭 사용자 인증 방법의 순서도를 보여주고 있다. 아래에서는 웹 서비스에서 사용자 인증을 진행하는 경우에 대하여, 본 발명의 일 실시예에 따른 익명 아이디를 사용하는 원클릭 사용자 인증 방법을 도 4의 각 단계의 흐름에 따라 자세하게 살펴보도록 한다.FIG. 4 illustrates a flowchart of a one-click user authentication method using an anonymous ID according to an embodiment of the present invention. Hereinafter, in the case of performing the user authentication in the web service, a one-click user authentication method using an anonymous ID according to an embodiment of the present invention will be described in detail with reference to the flow of each step in Fig.
먼저, 사용자 단말기(310)의 웹 브라우저에서 특정 웹사이트를 구동하는 제휴 서비스 서버(330)로 HTTP(hyper text transfer protocol)를 통하여 웹페이지의 서비스를 요청(도 4의 ⓐ)하게 된다. 물론, 웹페이지의 서비스를 요청하는 경우 외에도, 소정의 게임의 구동을 요청하거나, 특정한 어플리케이션의 구동을 요청할 수도 있다. 경우에 따라서는 특정한 서비스의 요청이 아닌 사용자 단말기가 제휴 서비스 서버로 사용자 인증만을 요청하거나 이를 위한 정보만을 요청할 수도 있다.First, the web browser of the
상기 사용자 단말기(310)에서의 요청에 대하여, 제휴 서비스 서버(330)에서는 사용자 인증 서버(320)로 상기 사용자에 대응하는 무작위 임시어(Nonce)의 발급을 요청(도 4의 ⓑ)하게 되고, 이에 따라 상기 사용자 인증 서버(320)는 상기 제휴 서비스 서버(330)로 발급된 무작위 임시어(Nonce)를 전송(도 4의 ⓒ)하게 된다. 여기서, 제휴 서비스 서버(330)라 함은 상기 제휴 서비스 서버(330)와 사용자 인증 서버(320) 간에 사용자의 인증을 위하여 미리 정하여진 일련의 프로세스가 진행될 수 있도록 제휴 관계를 가진다는 것을 의미한다.In response to the request from the
다만, 상기한 바와 같이 제휴 관계를 가진다 하여 반드시 상기 사용자 인증 서버(320)와 상기 제휴 서비스 서버(330)가 독립되어 운영되어야 하는 것은 아니며, 양 서버가 하나의 운영 주체에 의하여 운영되거나 하나의 통합 서버에서 구동되더라도 본 발명의 일 실시예로서 포함될 수 있음은 자명하다.However, as described above, the
이어서, 상기 제휴 서비스 서버(330)는 상기 사용자 단말기(310)로 웹페이지의 서비스를 위한 정보를 전송(도 4의 ⓓ)하게 되는데, 여기에는 사용자 단말기(310)의 사용자 인증을 위한 정보가 포함될 수 있다. 예를 들어, 상기 사용자 인증을 위한 정보로서 상기 사용자에 대응하는 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보 등을 들 수 있다. 특히, HTTP(hyper text transfer protocol)를 통하여 웹페이지를 서비스하는 경우에는, 도 5에서 볼 수 있는 바와 같이, 수정된 자원위치지정자 구조(custom URL scheme)를 사용하여 상기 사용자에 대응하는 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 일련의 사용자 인증을 위한 정보를 전달할 수 있게 된다.Then, the
iOS/Android/Windows 등의 다양한 운영체제는 사용자가 정의한 구조의 자원위치지정자(URL) 즉 수정된 자원위치지정자 구조(custom URL scheme)을 처리할 수 있는 어플리케이션을 등록하여 사용할 수 있으므로, 이를 활용하면 도 5에서 볼 수 있는 바와 같이, 상기 사용자에 대응하는 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보 등을 포함하는 일련의 사용자 인증을 위한 정보들을 웹페이지 정보와 함께 전달할 수 있게 된다.Various operating systems such as iOS / Android / Windows can register and use an application capable of processing a resource locator (URL) of a structure defined by a user, that is, a modified URL locator structure. 5, the information for a series of user authentication including the random nonce corresponding to the user, the identification information of the affiliate service server, and the identification information of the user authentication server, As shown in FIG.
