[go: up one dir, main page]

KR20250099091A - Cross authentication method and system between online service server and client - Google Patents

Cross authentication method and system between online service server and client Download PDF

Info

Publication number
KR20250099091A
KR20250099091A KR1020250082501A KR20250082501A KR20250099091A KR 20250099091 A KR20250099091 A KR 20250099091A KR 1020250082501 A KR1020250082501 A KR 1020250082501A KR 20250082501 A KR20250082501 A KR 20250082501A KR 20250099091 A KR20250099091 A KR 20250099091A
Authority
KR
South Korea
Prior art keywords
authentication
server
user
authentication number
online service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
KR1020250082501A
Other languages
Korean (ko)
Inventor
우종현
김기성
Original Assignee
(주)이스톰
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이스톰 filed Critical (주)이스톰
Priority to KR1020250082501A priority Critical patent/KR20250099091A/en
Publication of KR20250099091A publication Critical patent/KR20250099091A/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • Technology Law (AREA)
  • General Business, Economics & Management (AREA)
  • Development Economics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Information Transfer Between Computers (AREA)
  • Software Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

온라인 서비스 서버와 서비스 사용자 간의 상호 인증을 수행하는 컴퓨터 구현 방법(computer implemented method)으로서, (a) 인증 서버가, 상기 온라인 서버로부터 상기 온라인 서버에 접속하는 서비스 사용자의 사용자 계정 정보를 포함하는 간편 인증번호 생성 요청이 수신됨에 따라 간편 인증번호를 생성하는 단계; (b) 상기 인증 서버가, 상기 간편 인증번호의 생성에 사용된 생성 조건을 상기 사용자 계정 정보에 상응하는 사용자의 간편 인증기로 전송하는 단계; (c) 상기 간편 인증기가, 상기 간편 인증번호의 생성 조건을 이용하여 상기 간편 인증번호에 대응되는 검증용 인증번호를 생성하는 단계; 및 (d) 상기 인증 서버가, 상기 간편 인증번호 및 상기 검증용 인증번호를 통한 상기 온라인 서비스 서버에 관한 검증이 완료됨에 따라 상기 간편 인증기로부터 전달되는 추가 검증값에 대응하여 대응 검증값을 생성하고, 상기 추가 검증값과 상기 대응 검증값 간의 일치 여부를 비교함으로써 해당 서비스 사용자에 대한 인증을 수행하는 단계를 포함하는 상호 인증을 위한 컴퓨터 구현 방법이 제공된다.A computer implemented method for performing mutual authentication between an online service server and a service user is provided, comprising: (a) a step for an authentication server to generate a simple authentication number when a request for generating a simple authentication number including user account information of a service user accessing the online server is received from the online server; (b) a step for the authentication server to transmit a generation condition used for generating the simple authentication number to a simple authenticator of the user corresponding to the user account information; (c) a step for the simple authenticator to generate a verification authentication number corresponding to the simple authentication number using the generation condition of the simple authentication number; and (d) a step for the authentication server to generate a corresponding verification value corresponding to an additional verification value transmitted from the simple authenticator when verification of the online service server using the simple authentication number and the verification authentication number is completed, and to perform authentication of the corresponding service user by comparing whether the additional verification value matches the corresponding verification value.

Description

온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템{CROSS AUTHENTICATION METHOD AND SYSTEM BETWEEN ONLINE SERVICE SERVER AND CLIENT}CROSS AUTHENTICATION METHOD AND SYSTEM BETWEEN ONLINE SERVICE SERVER AND CLIENT

본 발명은 인증 방법 및 시스템에 관한 것으로서, 보다 구체적으로는 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템에 관한 것이다.The present invention relates to an authentication method and system, and more specifically, to a mutual authentication method and system between an online service server and a client.

편리한 전자 금융 서비스나 중요한 온라인 서비스를 안전하게 활용하고자 할 때 온라인 서비스에서 사용되는 아이디와 암호 이외에 별도의 인증 방법을 구성하여 사용자 인증에 대한 안전성을 높이고 있다. 대표적으로 OTP 동글, SMS를 통한 일회용 비밀번호, ARS를 통한 일회용 비밀번호, 모바일 앱(Mobile App) 기반 본인 생체인증 등을 활용하여 아이디 패스워드 도용에 따른 본인 인증을 강화하고 있다.When you want to safely use convenient electronic financial services or important online services, you can enhance the security of user authentication by configuring a separate authentication method in addition to the ID and password used in online services. Representative examples include OTP dongles, one-time passwords via SMS, one-time passwords via ARS, and mobile app-based biometric authentication, thereby strengthening user authentication against ID and password theft.

그러나 종래 추가 인증 수단들은 온라인 서비스와 인증 매체 간에 발생한 일회용 비밀번호를 사용자가 직접 입력하게 하거나, 별도의 생체 정보를 입력하는 등과 같이 사용자의 번잡한 입력을 요구하게 된다. 특히 모바일 폰으로 4~6자리의 임시 비밀번호를 재입력해야 되면, 모바일 폰 화면을 통해 확인되는 번호를 숙지하기도 어려울 뿐만 아니라 입력하기도 번잡하다.However, existing additional authentication methods require cumbersome input from users, such as having users directly enter a one-time password generated between the online service and the authentication medium, or entering separate biometric information. In particular, if a 4-6 digit temporary password must be re-entered on a mobile phone, it is not only difficult to memorize the number confirmed on the mobile phone screen, but also cumbersome to enter.

이러한 임시 비밀번호의 입력을 없애기 위해서 사용자가 서비스에 아이디와 패스워드로 로그 온하면 푸시 정보를 모바일 폰에 보내고, 사용자가 본인 확인 인증 앱을 구동하면 본인의 생체정보(지문, 얼굴, 홍채 등)를 모바일 앱에 입력하도록 함으로써, 본인이 맞으면 자동으로 온라인 서비스를 로그인 해주는 서비스가 있는데, 이 역시 생체정보를 입력하기 위한 번잡함이 발생한다.In order to eliminate the need to enter such temporary passwords, there is a service that sends push information to the mobile phone when the user logs on to the service with an ID and password, and when the user runs an authentication app, enters his/her biometric information (fingerprints, face, iris, etc.) into the mobile app, automatically logs the user into the online service if it is his/her real name. However, this also causes the hassle of entering biometric information.

또 다른 간편 인증 방식으로는 사용자의 입력을 최소화 시키고자 사전에 사용자의 지정된 모바일 폰에 접속 승인 여부를 결정하는 접속 제어 앱을 설치한 상태에서, 사용자가 온라인 서비스에 아이디와 패스워드를 입력하면 모바일 푸시 메시지로 사용자 접속을 알려주고, 사용자가 접속 승인 앱을 구동하면 온라인 서비스의 접속 여부를 승인하거나 거절하는 접속 확인 방식도 있었다. 그러나 이 방식은 사용자가 접속한 서비스가 파밍(pharming)된 해커의 사이트인 경우, 사용자가 입력한 아이디와 패스워드를 해커가 역이용하여 실제 온라인 서비스에 전송하면 사용자는 자신의 모바일 폰에 접속 확인 요청이 왔을 때 본인의 접속으로 오해하고 해당 접속을 승인해주게 되는 문제가 발생하게 된다. 뿐만 아니라 사용자의 아이디와 패스워드를 알고 있는 해커가 실제 사용자가 접속하자 마자, 해당 사용자의 아이디와 패스워드로 접속을 하게 되면 사용자는 자신의 스마트폰에 도착한 최종 접속 내용을 자신의 것으로 오해하고 해당 접속을 승인하게 해줄 수도 있다.Another simple authentication method is to install an access control app on the user's designated mobile phone in advance to determine whether to approve access, and then when the user enters his/her ID and password in an online service, a mobile push message is sent to notify the user of the access, and when the user runs the access approval app, the access confirmation method approves or rejects the access to the online service. However, this method has a problem in that if the service the user has accessed is a pharmed hacker's site, the hacker may use the ID and password entered by the user to send it to the actual online service, and the user may misunderstand the request for access confirmation to his/her mobile phone and approve the access. In addition, if a hacker who knows the user's ID and password accesses the user's ID and password as soon as the actual user accesses, the user may misunderstand the final access information that arrived on his/her smartphone as his/her own and approve the access.

따라서 사용자가 임시 비밀번호를 재입력하는 번잡함이 없으면서도, 해당 사이트가 정상인지 인지를 판단할 수도 있고, 자신의 접속인지 아닌지까지 확인할 수 있는 개선된 방법과 기술이 필요하다.Therefore, improved methods and technologies are needed that can determine whether a site is legitimate and confirm whether it is theirs, without the hassle of users having to re-enter temporary passwords.

본 발명은 온라인 서비스의 안전한 사용을 위해 2팩트 인증(즉, 서비스 인증 및 사용자 인증에 따른 상호 간 인증)을 수행할 때, 별도의 일회용 암호나 생체 정보를 입력하지 않고도 올바른 서비스인지에 대해서 사용자가 확인한 후 편리하게 접속이 진행될 수 있도록 하는 간편 인증을 위한 방법 및 시스템을 제공한다.The present invention provides a method and system for simple authentication that allows a user to conveniently proceed with connection after confirming whether the service is correct without having to input a separate one-time password or biometric information when performing two-factor authentication (i.e., mutual authentication according to service authentication and user authentication) for safe use of an online service.