도 5에서 볼 수 있는 바와 같이, 본 발명의 일 실시예에 따른 원클릭 사용자 인증 방법에 수정된 자원위치지정자 구조(custom URL scheme)를 적용하면, 로그인을 위하여 임의로 정의된 수정된 자원위치지정자(custom URL)임을 나타내어 주는 구조 정의(scheme) 부분(도 5의 ⓐ Scheme), 사용자 인증 서버(320)의 식별 정보 부분(도 5의 ⓑ Host), 사용자 인증 서버(320)에 전달되어 인증에 사용되는 제휴 서비스 서버(330)의 식별 정보 및 상기 사용자에 대응하는 무작위 임시어(Nonce) 정보(도 5의 ⓒ Query)를 포함하는 질의어 부분을 포함하는 방식으로 일련의 사용자 인증을 위한 정보들을 포함하는 수정된 자원위치지정자 구조(custom URL scheme)를 구성하여 간편하게 정보를 전달할 수 있게 된다.As shown in FIG. 5, when a modified custom URL scheme is applied to the one-click user authentication method according to an embodiment of the present invention, a modified resource locator customized URL), an identification information part of the user authentication server 320 (b. Host in Fig. 5), and a
이어서, 사용자가 상기 제휴 서비스 서버(330)의 웹사이트에서의 사용자 인증을 위하여 마련된 소정의 버튼을 클릭하는 경우, 웹브라우저는 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버(330)의 식별 정보 및 상기 사용자 인증 서버(320)의 식별 정보를 포함하는 인증 정보를 상기 사용자 단말기(310)에서 이미 구동되고 있던 또는 새롭게 구동되는 사용자 인증 어플리케이션으로 전달(도 4의ⓔ)하게 된다.Then, when the user clicks a predetermined button provided for user authentication on the web site of the
나아가, 앞서 살핀 일련의 단계를 수정하여, 먼저 사용자가 웹페이지 등에 사용자 인증을 위하여 마련된 소정의 버튼을 클릭하는 등 사용자 인터페이스(User Interface)를 통하여 제휴 서비스 서버(330)에서 제공하는 소정의 서비스에서의 사용자 인증을 시도한 후에야, 사용자 단말기(310)가 상기 제휴 서비스 서버(330)로 웹페이지의 서비스를 요청하거나 사용자 인증을 위한 정보를 요청하는 절차를 개시하도록 할 수도 있다.In addition, a series of the above steps may be modified so that a predetermined service provided by the
다음으로, 상기 사용자 인증 어플리케이션에서는 상기 인증 정보를 암호화하여 상기 사용자 인증 서버(320)로 전달(도 4의ⓕ)하게 된다. 도 6에서는 본 발명의 일 실시예에 따른 원클릭 사용자 인증 방법에서의 인증 정보 암호화 및 복화화 과정을 설명하고 있다. 도 6에서 볼 수 있는 바와 같이, 먼저 상기 제휴 서비스 서버(330)의 식별 정보와 소정의 비밀키(secret key)를 사용하고 해쉬 기반 메시지 인증 코드(HMAC)를 이용하여 제1 개인키(Private key)와 제1 공용키(Public key)를 생성하고, 상기 무작위 임시어(Nonce)를 상기 제1 개인키(Private key)로 암호화하여 제1 전자서명을 생성한다.Next, the user authentication application encrypts the authentication information and transfers it to the user authentication server 320 (see FIG. 4). FIG. 6 illustrates a process of encrypting and decrypting authentication information in the one-click user authentication method according to an embodiment of the present invention. As shown in FIG. 6, first, a first private key (private key) is generated using a hash-based message authentication code (HMAC) by using the identification information of the
이어서, 상기 사용자 인증 서버(320)의 식별 정보와 소정의 비밀키(secret key)를 사용하고 해쉬 기반 메시지 인증 코드(HMAC)를 이용하여 생성된 제2 개인키를 사용하여, 상기 제1 전자서명 및 제1 공용키를 묶은 하나의 데이터를 암호화하여 제2 전자서명을 생성하고, 이를 상기 사용자 인증 서버(320)로 전송하게 된다.Then, using the second private key generated using the hash-based message authentication code (HMAC) using the identification information of the
사용자 인증 서버(320)에서는 암호화되어 전달된 인증 정보를 복호화하여 무작위 임시어(Nonce)를 산출하고, 이를 앞서 사용자 인증 서버(320)에서 생성하였던 무작위 임시어(Nonce)와 비교하여 일치 여부를 검증하여 제휴 서비스 서버(330)로 검증 결과를 전송(도 4의 ⓖ)하게 된다.The
이때 상기 암호화된 인증 정보를 복호화하기 위해서는, 상기 사용자 인증 서버(320)의 식별 정보와 소정의 비밀키(secret key)를 사용하고 해쉬 기반 메시지 인증 코드(HMAC)를 이용하여 생성되어, 사용자가 상기 사용자 인증 서버(320)의 인증 서비스에 가입할 때 등록된 제2 공용키를 사용하여, 상기 사용자 인증 서버(320)로 전달된 제2 전자서명을 복호화하여 제1 전자서명과 제1 공용키를 산출하게 된다.At this time, in order to decrypt the encrypted authentication information, a secret key is generated using a hash-based message authentication code (HMAC) using the identification information of the
이어서, 상기 제휴 서비스 서버(330)에서는 상기 사용자 인증 서버(320)로부터 사용자 인증의 결과를 전달받아, 그 인증 여부에 따라 적절한 서비스를 사용자 단말기(310)로 제공(도 4의 ⓗ)하게 된다.Then, the
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The foregoing description is merely illustrative of the technical idea of the present invention, and various changes and modifications may be made by those skilled in the art without departing from the essential characteristics of the present invention. Therefore, the embodiments described in the present invention are not intended to limit the technical spirit of the present invention but to illustrate the present invention. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas within the scope of equivalents thereof should be construed as being included in the scope of the present invention.
300 : 원클릭 사용자 인증 시스템
310 : 사용자 단말기
320 : 사용자 인증 서버
330 : 제휴 서비스 서버300: One-click user authentication system
310: User terminal
320: user authentication server
330: Affiliate Services Server
Claims (16)
(b) 사용자 인증 서버가 상기 제휴 서비스 서버로부터 상기 사용자에 대응하는 무작위 임시어(Nonce)를 요청받고, 이를 생성하여 상기 제휴 서비스 서버로 전달하는 단계;
(c) 상기 사용자 단말기가 상기 제휴 서비스 서버로부터 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 인증 정보를 전달받는 단계;
(d) 사용자가 사용자 인터페이스(User Interface)를 통하여 상기 제휴 서비스에서의 사용자 인증을 시도하면, 사용자 단말기가 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하는 단계; 및
(e) 사용자 인증 서버가 암호화되어 전달된 상기 인증 정보를 복호화하여 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 각 정보들을 산출한 후, 산출된 무작위 임시어(Nonce)가 상기 (b) 단계에서 생성한 무작위 임시어(Nonce)와 일치하는지 검증하고, 그 결과를 상기 제휴 서비스 서버로 전달하는 단계를 포함하는 것을 특징으로 하는 사용자 인증 방법.(a) requesting a user terminal to provide a predetermined service to an affiliate service server;
(b) receiving a random nonce corresponding to the user from the affiliate service server, generating and transmitting the generated random nonce to the affiliate service server;
(c) receiving, by the user terminal, authentication information including the random nonce, identification information of the affiliate service server, and identification information of the user authentication server from the association service server;
(d) when the user attempts to authenticate the user in the affiliate service through a user interface, the user terminal transmits the random nonce, identification information of the affiliate service server, and identification information of the user authentication server And transmitting the encrypted authentication information to the user authentication server; And
(e) decrypting the authentication information encrypted and transmitted by the user authentication server to calculate each piece of information including the random nonce and the identification information of the affiliate service server, and then calculating the calculated random nonce, Verifying whether the random nonce matches the random nonce generated in step (b), and transmitting the result to the affiliate service server.
(b) 사용자 인증 서버가 상기 제휴 서비스 서버로부터 상기 사용자에 대응하는 무작위 임시어(Nonce)를 요청받고, 이를 생성하여 상기 제휴 서비스 서버로 전달하는 단계;
(c) 상기 사용자 단말기가 상기 제휴 서비스 서버로부터 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 일련의 정보를 전달받는 단계;
(d) 사용자 단말기가 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하는 단계; 및
(e) 사용자 인증 서버가 암호화되어 전달된 상기 인증 정보를 복호화하여 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 각 정보들을 산출한 후, 산출된 무작위 임시어(Nonce)가 상기 (b) 단계에서 생성한 무작위 임시어(Nonce)와 일치하는지 검증하고, 그 결과를 상기 제휴 서비스 서버로 전달하는 단계를 포함하는 것을 특징으로 하는 사용자 인증 방법.(a) the user terminal requests information for user authentication to the affiliate service server, when the user tries to authenticate the user in a predetermined service provided by the affiliate service server through a user interface;
(b) receiving a random nonce corresponding to the user from the affiliate service server, generating and transmitting the generated random nonce to the affiliate service server;
(c) receiving, by the user terminal, a series of information including the random nonce, identification information of the affiliate service server, and identification information of the user authentication server from the affiliate service server;
(d) encrypting authentication information including a random nonce, identification information of the affiliate service server, and identification information of the user authentication server, and transmitting the authentication information to the user authentication server; And
(e) decrypting the authentication information encrypted and transmitted by the user authentication server to calculate each piece of information including the random nonce and the identification information of the affiliate service server, and then calculating the calculated random nonce, Verifying whether the random nonce matches the random nonce generated in step (b), and transmitting the result to the affiliate service server.