본 발명의 일 측면에 따르면, 온라인 서비스 서버와 서비스 사용자 간의 상호 인증을 수행하는 컴퓨터 구현 방법(computer implemented method)으로서, (a) 인증 서버가, 상기 온라인 서버로부터 상기 온라인 서버에 접속하는 서비스 사용자의 사용자 계정 정보를 포함하는 간편 인증번호 생성 요청이 수신됨에 따라 간편 인증번호를 생성하는 단계; (b) 상기 인증 서버가, 상기 간편 인증번호의 생성에 사용된 생성 조건을 상기 사용자 계정 정보에 상응하는 사용자의 간편 인증기로 전송하는 단계; (c) 상기 간편 인증기가, 상기 간편 인증번호의 생성 조건을 이용하여 상기 간편 인증번호에 대응되는 검증용 인증번호를 생성하는 단계; 및 (d) 상기 인증 서버가, 상기 간편 인증번호 및 상기 검증용 인증번호를 통한 상기 온라인 서비스 서버에 관한 검증이 완료됨에 따라 상기 간편 인증기로부터 전달되는 추가 검증값에 대응하여 대응 검증값을 생성하고, 상기 추가 검증값과 상기 대응 검증값 간의 일치 여부를 비교함으로써 해당 서비스 사용자에 대한 인증을 수행하는 단계를 포함하는 상호 인증을 위한 컴퓨터 구현 방법이 제공된다.According to one aspect of the present invention, a computer implemented method for performing mutual authentication between an online service server and a service user is provided, comprising: (a) a step in which an authentication server generates a simple authentication number when a request for generating a simple authentication number including user account information of a service user accessing the online server is received from the online server; (b) a step in which the authentication server transmits a generation condition used for generating the simple authentication number to a simple authenticator of the user corresponding to the user account information; (c) a step in which the simple authenticator generates a verification authentication number corresponding to the simple authentication number using the generation condition of the simple authentication number; and (d) a step in which the authentication server generates a corresponding verification value corresponding to an additional verification value transmitted from the simple authenticator when verification of the online service server using the simple authentication number and the verification authentication number is completed, and performs authentication of the corresponding service user by comparing whether the additional verification value matches the corresponding verification value.

일 실시예에서, 상기 간편 인증번호 생성 요청은, 상기 서비스 사용자가 상기 온라인 서비스 서버가 제공하는 온라인 사이트에 입력한 상기 사용자 계정 정보가 사전 등록된 해당 사용자의 계정 정보와 일치하는 경우, 상기 온라인 서비스 서버로부터 상기 인증 서버로 전송될 수 있다.In one embodiment, the request for generating the simple authentication number may be transmitted from the online service server to the authentication server when the user account information entered by the service user into the online site provided by the online service server matches the account information of the user that has been pre-registered.

일 실시예에서, 상기 (b) 단계에서, 상기 간편 인증번호의 생성 조건은 푸시 메시지 또는 소켓 데이터 통신을 통해서 상기 인증 서버로부터 상기 사용자 계정 정보에 상응하는 사용자의 모바일 기기 또는 해당 모바일 기기에 설치된 상기 간편 인증기로 전송될 수 있다.In one embodiment, in step (b), the conditions for generating the simple authentication number may be transmitted from the authentication server to the user's mobile device corresponding to the user account information or the simple authenticator installed in the mobile device via a push message or socket data communication.

일 실시예에서, 상기 단계 (a)에서, 상기 인증 서버는, 상기 온라인 서비스 서버로부터 상기 온라인 서비스 서버에 접속한 해당 서비스 사용자의 접속단말에 대한 클라이언트 접속환경정보를 더 수신하되, 상기 간편 인증번호를 생성할 때 상기 클라이언트 접속정보를 이용하고, 상기 단계 (b)에서, 상기 인증 서버는, 상기 클라이언트 접속환경정보를 포함하는 상기 간편 인증번호의 생성 조건을 상기 간편 인증기로 전송할 수 있다.In one embodiment, in the step (a), the authentication server further receives client connection environment information about a connection terminal of a corresponding service user who has connected to the online service server from the online service server, and uses the client connection information when generating the simple authentication number, and in the step (b), the authentication server can transmit a generation condition of the simple authentication number including the client connection environment information to the simple authenticator.

일 실시예에서, 상기 클라이언트 접속환경정보는, 상기 온라인 서비스 서버에 접속한 접속단말과 관련된 서버 변수, 호스트 네임, 쿠키 정보, 이전 URL, 현재 접속 IP 주소, 한 단계 앞의 접속 IP 주소, 클라이언트 브라우저 정보, 클라이언트 언어 정보, 접속단말의 시스템 변수, 접속단말에 서비스를 제공하는 온라인 서비스 서버의 서버 호스트명, 서버 IP 주소, 세션 아이디, 세션 최대 유효시간 정보 중 적어도 하나일 수 있다.In one embodiment, the client connection environment information may be at least one of a server variable related to a connection terminal connected to the online service server, a host name, cookie information, a previous URL, a current connection IP address, a previous connection IP address, client browser information, client language information, a system variable of the connection terminal, a server host name of an online service server providing a service to the connection terminal, a server IP address, a session ID, and session maximum validity time information.

일 실시예에서, 상기 단계 (a)에서, 상기 인증 서버는, 상기 클라이언트 접속환경정보를 제1 시드값, 사전 지정된 적어도 하나의 추가 정보를 제2 시드값으로 하되 시간 또는 시도횟수를 연산 조건으로 하여 상기 간편 인증번호를 생성하고, 동일 생성 조건을 적용하여 상기 검증용 인증번호를 생성할 수 있다.In one embodiment, in the step (a), the authentication server may generate the simple authentication number using the client connection environment information as a first seed value and at least one pre-designated additional information as a second seed value, and using time or the number of attempts as an operation condition, and may generate the verification authentication number by applying the same generation condition.

일 실시예에서, 상기 간편 인증번호 및 상기 검증용 인증번호를 통해서 상기 온라인 서비스 서버에 관한 검증이 완료된 경우, 상기 간편 인증기는, 사전 지정된 조건에 따라 상기 추가 검증값을 생성하여 상기 인증 서버로 전송하고, 상기 인증 서버는 상기 사전 지정된 조건과 동일 조건을 적용하여 상기 대응 검증값을 생성하고, 상기 추가 검증값과 상기 대응 검증값이 일치하는 경우 상기 온라인 서비스 서버로 정상 인증을 통지할 수 있다.In one embodiment, when verification of the online service server is completed through the simple authentication number and the verification authentication number, the simple authenticator generates the additional verification value according to a pre-specified condition and transmits it to the authentication server, and the authentication server generates the corresponding verification value by applying the same condition as the pre-specified condition, and when the additional verification value and the corresponding verification value match, the online service server can notify normal authentication.

일 실시예에서, 상기 인증 서버가, 상기 간편 인증번호가 상기 온라인 서비스 서버에 의해 제공되는 인증번호 게시 화면을 통해 게시되도록 상기 간편 인증번호를 상기 온라인 서비스 서버로 전송하는 단계를 더 포함하고, In one embodiment, the authentication server further includes a step of transmitting the simple authentication number to the online service server so that the simple authentication number is posted through an authentication number posting screen provided by the online service server,

상기 인증번호 게시 화면을 통한 상기 간편 인증번호의 검증 유효시간이 경과되기 전 또는 상기 서비스 사용자에 의한 상기 온라인 서비스 서버에 관한 검증이 완료되기 전에, 상기 서비스 사용자의 사용자 계정 정보와 동일한 계정 정보를 이용한 후순위의 접속이 시도된 경우,If a subsequent access attempt is made using the same account information as the user account information of the service user before the verification validity period of the simple authentication number through the authentication number posting screen has expired or before the verification of the online service server by the service user is completed,

상기 인증 서버는, 상기 간편 인증번호의 검증 유효시간 동안 또는 상기 온라인 서비스 서버에 관한 검증이 완료되기 전까지, 선순위 접속에 따라 생성된 간편 인증번호를 그대로 유지하거나 또는 후순위 접속에 따른 간편 인증번호의 신규 생성을 금지할 수 있다.The above authentication server may maintain the simple authentication number generated for a first-priority connection as is or prohibit the creation of a new simple authentication number for a second-priority connection during the verification validity period of the simple authentication number or until verification of the online service server is completed.

본 발명의 다른 측면에 따르면, 온라인 서비스 서버와 서비스 사용자 간의 상호 인증을 수행하는 인증 시스템으로서, 인증 서버; 및 상기 인증 서버와 통신하는 서비스 사용자 측의 간편 인증기를 포함하되, 상기 인증 서버는, 상기 온라인 서버로부터 상기 온라인 서버에 접속하는 서비스 사용자의 사용자 계정 정보를 포함하는 간편 인증번호 생성 요청이 수신됨에 따라 간편 인증번호를 생성하고, 상기 간편 인증번호의 검증을 위한 검증용 인증번호가 생성될 수 있도록 상기 간편 인증번호의 생성에 사용된 생성 조건을 상기 사용자 계정 정보에 상응하는 상기 간편 인증기로 전송하며, 상기 간편 인증번호 및 상기 검증용 인증번호를 통한 상기 온라인 서비스 서버에 관한 검증이 완료됨에 따라 상기 간편 인증기로부터 전달되는 추가 검증값에 대응하여 대응 검증값을 생성하고, 상기 추가 검증값과 상기 대응 검증값 간의 일치 여부를 비교함으로써 해당 서비스 사용자에 대한 인증을 수행하는, 상호 인증을 위한 인증 시스템이 제공된다.According to another aspect of the present invention, there is provided an authentication system for performing mutual authentication between an online service server and a service user, comprising: an authentication server; and a simple authenticator on the service user side communicating with the authentication server, wherein the authentication server generates a simple authentication number when a request for generating a simple authentication number including user account information of a service user accessing the online server is received from the online server, and transmits a generation condition used for generating the simple authentication number to the simple authenticator corresponding to the user account information so that a verification authentication number for verification of the simple authentication number can be generated, and generates a corresponding verification value in response to an additional verification value transmitted from the simple authenticator when verification of the online service server using the simple authentication number and the verification authentication number is completed, and performs authentication of the corresponding service user by comparing whether the additional verification value and the corresponding verification value match.

일 실시예에서, 상기 인증 서버는, 상기 온라인 서비스 서버로부터 상기 온라인 서비스 서버에 접속한 해당 서비스 사용자의 접속단말에 대한 클라이언트 접속환경정보를 더 수신하되, 상기 간편 인증번호를 생성할 때 상기 클라이언트 접속정보를 이용하고, 상기 클라이언트 접속환경정보를 포함하는 상기 간편 인증번호의 생성 조건을 상기 간편 인증기로 전송할 수 있다.In one embodiment, the authentication server may further receive client connection environment information for a connection terminal of a corresponding service user who has connected to the online service server from the online service server, use the client connection information when generating the simple authentication number, and transmit a generation condition of the simple authentication number including the client connection environment information to the simple authenticator.

일 실시예에서, 상기 클라이언트 접속환경정보는, 상기 온라인 서비스 서버에 접속한 접속단말과 관련된 서버 변수, 호스트 네임, 쿠키 정보, 이전 URL, 현재 접속 IP 주소, 한 단계 앞의 접속 IP 주소, 클라이언트 브라우저 정보, 클라이언트 언어 정보, 접속단말의 시스템 변수, 접속단말에 서비스를 제공하는 온라인 서비스 서버의 서버 호스트명, 서버 IP 주소, 세션 아이디, 세션 최대 유효시간 정보 중 적어도 하나일 수 있다.In one embodiment, the client connection environment information may be at least one of a server variable related to a connection terminal connected to the online service server, a host name, cookie information, a previous URL, a current connection IP address, a previous connection IP address, client browser information, client language information, a system variable of the connection terminal, a server host name of an online service server providing a service to the connection terminal, a server IP address, a session ID, and session maximum validity time information.

일 실시예에서, 상기 인증 서버는, 상기 클라이언트 접속환경정보를 제1 시드값, 사전 지정된 적어도 하나의 추가 정보를 제2 시드값으로 하되 시간 또는 시도횟수를 연산 조건으로 하여 상기 간편 인증번호를 생성하고, 상기 간편 인증기는, 상기 간편 인증번호와 동일 생성 조건을 적용하여 상기 검증용 인증번호를 생성할 수 있다.In one embodiment, the authentication server generates the simple authentication number using the client connection environment information as a first seed value and at least one pre-designated additional information as a second seed value, and using time or the number of attempts as an operation condition, and the simple authenticator can generate the verification authentication number by applying the same generation condition as the simple authentication number.

일 실시예에서, 상기 간편 인증번호 및 상기 검증용 인증번호를 통해서 상기 온라인 서비스 서버에 관한 검증이 완료된 경우, 상기 간편 인증기는, 사전 지정된 조건에 따라 상기 추가 검증값을 생성하여 상기 인증 서버로 전송하고, 상기 인증 서버는 상기 사전 지정된 조건과 동일 조건을 적용하여 상기 대응 검증값을 생성하고, 상기 추가 검증값과 상기 대응 검증값이 일치하는 경우 상기 온라인 서비스 서버로 정상 인증을 통지할 수 있다.In one embodiment, when verification of the online service server is completed through the simple authentication number and the verification authentication number, the simple authenticator generates the additional verification value according to a pre-specified condition and transmits it to the authentication server, and the authentication server generates the corresponding verification value by applying the same condition as the pre-specified condition, and when the additional verification value and the corresponding verification value match, the online service server can notify normal authentication.

일 실시예에서, 상기 인증 서버는, 상기 간편 인증번호가 상기 온라인 서비스 서버에 의해 제공되는 인증번호 게시 화면을 통해 게시되도록 상기 간편 인증번호를 상기 온라인 서비스 서버로 전송하고, In one embodiment, the authentication server transmits the simple authentication number to the online service server so that the simple authentication number is posted through an authentication number posting screen provided by the online service server,

상기 인증번호 게시 화면을 통한 상기 간편 인증번호의 검증 유효시간이 경과되기 전 또는 상기 서비스 사용자에 의한 상기 온라인 서비스 서버에 관한 검증이 완료되기 전에, 상기 서비스 사용자의 사용자 계정 정보와 동일한 계정 정보를 이용한 후순위의 접속이 시도된 경우,If a subsequent access attempt is made using the same account information as the user account information of the service user before the verification validity period of the simple authentication number through the authentication number posting screen has expired or before the verification of the online service server by the service user is completed,

상기 인증 서버는, 상기 간편 인증번호의 검증 유효시간 동안 또는 상기 온라인 서비스 서버에 관한 검증이 완료되기 전까지, 선순위 접속에 따라 생성된 간편 인증번호를 그대로 유지하거나 또는 후순위 접속에 따른 간편 인증번호의 신규 생성을 금지할 수 있다.The above authentication server may maintain the simple authentication number generated for a first-priority connection as is or prohibit the creation of a new simple authentication number for a second-priority connection during the verification validity period of the simple authentication number or until verification of the online service server is completed.

본 발명의 실시예에 의하면, 사용자가 온라인 서비스에 아이디와 패스워드를 입력한 이후 추가 인증을 위해서 서비스에서 제공하는 간편 인증번호와 모바일 간편 인증기가 제공하는 간편 인증번호가 같은 경우 사용자의 서비스 접속을 승인함으로써, 사용자의 불필요한 인증번호 재입력을 없앨 수 있다. According to an embodiment of the present invention, when a user enters an ID and password in an online service and the simple authentication number provided by the service for additional authentication is the same as the simple authentication number provided by a mobile simple authenticator, the user's service access is approved, thereby eliminating unnecessary re-entering of authentication numbers by the user.

또한 본 발명의 실시예에 의하면, 타인이 사용자의 아이디와 패스워드로 온라인 서비스에 접근을 시도하면 간편 인증기를 갖고 있는 사용자는 본인이 아닌 타인에 의해서 접속 허가 요청이 있었다는 상황을 숙지할 수 있어, 사용자 아이디와 패스워드에 대한 보안 관리까지 가능하게 된다.In addition, according to an embodiment of the present invention, if another person attempts to access an online service using the user's ID and password, a user having a simple authenticator can be aware of the situation in which a request for access permission has been made by someone other than the user, thereby enabling security management of the user ID and password.

도 1은 본 발명의 실시예에 따른 온라인 서비스 서버와 서비스 사용자 간의 상호 인증 방법 및 시스템을 설명하기 위한 도면.
도 2는 본 발명의 실시예에 따른 상호 인증 방법을 구현하는 인증 서버에 관한 일 실시예의 블록도.
도 3은 본 발명의 실시예에 따른 상호 인증 방법을 구현하는 간편 인증기에 관한 일 실시예의 블록도.
도 4는 온라인 서비스 서버에 의해 운영되는 온라인 서비스 사이트에 간편 인증번호가 게시되는 화면과 관련된 예시.
도 5는 간편 인증기에 의해 생성된 검증용 인증번호가 표출되는 화면과 관련된 예시.
도 6은 도 1의 상호 인증 방법에 따른 인증 과정에서 해커에 의한 접속 시도시 처리 방법을 설명하기 위한 도면.
도 7은 도 6과 같은 해커에 의한 접속 시도시의 온라인 서비스 서버에 의해 운영되는 온라인 서비스 사이트에 게시되는 처리 결과를 예시한 도면.
도 8 및 도 9는 사용자의 모바일 기기를 통해 온라인 서비스 서버에 접속하였을 때의 본 발명의 실시예에 따른 상호 인증 방법의 구현 예시.FIG. 1 is a drawing for explaining a mutual authentication method and system between an online service server and a service user according to an embodiment of the present invention.
FIG. 2 is a block diagram of one embodiment of an authentication server implementing a mutual authentication method according to an embodiment of the present invention.
FIG. 3 is a block diagram of one embodiment of a simple authenticator implementing a mutual authentication method according to an embodiment of the present invention.
Figure 4 is an example of a screen where a simple authentication number is posted on an online service site operated by an online service server.
Figure 5 is an example of a screen where a verification authentication number generated by a simple authenticator is displayed.
Figure 6 is a drawing for explaining a method for handling a connection attempt by a hacker during an authentication process according to the mutual authentication method of Figure 1.
Figure 7 is a diagram illustrating a processing result posted on an online service site operated by an online service server when a connection attempt is made by a hacker such as Figure 6.
FIGS. 8 and 9 are implementation examples of a mutual authentication method according to an embodiment of the present invention when accessing an online service server via a user's mobile device.

본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.The present invention can be modified in various ways and has various embodiments, and specific embodiments are illustrated in the drawings and described in detail in the detailed description. However, this is not intended to limit the present invention to specific embodiments, but should be understood to include all modifications, equivalents, or substitutes included in the spirit and technical scope of the present invention.

본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.In describing the present invention, if it is judged that a detailed description of a related known technology may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. In addition, numbers (e.g., first, second, etc.) used in the description of this specification are merely identifiers for distinguishing one component from another.

또한, 명세서 전체에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.Additionally, throughout the specification, when a component is referred to as being "connected" or "connected" to another component, it should be understood that the component may be directly connected or connected to the other component, but may also be connected or connected via another component in between, unless otherwise specifically stated.

또한, 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하나 이상의 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 조합으로 구현될 수 있음을 의미한다.Also, throughout the specification, when a part is said to "include" a certain component, this does not mean that other components are excluded, unless otherwise specifically stated, but rather that other components can be included. Also, terms such as "part", "module", etc. described in the specification mean a unit that processes at least one function or operation, which means that it can be implemented by one or more hardware or software, or a combination of hardware and software.

또한 이하의 설명에서, 간편 인증기는 사용자 소유의 모바일 기기에 애플리케이션 프로그램의 형태로 설치된 소프트웨어 방식의 인증 장치인 경우를 중심으로 설명하지만, 반드시 이에 한정되는 것은 아님은 물론이다. 예를 들어, 간편 인증기는 통신 기능을 갖춘 하드웨어 인증 디바이스일 수도 있다. 다만, 이하에서는 설명의 편의 및 집중을 위해 전자의 케이스를 가정하여 본 발명의 실시예를 설명하기로 한다.In addition, in the following description, the simple authenticator is described mainly as a software-based authentication device installed in the form of an application program on a user-owned mobile device, but it is not necessarily limited to this. For example, the simple authenticator may be a hardware authentication device with communication functions. However, for the convenience and focus of the description, the former case is assumed and the embodiments of the present invention are described below.

또한, 이하에서는 도 1을 기준으로 온라인 서비스 서버에 접속하는 접속단말인 클라이언트 단말과 간편 인증기가 물리적으로 별개로 구성된 경우를 가정하여 설명하지만, 간편 인증기는 클라이언트 단말과 일체적으로 구현될 수도 있다. 후자의 경우라면 도 1에 도시된 모바일 기기는 생략될 것이다. 또한, 클라이언트 단말 자체가 모바일 기기일 수도 있음은 자명하다.In addition, the following description assumes that the client terminal, which is the connection terminal connecting to the online service server, and the simple authenticator are physically configured separately based on Fig. 1, but the simple authenticator may be implemented integrally with the client terminal. In the latter case, the mobile device illustrated in Fig. 1 will be omitted. In addition, it is self-evident that the client terminal itself may be a mobile device.