사용자가 한번의 클릭 동작만을 통하여 상기 소정의 서비스에서의 사용자 인증을 시도하는 것을 특징으로 하는 사용자 인증 방법.3. The method according to any one of claims 1 to 3,
Wherein the user attempts to authenticate the user in the predetermined service only through a single click operation.
상기 제휴 서비스 서버는 웹서버이고,
상기 사용자 단말기에서는 웹브라우저 프로그램이 구동되며,
이때 사용자가 상기 제휴 서비스 서버의 웹사이트에서의 사용자 인증을 위하여 마련된 소정의 버튼을 클릭하는 경우,
상기 사용자 단말기의 이미 구동되고 있던 또는 새롭게 구동되는 사용자 인증 어플리케이션이 사용자 인증 절차를 수행하는 것을 특징으로 하는 사용자 인증 방법.The method of claim 3,
Wherein the affiliate service server is a web server,
A web browser program is executed in the user terminal,
If the user clicks a predetermined button for user authentication on the web site of the affiliate service server,
Wherein the already authenticated user or the newly activated user authentication application of the user terminal performs the user authentication procedure.
상기 (c) 단계에 있어,
상기 사용자 단말기는 수정된 자원위치지정자 구조(custom URL scheme)를 이용하여 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 전달받는 것을 특징으로 하는 사용자 인증 방법.5. The method of claim 4,
In the step (c)
Wherein the user terminal receives the random nonce, the identification information of the affiliate service server, and the identification information of the user authentication server using a modified resource location scheme (custom URL scheme) Way.
상기 (e) 단계에 이어서,
(f) 제휴 서비스 서버가 상기 사용자 인증 서버로부터 전달받은 검증 결과를 바탕으로 상기 사용자 단말기로 서비스를 제공하는 단계를 더 포함하는 것을 특징으로 하는 사용자 인증 방법.3. The method according to any one of claims 1 to 3,
Following step (e) above,
(f) providing the service to the user terminal based on the verification result received from the user authentication server by the affiliate service server.
상기 (d) 단계는,
(d1) 상기 제휴 서비스 서버의 식별 정보와 소정의 비밀키(secret key)를 사용하고 해쉬 기반 메시지 인증 코드(HMAC)를 이용하여 제1 개인키(Private key)와 제1 공용키(Public key)를 생성하는 단계;
(d2) 상기 무작위 임시어(Nonce)를 상기 제1 개인키(Private key)로 암호화하여 제1 전자서명을 생성하는 단계; 및
(d3) 상기 사용자 인증 서버의 식별 정보와 소정의 비밀키(secret key)를 사용하고 해쉬 기반 메시지 인증 코드(HMAC)를 이용하여 생성된 제2 개인키를 사용하여,
상기 제1 전자서명 및 제1 공용키를 묶은 하나의 데이터를 암호화하여 제2 전자서명을 생성하고, 이를 상기 사용자 인증 서버로 전달하는 단계를 포함하는 것을 특징으로 하는 사용자 인증 방법.3. The method according to any one of claims 1 to 3,
The step (d)
(d1) a first private key and a first public key using a hash-based message authentication code (HMAC) using the identification information of the affiliate service server and a predetermined secret key, ≪ / RTI >
(d2) encrypting the random nonce with the first private key to generate a first digital signature; And
(d3) using a second private key generated using a hash-based message authentication code (HMAC) using the identification information of the user authentication server and a predetermined secret key,
Encrypting one of the first and second public keys to generate a second digital signature, and transmitting the second digital signature to the user authentication server.