도 1은 본 발명의 실시예에 따른 온라인 서비스 서버와 서비스 사용자 간의 상호 인증 방법 및 시스템을 설명하기 위한 도면이다. 또한, 도 2는 본 발명의 실시예에 따른 상호 인증 방법을 구현하는 인증 서버에 관한 일 실시예의 블록도이고, 도 3은 본 발명의 실시예에 따른 상호 인증 방법을 구현하는 간편 인증기에 관한 일 실시예의 블록도이다. 이하, 도 1을 중심으로 도 2 및 도 3을 참조하여, 본 발명의 실시예에 따른 상호 인증 방법 및 시스템을 설명한다.FIG. 1 is a diagram for explaining a mutual authentication method and system between an online service server and a service user according to an embodiment of the present invention. In addition, FIG. 2 is a block diagram of an embodiment of an authentication server implementing a mutual authentication method according to an embodiment of the present invention, and FIG. 3 is a block diagram of an embodiment of a simple authenticator implementing a mutual authentication method according to an embodiment of the present invention. Hereinafter, a mutual authentication method and system according to an embodiment of the present invention will be explained with reference to FIG. 2 and FIG. 3 with FIG. 1 as the center.

또한, 본 발명의 실시예의 설명 과정에서, 도 4 ~ 도 9를 함께 참조한다. 여기서, 도 4는 온라인 서비스 서버에 의해 운영되는 온라인 서비스 사이트에 간편 인증번호가 게시되는 화면과 관련된 예시이고, 도 5는 간편 인증기에 의해 생성된 검증용 인증번호가 표출되는 화면과 관련된 예시이며, 도 6은 도 1의 상호 인증 방법에 따른 인증 과정에서 해커에 의한 접속 시도시 처리 방법을 설명하기 위한 도면이고, 도 7은 도 6과 같은 해커에 의한 접속 시도시의 온라인 서비스 서버에 의해 운영되는 온라인 서비스 사이트에 게시되는 처리 결과를 예시한 도면이다. 또한 도 8 및 도 9는 사용자의 모바일 기기를 통해 온라인 서비스 서버에 접속하였을 때의 본 발명의 실시예에 따른 상호 인증 방법의 구현 예시이다.In addition, during the description of the embodiment of the present invention, reference will be made to FIGS. 4 to 9 together. Here, FIG. 4 is an example related to a screen where a simple authentication number is posted on an online service site operated by an online service server, FIG. 5 is an example related to a screen where a verification authentication number generated by a simple authenticator is displayed, FIG. 6 is a drawing for explaining a processing method when a connection attempt is made by a hacker in the authentication process according to the mutual authentication method of FIG. 1, and FIG. 7 is a drawing exemplifying a processing result posted on an online service site operated by the online service server when a connection attempt is made by a hacker like FIG. 6. In addition, FIGS. 8 and 9 are implementation examples of a mutual authentication method according to an embodiment of the present invention when a user accesses an online service server through a mobile device.

도 1의 단계 S1을 참조하면, 온라인 서비스 서버(230)가 제공하는 온라인 서비스 사이트에 의한 온라인 서비스를 이용하고자 하는 경우, 서비스 사용자는 온라인 서비스 서버(230)에 접속 요청을 한다.Referring to step S1 of Fig. 1, when a service user wishes to use an online service by an online service site provided by an online service server (230), the service user makes a connection request to the online service server (230).

예를 들어, 이용하고자 하는 온라인 서비스가 온라인 뱅킹 서비스인 경우, 사용자는 해당 온라인 뱅킹 서비스를 제공하는 특정 온라인 서비스 서버(즉, 온라인 뱅킹 서비스를 제공하는 특정 은행 서버)에 접속할 수 있다. 온라인 서비스 서버(230)로의 접속은 사용자 자신이 소유하는 모바일 기기(210)(예를 들어, 스마트폰 등)를 통한 모바일 접속에 의할 수 있음은 물론이나, 도 1에서는 사용자 소유의 모바일 기기(210)와는 별개의 클라이언트 단말(200)(예를 들어, 회사 PC 등)을 통해서 접속하는 경우를 예시하였다.For example, if the online service to be used is an online banking service, the user can access a specific online service server (i.e., a specific bank server providing the online banking service) that provides the online banking service. Access to the online service server (230) can be via mobile access through a mobile device (210) (e.g., a smartphone, etc.) owned by the user, but FIG. 1 exemplifies a case in which access is made through a client terminal (200) (e.g., a company PC, etc.) separate from the mobile device (210) owned by the user.

도 1의 단계 S2를 참조하면, 온라인 서비스 서버(230)로의 접속 요청에 따라, 온라인 서비스 서버(230)는 온라인 서비스를 이용하고자 하는 서비스 사용자에게 사용자 계정 정보의 입력을 요청할 수 있다. 여기서, 사용자 계정 정보는, 사용자 등록 절차(또는 서비스 가입 절차)를 통해서 해당 온라인 서비스 서버(230)에 미리 저장(등록)되어 있는 해당 사용자의 식별 정보를 의미한다. 통상적으로, 사용자 계정 정보로는 사용자 ID(Identifier)와 패스워드(password)가 활용될 수 있다. 다만, 해당 온라인 서비스를 이용하는 사용자를 식별할 수 있는 정보라면, 상기 사용자 계정 정보로서 이외에도 다양한 정보(예를 들어, 해당 사용자의 이메일 주소, 전화번호, PKI(Public Key Infrastructure) 기반의 인증서 상의 인증서 암호 등)가 대체 활용될 수 있음은 물론이다.Referring to step S2 of Fig. 1, in response to a connection request to the online service server (230), the online service server (230) may request a service user who wishes to use the online service to enter user account information. Here, the user account information refers to the identification information of the user that is stored (registered) in advance in the online service server (230) through a user registration procedure (or service subscription procedure). Typically, a user ID (Identifier) and a password may be utilized as the user account information. However, it goes without saying that various information (for example, the user's email address, phone number, certificate password on a PKI (Public Key Infrastructure)-based certificate, etc.) may be utilized as the user account information as long as it is information that can identify the user using the online service.

도 1의 단계 S3을 참조하면, 사용자 계정 정보의 입력 요청에 따라, 서비스 사용자는 사용자 계정 정보를 해당 온라인 서비스 사이트에 입력한다. 도 1의 단계 S4를 참조하면, 서비스 사용자로부터 사용자 계정 정보가 입력되면, 온라인 서비스 서버(230)는 사용자로부터 입력된 사용자 계정 정보와 일치하는 계정이 존재하는지를 확인한다. 이러한 계정 정보의 확인에는 도 1에 도시된 바와 같은 계정 DB(240)가 활용될 수 있다. 계정 DB(240)에는 해당 온라인 서비스 서버(230)를 통한 온라인 서비스를 제공받을 수 있는 사용자들(즉, 회원들)에 관한 계정 정보들이 보관된다. 도 1에서는 계정 DB(240)가 온라인 서비스 서버(230)와 별개로 구비되는 경우를 예시하였지만, 계정 DB(240)는 온라인 서비스 서버(230)와 통합되어 구현될 수도 있음은 물론이다. 또한, 시스템 구현 방식에 따라, 계정 DB(240)는 인증 서버(250)와 통합되어 구현될 수도 있을 것이다.Referring to step S3 of FIG. 1, in response to a request for input of user account information, the service user inputs user account information into the corresponding online service site. Referring to step S4 of FIG. 1, when user account information is input by the service user, the online service server (230) verifies whether an account matching the user account information input by the user exists. The account DB (240) as illustrated in FIG. 1 may be utilized for verification of such account information. The account DB (240) stores account information regarding users (i.e., members) who can receive online services through the corresponding online service server (230). Although FIG. 1 exemplifies a case where the account DB (240) is provided separately from the online service server (230), it goes without saying that the account DB (240) may be implemented in an integrated manner with the online service server (230). In addition, depending on the system implementation method, the account DB (240) may be implemented in an integrated manner with the authentication server (250).

도 1의 단계 S5를 참조하면, 입력된 사용자 계정 정보가 계정 DB(240)에 보관된 사용자 계정과 일치하는 경우, 온라인 서비스 서버(230)는 인증 서버(250)로 간편 인증번호의 생성을 요청한다. 여기서, 간편 인증번호는 사용자가 현재 접속한 온라인 서비스 사이트가 진정한 온라인 서비스 제공자에 의해 제공된 것인지 여부를 사용자가 판별할 수 있도록 하기 위한 용도로서 활용된다.Referring to step S5 of Fig. 1, if the entered user account information matches a user account stored in the account DB (240), the online service server (230) requests the authentication server (250) to generate a simple authentication number. Here, the simple authentication number is utilized for the purpose of allowing the user to determine whether the online service site currently accessed by the user is provided by a genuine online service provider.

도 1의 단계 S5에서, 온라인 서비스 서버(230)가 인증 서버(250)로 간편 인증번호의 생성 요청을 할 때, 온라인 서비스 서버(230)는 해당 서비스 사용자의 사용자 계정 정보를 함께 인증 서버(250)로 전송할 수 있다. 예를 들어, 온라인 서비스 서버(230)는 사용자 계정 정보로서 해당 사용자의 사용자 ID를 포함하는 간편 인증번호 생성 요청을 인정 서버(250)로 전송할 수 있다.In step S5 of Fig. 1, when the online service server (230) requests the authentication server (250) to generate a simple authentication number, the online service server (230) may transmit the user account information of the corresponding service user to the authentication server (250). For example, the online service server (230) may transmit the request for generating a simple authentication number including the user ID of the corresponding user as the user account information to the authentication server (250).

또한 일 실시예에 의할 때, 온라인 서비스 서버(230)는 도 1의 단계 S5를 통해서(혹은 별개의 단계를 통해서) 클라이언트 접속환경정보를 인증 서버(250)로 추가 전송할 수도 있다. 여기서, 클라이언트 접속환경정보란, 온라인 서비스 서버(230)에 접속한 해당 서비스 사용자의 접속단말에 관한 접속환경을 직접 또는 간접적으로 나타낼 수 있는 정보를 통칭한다. 이러한 클라이언트 접속환경정보는 서비스 서버에 따라 다양할 수 있다.In addition, according to one embodiment, the online service server (230) may additionally transmit client connection environment information to the authentication server (250) through step S5 of FIG. 1 (or through a separate step). Here, the client connection environment information refers to information that can directly or indirectly indicate the connection environment of the connection terminal of the corresponding service user who has connected to the online service server (230). Such client connection environment information may vary depending on the service server.