상기 (e) 단계는,
(e1) 상기 사용자 인증 서버의 식별 정보와 소정의 비밀키(secret key)를 사용하고 해쉬 기반 메시지 인증 코드(HMAC)를 이용하여 생성된 제2 공용키로서, 사용자가 상기 사용자 인증 서버의 인증 서비스에 가입할 때 등록된 상기 제2 공용키를 사용하여,
상기 사용자 인증 서버로 전달된 제2 전자서명을 복호화하여 제1 전자서명과 제1 공용키를 산출하는 단계;
(e2) 상기 제1 공용키를 사용하여 상기 제1 전자서명을 복호화하여 무작위 임시어(Nonce)를 산출한 후, 이를 상기 (b) 단계에서 생성된 무작위 임시어(Nonce)와 비교하여 일치 여부를 검증하는 단계를 포함하는 것을 특징으로 하는 사용자 인증 방법.8. The method of claim 7,
The step (e)
(e1) a second public key generated using a hash-based message authentication code (HMAC) using the identification information of the user authentication server and a predetermined secret key, Using the registered second public key,
Decrypting a second digital signature transmitted to the user authentication server to calculate a first digital signature and a first public key;
(e2) decrypting the first digital signature using the first public key to calculate a random nonce, and comparing the random nonce with the random nonce generated in step (b) And verifying the user authentication information.
상기 제휴 서비스 서버로부터 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 사용자 인증 서버의 식별 정보를 포함하는 일련의 정보를 전달받은 후,
사용자가 사용자 인터페이스(User Interface)를 통하여 상기 제휴 서비스 서버에서 제공하는 소정의 서비스에서의 사용자 인증을 시도하는 경우, 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하는 사용자 단말기; 및
상기 제휴 서비스 서버로부터 상기 사용자에 대응하는 무작위 임시어(Nonce)를 요청받아, 이를 생성하여 상기 제휴 서비스 서버로 전달하며,
상기 사용자 단말기로부터 암호화되어 전달된 상기 인증 정보를 복호화하여 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 각 정보들을 산출한 후, 산출된 무작위 임시어(Nonce)가 상기 사용자 인증 서버가 생성한 무작위 임시어(Nonce)와 일치하는지 검증하고, 그 결과를 상기 제휴 서비스 서버로 전달하는 사용자 인증 서버를 포함하여 구성되는 것을 특징으로 하는 사용자 인증 시스템.Requesting information for user authentication with the affiliate service server,
Receiving a series of information including a random nonce, identification information of the affiliate service server, and identification information of the user authentication server from the affiliate service server,
When a user attempts to authenticate a user in a predetermined service provided by the affiliate service server through a user interface, the random nonce, the identification information of the affiliate service server, A user terminal for encrypting authentication information including identification information and transmitting the encrypted authentication information to the user authentication server; And
Receives a random nonce corresponding to the user from the affiliate service server, generates a random nonce, and transmits the random nonce to the affiliate service server,
Decrypts the authentication information encrypted and transmitted from the user terminal, calculates each information including the random nonce and the identification information of the affiliate service server, and then the calculated random nonce is transmitted to the user And a user authentication server for verifying whether the received authentication information matches a random nonce generated by the authentication server and transmitting the result to the affiliate service server.
상기 제휴 서비스 서버로부터 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 사용자 인증 서버의 식별 정보를 포함하는 일련의 정보를 전달받은 후,
상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하는 사용자 단말기; 및
상기 제휴 서비스 서버로부터 상기 사용자에 대응하는 무작위 임시어(Nonce)를 요청받아, 이를 생성하여 상기 제휴 서비스 서버로 전달하며,
상기 사용자 단말기로부터 암호화되어 전달된 상기 인증 정보를 복호화하여 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 각 정보들을 산출한 후, 산출된 무작위 임시어(Nonce)가 상기 사용자 인증 서버가 생성한 무작위 임시어(Nonce)와 일치하는지 검증하고, 그 결과를 상기 제휴 서비스 서버로 전달하는 사용자 인증 서버를 포함하여 구성되는 것을 특징으로 하는 사용자 인증 시스템.When a user tries to authenticate a user in a predetermined service provided by an affiliate service server through a user interface, requests information for user authentication with the affiliate service server,
Receiving a series of information including a random nonce, identification information of the affiliate service server, and identification information of the user authentication server from the affiliate service server,
A user terminal for encrypting authentication information including the random nonce and identification information of the affiliate service server and transmitting the encrypted authentication information to the user authentication server; And
Receives a random nonce corresponding to the user from the affiliate service server, generates a random nonce, and transmits the random nonce to the affiliate service server,
Decrypts the authentication information encrypted and transmitted from the user terminal, calculates each information including the random nonce and the identification information of the affiliate service server, and then the calculated random nonce is transmitted to the user And a user authentication server for verifying whether the received authentication information matches a random nonce generated by the authentication server and transmitting the result to the affiliate service server.