예를 들어, 표준 웹 서버를 예로 들면 접속한 클라이언트 단말기의 값을 추출할 수 있는 다양한 서버 변수(Server Variables; 호스트 네임(REMOTE_HOST), 쿠키 정보(HTTP_COOKIE), 이전 URL(HTTP_PEFERER), 한 단계 앞의 IP 주소(HTTP_X_FORWARDED_FOR), 현재 IP 주소(REMOTE_ADDR), 클라이언트 브라우져(HTTP_USER_AGENT), 클라이언트 언어(HTTP_ACCEPT_LANGUAGE))이거나, 클라이언트 단말에 서비스를 제공하는 서비스 서버의 변수(서버 호스트명, 서버 IP, 세션 아이디값, 세션 최대 유효시간 등)로 구성될 수 있다. 다른 예로, 접속하는 클라이언트가 표준 웹 브라우저가 아니라 자체 클라이언트 프로그램인 경우 운영체제(OS)가 허용하는 범위 내에서 클라이언트 단말기의 다양한 시스템 변수(Mac Address, HDD UUID 등)를 클라이언트 접속환경정보로서 이용할 수 있을 것이다.For example, taking a standard web server as an example, it can be composed of various server variables (Server Variables; host name (REMOTE_HOST), cookie information (HTTP_COOKIE), previous URL (HTTP_PEFERER), previous IP address (HTTP_X_FORWARDED_FOR), current IP address (REMOTE_ADDR), client browser (HTTP_USER_AGENT), client language (HTTP_ACCEPT_LANGUAGE)) that can extract the values of the connected client terminal, or variables of the service server that provides the service to the client terminal (server host name, server IP, session ID value, session maximum validity time, etc.). As another example, if the connecting client is not a standard web browser but its own client program, various system variables (Mac Address, HDD UUID, etc.) of the client terminal can be used as client connection environment information within the range permitted by the operating system (OS).

상술한 바와 같은 간편 인증번호의 생성 요청은 인증 서버(250)의 통신 인터페이스부(251)를 통해 접수(수신)되며, 함께 전송된 사용자 계정 정보 또는/및 클라이언트 접속환경정보는 상기 간편 인증번호의 생성에 시드값으로서 활용될 수 있다.A request for generation of a simple authentication number as described above is received (accepted) through the communication interface unit (251) of the authentication server (250), and the user account information or/and client connection environment information transmitted together can be used as a seed value for generation of the simple authentication number.

도 1의 단계 S6을 참조하면, 온라인 서비스 서버(230)로부터의 간편 인증번호 생성 요청에 따라, 인증 서버(250)는 간편 인증번호를 생성한다. 이때, 간편 인증번호의 생성은 인증 서버(250)의 간편 인증번호 생성부(253)에 의해 수행될 수 있다.Referring to step S6 of Fig. 1, in response to a request for generating a simple authentication number from an online service server (230), the authentication server (250) generates a simple authentication number. At this time, the generation of the simple authentication number can be performed by the simple authentication number generation unit (253) of the authentication server (250).

이때, 간편 인증번호는 온라인 서비스 서버(230)로부터 전달된 클라이언트 접속환경정보를 이용하여 생성할 수 있음은 앞서 설명하였는 바, 이하에서는 이러한 클라이언트 접속환경정보를 대체하여 활용되거나 또는 클라이언트 접속환경정보와 함께 상기 간편 인증번호 생성을 위한 추가 시드값으로서 활용될 수 있는 기타 실시예들에 대하여 상세히 설명하기로 한다.At this time, as explained above, the simple authentication number can be generated using the client connection environment information transmitted from the online service server (230). Below, other embodiments that can be used as a substitute for the client connection environment information or as an additional seed value for generating the simple authentication number together with the client connection environment information will be described in detail.

본 발명의 일 실시예에서, 간편 인증번호의 생성을 위한 시드 값으로는 서비스 사용자의 사용자 계정 정보에 대응하여 사전 등록된 고정키가 이용될 수 있다.In one embodiment of the present invention, a pre-registered fixed key corresponding to the user account information of the service user may be used as a seed value for generating a simple authentication number.

일 예로, 사용자 계정 정보에 대응하는 고정키는, 전술한 사용자 ID, 패스워드, 사용자의 이메일 주소, 전화번호, 인증서 암호 등과 같은 다양한 사용자 식별 정보 중 어느 하나 또는 적어도 2개의 조합이 사전 등록되어 이용될 수 있다. 다른 예로, 사용자 계정 정보에 대응하는 고정키는, 사용자 소유의 모바일 기기(예를 들어, 스마트폰 등)의 폰 번호, 제품 일련번호, 유심(USIM) 카드번호, 맥 어드레스(MAC address) 등과 같은 식별자 중 어느 하나 또는 적어도 2개의 조합이 사전 등록되어 이용될 수도 있다. 또 다른 예로, 사용자 계정 정보에 대응하는 고정키는, 사용자가 간편 인증 서비스에 등록할 때에 자신이 직접 선택하여 등록한 또는 간편 인증 서비스 등록시에 부여된 개인키가 이용될 수도 있다.For example, the fixed key corresponding to the user account information may be pre-registered and used as one or a combination of at least two of various user identification information, such as the user ID, password, the user's email address, phone number, certificate password, etc. As another example, the fixed key corresponding to the user account information may be pre-registered and used as one or a combination of at least two of identifiers, such as the phone number of a mobile device (e.g., a smartphone, etc.) owned by the user, a product serial number, a USIM card number, a MAC address, etc. As yet another example, the fixed key corresponding to the user account information may be used as a personal key that the user selected and registered when registering for the simple authentication service or that was granted when registering for the simple authentication service.

본 발명의 다른 실시예에서, 인증번호 생성을 위한 시드 값으로는 사용자가 해당 온라인 서비스 서버에 접속하는 시점에 동적으로 할당되는 동적 할당키가 이용될 수 있다.In another embodiment of the present invention, a dynamic allocation key that is dynamically allocated when a user accesses the online service server may be used as a seed value for generating an authentication number.

일 예로, 상기 동적 할당키로는, 해당 온라인 서비스 서버로 접속하는 서비스 사용자의 접속단말 연결정보가 이용될 수 있다. 이때, 접속단말 연결정보로는 서비스 사용자의 접속시 해당 온라인 서비스 서버에서 서비스 사용자의 접속단말에 할당하는 세션 정보(예를 들어, 세션 ID(Session ID) 등) 또는 소켓 정보(예를 들어, 소켓 핸들(Socket handle) 등)가 이용될 수 있다.For example, as the dynamic allocation key, the connection terminal connection information of the service user connecting to the online service server may be used. At this time, the connection terminal connection information may be session information (e.g., session ID, etc.) or socket information (e.g., socket handle, etc.) that the online service server allocates to the service user's connection terminal when the service user connects.

여기서, 세션 ID는 서버와 접속단말 간의 연속적인 데이터 송수신을 관리하기 위해 해당 서버에 의해 부여되는 값이고, 소켓 핸들 정보는 서버와 접속단말 간에 네트워크를 통해 데이터를 송수신하는 단위인 소켓을 관리하기 위해 해당 서버가 자체적으로 할당한 임의의 연결 고유값이다. 이러한 세션 ID 또는 소켓 핸들 정보는 동적으로 할당됨은 물론 해당 서버에 의해 자체적으로 부여되는 값으로서, 서버 외부에서 해커에 의해 탈취되기 어렵기 때문에, 이를 이용하는 경우 보안 상 유리한 효과가 있다.Here, the session ID is a value assigned by the server to manage continuous data transmission and reception between the server and the connection terminal, and the socket handle information is an arbitrary connection-specific value assigned by the server itself to manage the socket, which is a unit for transmitting and receiving data over a network between the server and the connection terminal. This session ID or socket handle information is a value assigned dynamically and is assigned by the server itself, so it is difficult for hackers from outside the server to steal it, and therefore, using it has a beneficial effect in terms of security.

다른 예로, 상기 동적 할당키로는, 서비스 사용자 소유의 모바일 기기에 이동통신사가 동적으로 할당한 모바일 IP 주소(IP 주소 전체 또는 일부분일 수 있음)가 이용될 수도 있다. 예를 들어, 서비스 사용자가 자신의 모바일 기기를 통해서 해당 온라인 서비스 서버로 접속하는 경우를 가정하면, 이때 이동통신사에 의해 동적으로 할당된 모바일 IP 주소를 시드값으로 이용할 수 있을 것이다.As another example, the dynamic allocation key may be a mobile IP address (which may be the entire IP address or a portion of the IP address) dynamically allocated by a mobile carrier to a mobile device owned by a service user. For example, assuming that a service user accesses the online service server through his or her mobile device, the mobile IP address dynamically allocated by the mobile carrier may be used as a seed value.

또한 이상에서는 시드값으로서 특정 값이 이용되는 경우를 중심으로 설명하였지만, 간편 인증번호 생성을 위한 시드값으로는 인증 서버(250)에서 자체적으로 랜덤하게 생성하는 랜덤값이 이용될 수도 있음은 물론이다.In addition, although the above explanation focuses on the case where a specific value is used as a seed value, it goes without saying that a random value randomly generated by the authentication server (250) may be used as a seed value for generating a simple authentication number.

이에 따라, 인증 서버(250)의 간편 인증번호 생성부(253)는 상술한 바와 같은 적어도 하나의 시드값들을 이용하되, 시간 또는 시도 횟수(즉, 간편 인증번호 발급 시도 횟수)를 연산 조건으로 하여 간편 인증번호를 생성할 수 있다. 예를 들어, 간편 인증번호 생성부(253)는 상술한 적어도 하나의 시드값에 시간 또는 시도횟수를 곱한 값을 특정 해시 함수(hash function)에 따라 암호화한 값으로 생성될 수 있다. 이에 따라 간편 인증번호는 일회성을 갖는 값으로 생성될 수 있다.Accordingly, the simple authentication number generation unit (253) of the authentication server (250) can generate a simple authentication number using at least one of the seed values described above, but using time or the number of attempts (i.e., the number of attempts to issue a simple authentication number) as an operation condition. For example, the simple authentication number generation unit (253) can generate a value obtained by multiplying the time or the number of attempts by at least one of the seed values described above and encrypting it according to a specific hash function. Accordingly, the simple authentication number can be generated as a value having a one-time use.

또한 여기서, 타임 OTP 방식은 연산 조건으로서 생성 시간을 이용하여 OTP를 생성하는 방식이다. 이에 의할 때, OTP는 결정된 특정 OTP 생성키에 연산 조건인 생성 시간을 곱한 값을 특정 해시 함수에 따라 암호화한 값으로 생성될 수 있다.Also, here, the time OTP method is a method of generating an OTP using the generation time as an operation condition. According to this, an OTP can be generated as a value encrypted according to a specific hash function by multiplying a determined specific OTP generation key by the generation time as an operation condition.