상기 제휴 서비스 서버는 웹서버이고,
상기 사용자 단말기에서는 웹브라우저 프로그램이 구동되며,
이때 사용자가 상기 제휴 서비스 서버의 웹사이트에서의 사용자 인증을 위하여 마련된 소정의 버튼을 클릭하는 경우,
상기 사용자 단말기의 이미 구동되고 있던 또는 새롭게 구동되는 사용자 인증 어플리케이션이 사용자 인증 절차를 수행하는 것을 특징으로 하는 것을 특징으로 하는 사용자 인증 시스템.11. The method according to any one of claims 9 to 10,
Wherein the affiliate service server is a web server,
A web browser program is executed in the user terminal,
If the user clicks a predetermined button for user authentication on the web site of the affiliate service server,
Wherein the already authenticated user or the newly activated user authentication application of the user terminal performs the user authentication procedure.
상기 사용자 단말기가 상기 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달함에 있어,
상기 제휴 서비스 서버의 식별 정보와 소정의 비밀키(secret key)를 사용하고 해쉬 기반 메시지 인증 코드(HMAC)를 이용하여 제1 개인키(Private key)와 제1 공용키(Public key)를 생성하고,
상기 무작위 임시어(Nonce)를 상기 제1 개인키(Private key)로 암호화하여 제1 전자서명을 생성한 후,
상기 사용자 인증 서버의 식별 정보와 소정의 비밀키(secret key)를 사용하고 해쉬 기반 메시지 인증 코드(HMAC)를 이용하여 생성된 제2 개인키를 사용하여, 상기 제1 전자서명 및 제1 공용키를 묶은 하나의 데이터를 암호화하여 제2 전자서명을 생성하고, 이를 상기 사용자 인증 서버로 전달하는 것을 특징으로 하는 사용자 인증 시스템.11. The method according to any one of claims 9 to 10,
When the user terminal encrypts the authentication information and transmits the encrypted authentication information to the user authentication server,
A first private key and a first public key are generated using a hash-based message authentication code (HMAC) using the identification information of the affiliate service server and a predetermined secret key ,
Encrypting the random nonce with the first private key to generate a first digital signature,
Using the second private key generated using the hash-based message authentication code (HMAC) using the identification information of the user authentication server and a predetermined secret key, the first digital signature and the first public key And generates a second digital signature, and transmits the second digital signature to the user authentication server.
상기 사용자 인증 서버가 암호화되어 전달된 상기 인증 정보를 복호화함에 있어,
상기 사용자 인증 서버의 식별 정보와 소정의 비밀키(secret key)를 사용하고 해쉬 기반 메시지 인증 코드(HMAC)를 이용하여 생성된 제2 공용키로서, 사용자가 상기 사용자 인증 서버의 인증 서비스에 가입할 때 등록된 상기 제2 공용키를 사용하여,
상기 사용자 인증 서버로 전달된 제2 전자서명을 복호화하여 제1 전자서명과 제1 공용키를 산출하고,
상기 제1 공용키를 사용하여 상기 제1 전자서명을 복호화하여 무작위 임시어(Nonce)를 산출하는 것을 특징으로 하는 사용자 인증 시스템.13. The method of claim 12,
In decrypting the authentication information encrypted and transmitted by the user authentication server,
A second public key generated using a hash-based message authentication code (HMAC) using a predetermined secret key and identification information of the user authentication server, Using the second public key registered when the second public key is registered,
Decrypting the second digital signature transmitted to the user authentication server to calculate a first digital signature and a first public key,
And a random nonce is calculated by decrypting the first digital signature using the first public key.
제휴 서비스 서버로 사용자 인증을 위한 정보를 요청하고,
상기 제휴 서비스 서버로부터 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 사용자 인증 서버의 식별 정보를 포함하는 일련의 정보를 전달받은 후,
사용자가 사용자 인터페이스(User Interface)를 통하여 상기 제휴 서비스 서버에서 제공하는 소정의 서비스에서의 사용자 인증을 시도하는 경우, 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하는 것을 특징으로 하며,
이때 상기 사용자 인증 서버는,
상기 제휴 서비스 서버로부터 상기 사용자에 대응하는 무작위 임시어(Nonce)를 요청받아, 이를 생성하여 상기 제휴 서비스 서버로 전달하며,
상기 사용자 단말기로부터 암호화되어 전달된 상기 인증 정보를 복호화하여 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 각 정보들을 산출한 후, 산출된 무작위 임시어(Nonce)가 상기 사용자 인증 서버가 생성한 무작위 임시어(Nonce)와 일치하는지 검증하고, 그 결과를 상기 제휴 서비스 서버로 전달하는 서버인 것을 특징으로 하는 사용자 단말기.In a user terminal,
Requesting information for user authentication with the affiliate service server,
Receiving a series of information including a random nonce, identification information of the affiliate service server, and identification information of the user authentication server from the affiliate service server,
When a user attempts to authenticate a user in a predetermined service provided by the affiliate service server through a user interface, the random nonce, the identification information of the affiliate service server, Encrypts the authentication information including the identification information, and transmits the encrypted authentication information to the user authentication server.