상술한 바와 같이, 간편 인증번호가 생성되면, 인증 서버(250)는 통신 인터페이스부(251)를 통해서 앞선 단계 S6을 통해서 생성된 간편 인증번호를 온라인 서비스 서버(230)로 전달한다. 전달된 간편 인증번호는 도 1의 단계 S9에 따라 온라인 서비스 서버(230)에 의해 운영되는 온라인 서비스 사이트의 화면을 통해 사용자가 확인할 수 있도록 게시된다. 이에 관한 일 예가 도 4에 도시되고 있다. 도 4를 참조하면, 온라인 뱅킹 사이트의 우측의 인증번호 게시 화면을 통해서 간편 인증번호(도 4의 도면부호 30A 참조)가 게시되고 있음을 확인할 수 있다. 간편 인증번호가 화면 상에 게시된 이후, 사용자로부터의 확인이 완료되기 전까지는 승인 대기 상태가 지속될 수 있다[도 1의 단계 S10 참조].As described above, when a simple authentication number is generated, the authentication server (250) transmits the simple authentication number generated through the preceding step S6 to the online service server (230) through the communication interface unit (251). The transmitted simple authentication number is posted so that the user can check it through the screen of the online service site operated by the online service server (230) according to step S9 of FIG. 1. An example of this is illustrated in FIG. 4. Referring to FIG. 4, it can be confirmed that the simple authentication number (see reference numeral 30A of FIG. 4) is posted through the authentication number posting screen on the right side of the online banking site. After the simple authentication number is posted on the screen, an approval waiting state may continue until confirmation by the user is completed [see step S10 of FIG. 1].

또한, 도 1의 단계 S8을 참조하면, 인증 서버(250)는 통신 인터페이스부(251)를 통해서 간편 인증번호의 생성 조건이 서비스 사용자 소유의 모바일 기기(110)에 설치된 간편 인증기(220)로 전송되도록 한다.In addition, referring to step S8 of Fig. 1, the authentication server (250) transmits the conditions for generating a simple authentication number to a simple authentication device (220) installed in a mobile device (110) owned by a service user through a communication interface unit (251).

도 1에서 단계 S8의 간편 인증번호 생성 조건의 전송은 푸시 서버(260)를 통해서 수행되는 것으로 예시하고 있지만, 반드시 이와 같을 필요는 없으며, 인증 서버(250)에서 직접 간편 인증기(220)로 전송될 수도 있음은 물론이다. 또한, 도 1에서는 푸시 메시지를 통해서 간편 인증번호의 생성 조건을 전송하는 케이스를 중심으로 도시하였지만, 간편 인증번호 생성 조건의 전송은 소켓 데이터 통신에 의한 전송 방식에 의할 수도 있다.In Fig. 1, the transmission of the simple authentication number generation condition of step S8 is exemplified as being performed via a push server (260), but it does not necessarily have to be like this, and of course, it can be transmitted directly from the authentication server (250) to the simple authentication device (220). In addition, although Fig. 1 mainly illustrates a case in which the simple authentication number generation condition is transmitted via a push message, the transmission of the simple authentication number generation condition can also be done via a transmission method using socket data communication.

푸시 서버(260)를 통해 간편 인증번호 생성 조건을 전송하는 경우, 인증 서버(250)는 그 생성 조건을 푸시 서버(260)로 전달하고, 이때 푸시 서버(260)는 푸시 메시지를 통해서 간편 인증번호 생성 조건을 간편 인증기(220)로 전송할 수 있다. 여기서, 푸시 메시지는 특정 모바일 운영체제에서 앱(App) 별로 제공하는 메시지 서비스일 수 있다. 다만, 간편 인증번호 생성 조건의 전송을 반드시 푸시 메시지에 의할 필요는 없음은 자명하며, SMS, MMS 등의 상용의 다양한 메시징 서비스에 의할 수도 있고, 특정 통신 프로토콜에 의하여도 무방하다. 간편 인증번호 생성 조건의 전송을 푸시 메시지에 의하지 않는 다른 예시적 케이스들에서, 전술한 푸시 서버(260)는 일반적인 통신 서버로서 그 기능이 대체될 수 있다.When transmitting the simple authentication number generation conditions through the push server (260), the authentication server (250) transmits the generation conditions to the push server (260), and at this time, the push server (260) can transmit the simple authentication number generation conditions to the simple authenticator (220) through a push message. Here, the push message may be a message service provided by each app in a specific mobile operating system. However, it is obvious that the transmission of the simple authentication number generation conditions does not necessarily have to be through a push message, and may be through various commercial messaging services such as SMS and MMS, or may be through a specific communication protocol. In other exemplary cases where the transmission of the simple authentication number generation conditions is not through a push message, the above-mentioned push server (260) may be replaced with a general communication server in its function.

또한 도 1에서는 간편 인증번호 생성 조건이 간편 인증기(220)로 직접 전송되는 케이스를 중심으로 설명하였지만, 반드시 이와 같을 필요는 없다. 예를 들어, 간편 인증번호 생성 조건은 푸시 메시지 등을 통해서 모바일 기기(210)로 전송되고, 간편 인증기(220)가 이를 읽어들여 간편 인증번호 생성 조건을 수신(취득)할 수 있음은 자명하다. 이러한 간편 인증번호 생성 조건의 수신은 간편 인증기(220)의 통신 인터페이스부(221)에 의해 이루어질 수 있다.In addition, although Fig. 1 has described the case where the simple authentication number generation condition is directly transmitted to the simple authentication device (220), it is not necessarily required to be like this. For example, it is obvious that the simple authentication number generation condition can be transmitted to the mobile device (210) through a push message, etc., and the simple authentication device (220) can read it and receive (acquire) the simple authentication number generation condition. Such reception of the simple authentication number generation condition can be performed by the communication interface unit (221) of the simple authentication device (220).

상술한 도 1의 단계 S8을 통해 전송될 간편 인증번호 생성 조건은, 도 1의 단계 S6에서 간편 인증번호의 생성에 활용된 시드값 및 연산 조건 전부일 수도 있지만, 그 일부 일 수도 있다. 예를 들어, 인증 서버(250)와 간편 인증기(220)가 각각 간편 인증번호 생성에 활용되는 시드값 및 연산 조건 중 일부를 사전에 보관하고 이를 공통적으로 사용하는 경우라면, 그와 같이 사전 보관된 조건은 별도로 전송해줄 필요가 없기 때문이다.The conditions for generating the simple authentication number to be transmitted through step S8 of the above-described drawing 1 may be all of the seed values and calculation conditions used for generating the simple authentication number in step S6 of the drawing 1, or may be only a part of them. For example, if the authentication server (250) and the simple authentication device (220) each store in advance some of the seed values and calculation conditions used for generating the simple authentication number and use them in common, there is no need to separately transmit the conditions stored in advance.

이에 따라, 간편 인증기(220)는 수신한 생성 조건을 이용하여 온라인 서비스 서버(230)의 온라인 서비스 사이트 화면을 통해 표출된 간편 인증번호의 검증을 위한 검증용 인증번호를 생성할 수 있다[도 1의 단계 S11 참조]. 이와 같은 검증용 인증번호의 생성은 간편 인증기(220)의 검증용 인증번호 생성부(223)에 의해 수행될 수 있다.Accordingly, the simple authenticator (220) can generate a verification authentication number for verifying the simple authentication number displayed on the online service site screen of the online service server (230) using the received generation conditions [see step S11 of FIG. 1]. The generation of such a verification authentication number can be performed by the verification authentication number generation unit (223) of the simple authenticator (220).

이와 같이 생성된 검증용 인증번호는 간편 인증기(220)의 인증번호 표출부(227)을 통해서 모바일 기기(210)의 앱 화면을 통해 표시될 수 있다. 이때, 앱 화면을 통해 검증용 인증번호(도 5의 도면부호 30B 참조)가 표출된 예가 도 5에 도시되고 있다.The verification authentication number generated in this manner can be displayed on the app screen of the mobile device (210) through the authentication number display unit (227) of the simple authentication device (220). At this time, an example of the verification authentication number (refer to the drawing symbol 30B of FIG. 5) being displayed on the app screen is illustrated in FIG. 5.

이상에서 전술한 단계 S7 ~ 단계 S11은, 반드시 도 1에 도시된 순서에 한정될 필요는 없으며, 서로 선후를 달리하거나 동시에 이루어질 수도 있다.Steps S7 to S11 described above are not necessarily limited to the order shown in Fig. 1, and may be performed in different order or simultaneously.

상술한 과정을 통해서 앱 화면을 통해서 검증용 인증번호가 표출되면, 사용자는 이와 같이 표출된 검증용 인증번호와 온라인 서비스 사이트 화면을 통해 표출된 간편 인증번호 간을 비교함으로써 해당 온라인 서비스 서버가 진정한 서비스 서버임(즉, 서비스 서버의 진위)을 판별해낼 수 있다.When a verification authentication number is displayed on the app screen through the above-described process, the user can determine whether the online service server is a genuine service server (i.e., the authenticity of the service server) by comparing the verification authentication number displayed in this manner with the simple authentication number displayed on the online service site screen.

비교 결과, 간편 인증번호와 검증용 인증번호가 일치하는 경우, 사용자는 도 5에 도시된 앱 화면 상의 승인 버튼을 선택함으로써, 해당 서비스에 관한 승인 처리(즉, 해당 온라인 서비스 서버가 진정한 서비스 서버임을 검증 완료 처리)를 할 수 있다[도 1의 단계 S12 참조].As a result of the comparison, if the simple authentication number and the verification authentication number match, the user can complete the approval process for the relevant service (i.e., complete the verification process that the relevant online service server is a genuine service server) by selecting the approval button on the app screen as shown in Fig. 5 [see step S12 of Fig. 1].