At this time,
Receives a random nonce corresponding to the user from the affiliate service server, generates a random nonce, and transmits the random nonce to the affiliate service server,
Decrypts the authentication information encrypted and transmitted from the user terminal, calculates each information including the random nonce and the identification information of the affiliate service server, and then the calculated random nonce is transmitted to the user Wherein the authentication server is a server that verifies whether the random nonce matches a random nonce generated by the authentication server and transmits the result to the affiliate service server.
사용자가 사용자 인터페이스(User Interface)를 통하여 제휴 서비스 서버에서 제공하는 소정의 서비스에서의 사용자 인증을 시도하는 경우, 상기 제휴 서비스 서버로 사용자 인증을 위한 정보를 요청하고,
상기 제휴 서비스 서버로부터 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 사용자 인증 서버의 식별 정보를 포함하는 일련의 정보를 전달받은 후,
상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하는 것을 특징으로 하며,
이때 상기 사용자 인증 서버는,
상기 제휴 서비스 서버로부터 상기 사용자에 대응하는 무작위 임시어(Nonce)를 요청받아, 이를 생성하여 상기 제휴 서비스 서버로 전달하며,
상기 사용자 단말기로부터 암호화되어 전달된 상기 인증 정보를 복호화하여 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 각 정보들을 산출한 후, 산출된 무작위 임시어(Nonce)가 상기 사용자 인증 서버가 생성한 무작위 임시어(Nonce)와 일치하는지 검증하고, 그 결과를 상기 제휴 서비스 서버로 전달하는 서버인 것을 특징으로 하는 사용자 단말기.In a user terminal,
When a user tries to authenticate a user in a predetermined service provided by an affiliate service server through a user interface, requests information for user authentication with the affiliate service server,
Receiving a series of information including a random nonce, identification information of the affiliate service server, and identification information of the user authentication server from the affiliate service server,
Encrypting authentication information including the random nonce and identification information of the affiliate service server and transmitting the encrypted authentication information to the user authentication server,
At this time,
Receives a random nonce corresponding to the user from the affiliate service server, generates a random nonce, and transmits the random nonce to the affiliate service server,
Decrypts the authentication information encrypted and transmitted from the user terminal, calculates each information including the random nonce and the identification information of the affiliate service server, and then the calculated random nonce is transmitted to the user Wherein the authentication server is a server that verifies whether the random nonce matches a random nonce generated by the authentication server and transmits the result to the affiliate service server.
제휴 서비스 서버로부터 사용자에 대응하는 무작위 임시어(Nonce)를 요청받아, 이를 생성하여 상기 제휴 서비스 서버로 전달하며,
상기 사용자의 단말로부터 암호화되어 전달된 인증 정보를 복호화하여 상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 정보들을 산출한 후, 산출된 무작위 임시어(Nonce)가 상기 사용자 인증 서버가 생성한 무작위 임시어(Nonce)와 일치하는지 검증하고, 그 결과를 상기 제휴 서비스 서버로 전달하는 서버인 것을 특징으로 하며,
이때 상기 사용자의 단말은,
사용자가 사용자 인터페이스(User Interface)를 통하여 제휴 서비스 서버에서 제공하는 소정의 서비스에서의 사용자 인증을 시도하는 경우, 상기 제휴 서비스 서버로 사용자 인증을 위한 정보를 요청하고,
상기 제휴 서비스 서버로부터 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 사용자 인증 서버의 식별 정보를 포함하는 일련의 정보를 전달받은 후,
상기 무작위 임시어(Nonce)와 상기 제휴 서비스 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하거나,
또는,
제휴 서비스 서버로 사용자 인증을 위한 정보를 요청하고,
상기 제휴 서비스 서버로부터 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 사용자 인증 서버의 식별 정보를 포함하는 일련의 정보를 전달받은 후,
사용자가 사용자 인터페이스(User Interface)를 통하여 상기 제휴 서비스 서버에서 제공하는 소정의 서비스에서의 사용자 인증을 시도하는 경우, 상기 무작위 임시어(Nonce), 상기 제휴 서비스 서버의 식별 정보 및 상기 사용자 인증 서버의 식별 정보를 포함하는 인증 정보를 암호화하여 상기 사용자 인증 서버로 전달하는 것을 특징으로 하는 사용자 인증 서버.In the user authentication server,
Receives a random nonce corresponding to the user from the affiliate service server, generates a random nonce, and transmits it to the affiliate service server,
Decrypting the encrypted authentication information transmitted from the user terminal to calculate information including the random nonce and the identification information of the affiliate service server, and then the calculated random nonce is transmitted to the user authentication Verifies whether or not the random nonce matches a random nonce generated by the server, and transmits the result to the affiliate service server.