도 5에서는 앱 화면에 표출된 검증용 인증번호의 하단에 해당 서비스에 대한 승인 처리를 할 수 있는 승인 버튼이 구비된 경우를 예시하였지만, 이 외에도 다양한 변형이 가능함은 물론이다. 예를 들어, 해당 서비스에 대한 승인 또는 취소 처리는 사용자의 특정 제스처에 의할 수도 있다. 예를 들어, 사용자가 모바일 기기의 앱 화면을 위쪽 방향으로 밀어올리는 터치 제스처를 취하면 승인 처리되고, 아래쪽 방향으로 밀어 내리는 터치 제스처를 취하면 취소 처리되도록 구현될 수도 있는 것이다.In Fig. 5, an approval button is provided at the bottom of the verification authentication number displayed on the app screen to allow approval of the service, but of course, various other variations are possible. For example, approval or cancellation of the service may be performed by a specific gesture of the user. For example, approval may be performed when the user makes a touch gesture of sliding the app screen of the mobile device upward, and cancellation may be performed when the user makes a touch gesture of sliding the app screen downward.

상술한 바와 같이, 해당 서비스에 관한 승인이 이루어지는 경우, 간편 인증기(220)의 추가 검증값 생성부(225)는 추가 검증값을 생성하고, 이를 통신 인터페이스부(221)를 통해서 인증 서버(250)로 전송한다[도 1의 단계 S12 및 단계 S13 참조].As described above, when approval is given for the service, the additional verification value generation unit (225) of the simple authenticator (220) generates an additional verification value and transmits it to the authentication server (250) through the communication interface unit (221) [see steps S12 and S13 of FIG. 1].

여기서, 추가 검증값은 사용자 인증을 위한 용도로서 사용된다. 즉, 본 발명의 실시예에서는 간편 인증번호의 검증을 통해서 해당 서비스의 진위 여부를 먼저 확인한 이후에, 추가 검증값을 통해서 해당 서비스를 이용하고자 하는 사용자가 정당한 사용자인지 여부를 확인하는 방식이 이용된다. 특이한 점은, 본 발명의 실시예에 의할 때, 사용자 인증을 위한 추가 검증값은 앞선 간편 인증번호의 검증을 통한 승인 처리가 완료됨과 동시에 간편 인증기(220)에 의해 자동으로 생성되어 곧바로 인증 서버(250)로 전달된다는 점이다. 이에 의하면, 사용자 인증 과정에서 사용자가 그 사용자 인증값을 온라인 서비스 서버로 직접 입력해야 하는 불편함을 없앨 수 있다.Here, the additional verification value is used for the purpose of user authentication. That is, in the embodiment of the present invention, the authenticity of the corresponding service is first confirmed through verification of the simple authentication number, and then the user who wants to use the corresponding service is confirmed through the additional verification value whether the user is a legitimate user. What is special is that, in the embodiment of the present invention, the additional verification value for user authentication is automatically generated by the simple authenticator (220) at the same time as the approval process through verification of the preceding simple authentication number is completed, and is immediately transmitted to the authentication server (250). According to this, the inconvenience of the user having to directly input the user authentication value into the online service server during the user authentication process can be eliminated.

이때, 추가 검증값은 다양한 방법으로 생성될 수 있다. 추가 검증값의 생성 방법은 앞서 설명한 간편 인증번호의 생성 방식들과 본질적으로 상이하지 않을 것이므로, 이에 관한 구체적인 설명은 생략하기로 한다. 물론, 추가 검증값의 생성은 앞서 설명한 간편 인증번호의 생성 방식을 따를 필요는 없으며, 시스템에서 정의하는 사전 지정된 조건에 따라 생성하여도 무방하다. 그 생성 방식은 후술할 인증 서버(250)에서의 확인용 검증값(즉, 위 추가 검증값에 대응되게 생성된 검증값)의 생성에도 동일하게 적용될 것이다. 따라서, 추가 검증값의 생성 과정에서 인증 서버(250)에 보관되지 않은 정보가 활용된 경우, 해당 정보도 도 1의 단계 S13을 통해서 인증 서버(250)로 전달될 필요는 있다.At this time, the additional verification value can be generated in various ways. Since the method of generating the additional verification value is not essentially different from the methods of generating the simple authentication number described above, a detailed description thereof will be omitted. Of course, the generation of the additional verification value does not have to follow the method of generating the simple authentication number described above, and may be generated according to the predefined conditions defined by the system. The generation method will be equally applied to the generation of the verification value for confirmation in the authentication server (250) described below (i.e., the verification value generated corresponding to the additional verification value above). Therefore, if information not stored in the authentication server (250) is utilized in the process of generating the additional verification value, the information also needs to be transmitted to the authentication server (250) through step S13 of FIG. 1.

또한 도 1에서는 단계 S13에 따른 추가 검증값의 전송이 푸시 서버(260)를 경유하여 이루어지는 것으로 도시되고 있지만, 반드시 이에 의할 필요는 없으며, 인증 서버(250)로 직접 전송되는 방식에 의해도 무방하다.In addition, although the transmission of the additional verification value according to step S13 is illustrated in FIG. 1 as being performed via a push server (260), it is not necessarily required to do so, and a method of directly transmitting to the authentication server (250) may also be used.

이에 따라, 인증 서버(250)의 확인용 검증값 생성부(255)는 전송된 추가 검증값을 검증하기 위한 확인용 검증값을 생성하고, 인증 서버(250)의 인증 처리부(257)는 생성된 확인용 검증값과 전송된 추가 검증값 간의 일치 여부를 비교함으로써 해당 서비스 사용자에 대한 사용자 인증을 수행할 수 있다[도 1의 단계 S14 참조]. 이때, 인증 결과는 온라인 서비스 서버(230)로 통보되며[도 1의 단계 S15 참조], 인증이 정상적으로 이루어진 경우 온라인 서비스 서버(230)는 해당 서비스 사용자에게 해당 서비스를 개시할 수 있다[도 1의 단계 S16 참조].Accordingly, the verification value generation unit (255) of the authentication server (250) generates a verification value for verifying the transmitted additional verification value, and the authentication processing unit (257) of the authentication server (250) compares whether the generated verification value matches the transmitted additional verification value, thereby performing user authentication for the corresponding service user [see step S14 of FIG. 1]. At this time, the authentication result is notified to the online service server (230) [see step S15 of FIG. 1], and if the authentication is normally performed, the online service server (230) can initiate the corresponding service to the corresponding service user [see step S16 of FIG. 1].

상술한 바에 따르는 본 발명의 실시예에 의하면, 서비스 사용자는 간편 인증번호를 통한 서비스 검증만을 하면 되고 이후의 사용자 인증 과정은 자동으로 수행되므로, 사용자 인증번호 입력 과정이 생략될 수 있어, 전체 인증 절차가 간결하고 편리해지는 효과가 있다.According to the embodiment of the present invention as described above, a service user only needs to verify the service using a simple authentication number, and the subsequent user authentication process is performed automatically, so the user authentication number input process can be omitted, thereby making the entire authentication process simple and convenient.

이상에서는 도 1의 단계 S12를 통해 해당 서비스가 정상 승인되는 경우를 중심으로 설명하였다. 그러나 만일 도 1의 단계 S12를 통해 해당 서비스가 사용자에 의해 승인 불허되는 경우, 간편 인증기(220)는 도 1의 단계 S13을 통해 승인 불허 통지를 할 수 있다.In the above, the explanation is centered on the case where the service is normally approved through step S12 of Fig. 1. However, if the service is not approved by the user through step S12 of Fig. 1, the simple authenticator (220) can issue a notification of disapproval through step S13 of Fig. 1.

또한 본 발명의 실시예에 의하면, 인증 서버(250)는 서비스 사용자에 의한 온라인 서비스 서버로의 접속 시도에 따라 간편 인증번호가 생성된 이후, 그 간편 인증번호에 관한 검증 유효시간(예를 들어, 60초) 동안 또는 사용자에 의한 서비스 검증이 완료되기 전까지, 그 생성된 간편 인증번호를 그대로 유지할 수 있다. 이에 관하여 도 6을 참조하여 설명하면 다음과 같다.In addition, according to an embodiment of the present invention, after a simple authentication number is generated in response to a connection attempt by a service user to an online service server, the authentication server (250) can maintain the generated simple authentication number for a verification validity period (e.g., 60 seconds) for the simple authentication number or until the service verification by the user is completed. This will be described with reference to FIG. 6 as follows.

도 6을 참조하면, 정상적인 사용자에 의한 서비스 접속에 따라 간편 인증번호가 생성된 이후, 해당 사용자의 사용자 계정 정보를 탈취한 해커에 의한 후순위 접속이 이루어진 경우[도 6의 단계 S21 참조], 온라인 서비스 서버(230)에 의한 간편 인증번호의 생성 요청이 추가 접수되더라도[도 6의 단계 S22 참조], 인증 서버(250)는 인증번호의 재생성을 금지하고 있다[도 6의 단계 S23 참조].Referring to FIG. 6, if a subsequent access is made by a hacker who has stolen the user account information of a normal user after a simple authentication number is generated upon service access by the user [refer to step S21 of FIG. 6], even if an additional request for the generation of a simple authentication number is received by the online service server (230) [refer to step S22 of FIG. 6], the authentication server (250) prohibits the regeneration of the authentication number [refer to step S23 of FIG. 6].

이와 같이, 인증 서버(250)는 간편 인증번호의 검증 유효시간 동안 또는 상기 온라인 서비스 서버에 관한 검증이 완료되기 전까지는 선순위 접속에 따라 생성된 간편 인증번호를 그대로 유지하거나 또는 후순위 접속에 따른 간편 인증번호의 신규 생성을 금지할 수 있다. 이와 같은 후순위 접속자에 대해서는 도 7과 같이 온라인 서비스 사이트의 화면을 통해서 중복 접속이 불가함을 안내하는 화면(도 7의 도면부호 30C 참조)이 표출될 수 있다. 이에 의하면, 해커에 의한 후순위 접속에 따른 불법적인 사용자 인증 및 이에 의한 정보 탈취를 방지할 수 있다.In this way, the authentication server (250) can maintain the simple authentication number generated according to the first-priority connection as it is during the verification validity period of the simple authentication number or until the verification of the online service server is completed, or can prohibit the new generation of the simple authentication number according to the second-priority connection. For such a second-priority connection user, a screen (see reference numeral 30C of FIG. 7) that informs that duplicate connection is not possible can be displayed on the screen of the online service site as shown in FIG. 7. According to this, illegal user authentication and information theft due to second-priority connection by hackers can be prevented.