At this time,
When a user tries to authenticate a user in a predetermined service provided by an affiliate service server through a user interface, requests information for user authentication with the affiliate service server,
Receiving a series of information including a random nonce, identification information of the affiliate service server, and identification information of the user authentication server from the affiliate service server,
Encrypting authentication information including the random nonce and identification information of the affiliate service server and transmitting the encrypted authentication information to the user authentication server,
or,
Requesting information for user authentication with the affiliate service server,
Receiving a series of information including a random nonce, identification information of the affiliate service server, and identification information of the user authentication server from the affiliate service server,
When a user attempts to authenticate a user in a predetermined service provided by the affiliate service server through a user interface, the random nonce, the identification information of the affiliate service server, And encrypts the authentication information including the identification information and delivers the encrypted authentication information to the user authentication server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140060505A KR101651607B1 (en) | 2014-05-20 | 2014-05-20 | One click log-in method using anonymous ID and system thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140060505A KR101651607B1 (en) | 2014-05-20 | 2014-05-20 | One click log-in method using anonymous ID and system thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20150133938A KR20150133938A (en) | 2015-12-01 |
KR101651607B1 true KR101651607B1 (en) | 2016-09-06 |
Family
ID=54882454
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140060505A KR101651607B1 (en) | 2014-05-20 | 2014-05-20 | One click log-in method using anonymous ID and system thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101651607B1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180013710A (en) * | 2016-07-28 | 2018-02-07 | (주)이스톰 | Public key infrastructure based service authentication method and system |
KR101985179B1 (en) * | 2017-12-26 | 2019-09-03 | 상명대학교 천안산학협력단 | Blockchain based id as a service |
US12095753B2 (en) | 2021-04-08 | 2024-09-17 | Akamai Technologies, Inc. | End-to-end verifiable multi-factor authentication service |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100962399B1 (en) * | 2007-08-24 | 2010-06-11 | 한국전자통신연구원 | Method for providing anonymous public key infrastructure and method for providing service using the same |
KR101060734B1 (en) * | 2008-12-16 | 2011-08-31 | 한국전자통신연구원 | User Information Protection Method using Anonymous ID and Web Service System with User Information Protection Function |
-
2014
- 2014-05-20 KR KR1020140060505A patent/KR101651607B1/en active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
KR20150133938A (en) | 2015-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3420677B1 (en) | System and method for service assisted mobile pairing of password-less computer login | |
US10348715B2 (en) | Computer-implemented systems and methods of device based, internet-centric, authentication | |
US9231925B1 (en) | Network authentication method for secure electronic transactions | |
US9838205B2 (en) | Network authentication method for secure electronic transactions | |
US9185096B2 (en) | Identity verification | |
US9871791B2 (en) | Multi factor user authentication on multiple devices | |
US9191394B2 (en) | Protecting user credentials from a computing device | |
US8606234B2 (en) | Methods and apparatus for provisioning devices with secrets | |
US8532620B2 (en) | Trusted mobile device based security | |
KR101381789B1 (en) | Method for web service user authentication | |
US10356079B2 (en) | System and method for a single sign on connection in a zero-knowledge vault architecture | |
US10645077B2 (en) | System and method for securing offline usage of a certificate by OTP system | |
US20180062863A1 (en) | Method and system for facilitating authentication | |
CN112425114A (en) | Password manager protected by public-private key pair | |
US9332011B2 (en) | Secure authentication system with automatic cancellation of fraudulent operations | |
KR101651607B1 (en) | One click log-in method using anonymous ID and system thereof | |
KR102171377B1 (en) | Method of login control | |
JP2023532976A (en) | Method and system for verification of user identity | |
KR100993333B1 (en) | Method for enrollment and authentication using private internet access devices and system | |
Xu et al. | Qrtoken: Unifying authentication framework to protect user online identity | |
Batyuk et al. | Multi-device key management using visual side channels in pervasive computing environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20190731 Year of fee payment: 4 |