이상에서는 사용자가 자신 소유의 모바일 기기와 별개의 클라이언트 단말을 통해서 온라인 서비스 서버에 접속한 케이스를 중심으로 설명하였다. 그러나 간편 인증기가 설치된 모바일 기기를 이용해서 직접 온라인 서비스 서버에 접속할 수도 있음은 앞서도 설명한 바이다. 이러한 경우, 간편 인증번호와 검증용 인증번호는 도 8 및 도 9에 도시된 바와 같이 모바일 기기의 화면을 통해 표출될 수 있다. 도 8을 참조하면, 간편 인증기(220)에 의한 앱 화면이 모바일 기기의 화면 상단부(40A)에 표출되고, 온라인 서비스 서버(230)에 의해 제공되는 사이트 화면이 모바일 기기의 화면 하단부(40B)에 표출되고 있다. 그리고 그 화면 화단부(40B)에는 간편 인증번호(40C)가 표출되고 있다. 또한, 도 9를 참조하면, 그 화면 상단부(40A)에 간편 인증기(220)에 의해 생성되는 검증용 인증번호(40D)가 표출되고 있다. 이와 같이 간편 인증기가 설치된 모바일 기기를 이용하여 직접 온라인 서비스 서버에 접속하는 경우에는, 간편 인증기에 의한 앱 화면과 온라인 서비스 서버에 의한 사이트 화면이 서로 다른 화면 영역에 분리되어 표출될 수 있다. 이러한 예로서, 특히 도 8 및 도 9에는 앱 화면이 사이트 화면 상부에 띄워진 형태로 표출(즉, layered type의 화면 표출)되는 경우를 도시하고 있지만, 화면 분할 방식은 이 외에도 다양한 방식이 적용될 수 있음은 물론이다.The above description focuses on the case where a user accesses an online service server through a client terminal separate from his or her own mobile device. However, as previously described, it is also possible to access an online service server directly using a mobile device on which a simple authenticator is installed. In this case, the simple authentication number and the verification authentication number can be displayed on the screen of the mobile device as shown in FIGS. 8 and 9. Referring to FIG. 8, the app screen by the simple authenticator (220) is displayed on the upper part (40A) of the screen of the mobile device, and the site screen provided by the online service server (230) is displayed on the lower part (40B) of the screen of the mobile device. In addition, the simple authentication number (40C) is displayed on the bottom part (40B) of the screen. In addition, referring to FIG. 9, the verification authentication number (40D) generated by the simple authenticator (220) is displayed on the upper part (40A) of the screen. In this way, when directly accessing an online service server using a mobile device with a simple authenticator installed, the app screen by the simple authenticator and the site screen by the online service server can be displayed separately in different screen areas. As an example of this, in particular, FIGS. 8 and 9 illustrate a case where the app screen is displayed in a form that floats on top of the site screen (i.e., a layered type screen display), but it is obvious that various other methods of screen division can be applied.

본 발명의 실시 예에 따른 방법 및 장치는 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.The method and device according to the embodiment of the present invention may be implemented in the form of program commands that can be executed through various computer means and recorded on a computer-readable medium. The computer-readable medium may include program commands, data files, data structures, etc., singly or in combination.

컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.The program instructions recorded on a computer-readable medium may be those specially designed and configured for the present invention, or may be those known and available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs and DVDs, magneto-optical media such as floptical disks, and hardware devices specially configured to store and execute program instructions such as ROMs, RAMs, flash memories, and the like. Examples of the program instructions include not only machine language codes generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter, etc.

상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상에서는 본 발명의 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 쉽게 이해할 수 있을 것이다.Although the present invention has been described above with reference to embodiments thereof, it will be readily understood by those skilled in the art that various modifications and changes may be made to the present invention without departing from the spirit and scope of the present invention as set forth in the claims below.

Claims (1)

온라인 서비스 서버와 서비스 사용자 간의 상호 인증을 수행하는 컴퓨터 구현 방법(computer implemented method)으로서,
(a) 인증 서버가, 상기 온라인 서버로부터 상기 온라인 서버에 접속하는 서비스 사용자의 사용자 계정 정보를 포함하는 간편 인증번호 생성 요청이 수신됨에 따라 간편 인증번호를 생성하는 단계;
(b) 상기 인증 서버가, 상기 간편 인증번호의 생성에 사용된 생성 조건을 상기 사용자 계정 정보에 상응하는 사용자의 간편 인증기로 전송하는 단계;
(c) 상기 간편 인증기가, 상기 간편 인증번호의 생성 조건을 이용하여 상기 간편 인증번호에 대응되는 검증용 인증번호를 생성하는 단계; 및
(d) 상기 인증 서버가, 상기 간편 인증번호 및 상기 검증용 인증번호를 통한 상기 온라인 서비스 서버에 관한 검증이 완료됨에 따라 상기 간편 인증기로부터 전달되는 추가 검증값에 대응하여 대응 검증값을 생성하고, 상기 추가 검증값과 상기 대응 검증값 간의 일치 여부를 비교함으로써 해당 서비스 사용자에 대한 인증을 수행하는 단계
를 포함하는 상호 인증을 위한 컴퓨터 구현 방법.A computer implemented method for performing mutual authentication between an online service server and a service user,
(a) a step of generating a simple authentication number when an authentication server receives a request for generating a simple authentication number including user account information of a service user accessing the online server from the online server;
(b) a step in which the authentication server transmits the generation conditions used to generate the simple authentication number to the user's simple authenticator corresponding to the user account information;
(c) a step in which the simple authentication device generates a verification authentication number corresponding to the simple authentication number using the generation conditions of the simple authentication number; and
(d) a step for performing authentication on a user of the service by generating a corresponding verification value in response to an additional verification value transmitted from the simple authenticator upon completion of verification of the online service server using the simple authentication number and the verification authentication number, and comparing whether the additional verification value matches the corresponding verification value.
A computer-implemented method for mutual authentication comprising:
KR1020250082501A 2015-12-28 2025-06-23 Cross authentication method and system between online service server and client Pending KR20250099091A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020250082501A KR20250099091A (en) 2015-12-28 2025-06-23 Cross authentication method and system between online service server and client

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR20150187986 2015-12-28
KR1020240021480A KR20240023589A (en) 2015-12-28 2024-02-15 Cross authentication method and system between online service server and client
KR1020250082501A KR20250099091A (en) 2015-12-28 2025-06-23 Cross authentication method and system between online service server and client

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020240021480A Division KR20240023589A (en) 2015-12-28 2024-02-15 Cross authentication method and system between online service server and client

Publications (1)

Publication Number Publication Date
KR20250099091A true KR20250099091A (en) 2025-07-01

Family

ID=59354346

Family Applications (6)

Application Number Title Priority Date Filing Date
KR1020160054404A Ceased KR20170077759A (en) 2015-12-28 2016-05-03 Cross authentication method and system between online service server and client
KR1020180039211A Ceased KR20180039037A (en) 2015-12-28 2018-04-04 Cross authentication method and system between online service server and client
KR1020210123680A Ceased KR20210116407A (en) 2015-12-28 2021-09-16 Cross authentication method and system between online service server and client
KR1020220173336A Ceased KR20220167366A (en) 2015-12-28 2022-12-13 Cross authentication method and system between online service server and client
KR1020240021480A Pending KR20240023589A (en) 2015-12-28 2024-02-15 Cross authentication method and system between online service server and client
KR1020250082501A Pending KR20250099091A (en) 2015-12-28 2025-06-23 Cross authentication method and system between online service server and client

Family Applications Before (5)

Application Number Title Priority Date Filing Date
KR1020160054404A Ceased KR20170077759A (en) 2015-12-28 2016-05-03 Cross authentication method and system between online service server and client
KR1020180039211A Ceased KR20180039037A (en) 2015-12-28 2018-04-04 Cross authentication method and system between online service server and client
KR1020210123680A Ceased KR20210116407A (en) 2015-12-28 2021-09-16 Cross authentication method and system between online service server and client
KR1020220173336A Ceased KR20220167366A (en) 2015-12-28 2022-12-13 Cross authentication method and system between online service server and client
KR1020240021480A Pending KR20240023589A (en) 2015-12-28 2024-02-15 Cross authentication method and system between online service server and client

Country Status (1)

Country Link
KR (6) KR20170077759A (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102153793B1 (en) * 2018-08-27 2020-09-08 (주)이스톰 Method and system for providing automatic inquiry service of user id
KR102385342B1 (en) * 2020-12-24 2022-04-08 정한영 Time-Synchronization Cryptosystem

Also Published As

Publication number Publication date
KR20210116407A (en) 2021-09-27
KR20240023589A (en) 2024-02-22
KR20170077759A (en) 2017-07-06
KR20220167366A (en) 2022-12-20
KR20180039037A (en) 2018-04-17

Similar Documents

Publication Publication Date Title
US8862097B2 (en) Secure transaction authentication
US9537661B2 (en) Password-less authentication service
CN107690788B (en) Identification and/or authentication system and method
US9529985B2 (en) Global authentication service using a global user identifier
KR101451359B1 (en) User account recovery
US11363014B2 (en) Method and system for securely authenticating a user by an identity and access service using a pictorial code and a one-time code
KR20250099091A (en) Cross authentication method and system between online service server and client
US20220116390A1 (en) Secure two-way authentication using encoded mobile image
JP2014531070A (en) Method and system for authorizing actions at a site
KR101879843B1 (en) Authentication mehtod and system using ip address and short message service
KR102558821B1 (en) System for authenticating user and device totally and method thereof
KR102313868B1 (en) Cross authentication method and system using one time password
KR102284876B1 (en) System and method for federated authentication based on biometrics
JP2025509902A (en) Information Access Handover
JP6005232B1 (en) Recovery system, server device, terminal device, recovery method, and recovery program
KR101879842B1 (en) User authentication method and system using one time password
KR102199747B1 (en) Security method and system using virtual keyboard based on OTP
CN114172685A (en) A dual-layer online identity authentication system and method
HK40060764A (en) System and method for endorsing a new authenticator
HK1220297B (en) Method for verifying secruity data, system, and a computer-readable storage device
KR20160101805A (en) Payment method for other person and payment authentication system thereof
HK1215630A1 (en) Query system and method to determine authentication capabilities
HK1215630B (en) Query system and method to determine authentication capabilities

Legal Events

Date Code Title Description
A107 Divisional application of patent
PA0107 Divisional application

Comment text: Divisional Application of Patent

Patent event date: 20250623

Patent event code: PA01071R01D

Filing date: 20240215

Application number text: 1020240021480

PA0201 Request for examination

Patent event code: PA02011R04I

Patent event date: 20250623

Comment text: Divisional Application of Patent

PG1501 Laying open of application