KR101743951B1 - Digital Signature Device and Digital Signature Method Using It - Google Patents
Digital Signature Device and Digital Signature Method Using It Download PDFInfo
- Publication number
- KR101743951B1 KR101743951B1 KR1020150154272A KR20150154272A KR101743951B1 KR 101743951 B1 KR101743951 B1 KR 101743951B1 KR 1020150154272 A KR1020150154272 A KR 1020150154272A KR 20150154272 A KR20150154272 A KR 20150154272A KR 101743951 B1 KR101743951 B1 KR 101743951B1
- Authority
- KR
- South Korea
- Prior art keywords
- digital signature
- biometric information
- unit
- security token
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은 전자서명장치 및 이를 이용한 전자서명방법에 관한 것으로서, 보다 상세하게는 생체정보인식 기반으로 보안성, 및 사용자 편의성을 강화시킨, 전자서명장치 및 이를 이용한 전자서명방법에 관한 것이다.The present invention relates to an electronic signature apparatus and an electronic signature method using the same, and more particularly, to an electronic signature apparatus and an electronic signature method using the same that enhance security and user convenience based on biometric information recognition.
Description
본 발명은 전자서명장치 및 이를 이용한 전자서명방법에 관한 것으로서, 보다 상세하게는 생체정보인식 기반으로 보안성, 및 사용자 편의성을 강화시킨, 전자서명장치 및 이를 이용한 전자서명방법에 관한 것이다.The present invention relates to an electronic signature apparatus and an electronic signature method using the same, and more particularly, to an electronic signature apparatus and an electronic signature method using the same that enhance security and user convenience based on biometric information recognition.
PC(personal computer)와 인터넷의 발전에 따라 인터넷 뱅킹, 전자거래, 전자정보서비스 등 개방 네크워크를 이용한 거래와 서비스가 활성화되고 있다. 이러한 전자거래 등에 있어서, 전자문서의 위변조를 방지하고, 전자거래 행위에 대한 부인 봉쇄 등의 기능을 제공하는 전자서명은 공인인증서 제도의 정착화와 더불어 필수적인 요소가 되고 있다.With the development of personal computers and the Internet, transactions and services using open networks such as Internet banking, electronic transactions, and electronic information services are being activated. In such electronic transactions and the like, digital signatures, which prevent forgery and alteration of electronic documents and provide functions such as non-repudiation to electronic transaction acts, are becoming essential elements along with the establishment of the accredited certificate system.
일반적으로 전자서명은, 인터넷 뱅킹, 사이버증권거래, 신용카드 홈페이지 등의 로그인 단계, 계좌이체 단계, 또는 신용카드 결제 단계 등에서 가입자 인증의 수단으로 널리 사용되고 있다. 종래 공인인증서를 이용하여 전자서명이 이루어지는 과정은 사용자가 이용하는 PC에서 수행되는데, 이 경우 사용자 PC에는 웹브라우저 상에서 동작하는 플러그인 형태의 공인인증모듈이 설치되어야 한다. 통상적인 공인인증모듈에 있어서 전자서명생성용 사용자 인터페이스는 다음과 같은 구성으로 이루어져 있다.Generally, electronic signatures are widely used as a means of subscriber authentication in a login step such as internet banking, a cyber securities transaction, a credit card homepage, etc., an account transfer step, or a credit card payment step. Conventionally, a digital signature process using a public certificate is performed on a PC used by a user. In this case, a user authentication module in the form of a plug-in that operates on a web browser must be installed in the user PC. In the conventional authorized authentication module, the user interface for digital signature generation has the following configuration.
-전자서명에 사용할 인증서를 선택하는 메뉴- Menu to select certificate to use for digital signature
-인증서 암호를 입력하는 입력창- Input window to enter the certificate password
-인증서 위치가 표시되어 있는 버튼들(예를 들어, 하드디스크, 이동식 디스크, 저장토큰, 보안토큰, 휴대폰 등)- buttons (for example, hard disk, removable disk, storage token, security token, mobile phone, etc.)
이와 같은 사용자 인터페이스 구성에서, 사용자가 하드디스크 버튼을 선택하면, 공인인증모듈은 사용자 PC의 하드디스크 내에 저장되어 있는 공인인증서를 검색하여 인증서 선택 창에 나열할 수 있다. 마찬가지로 만약 사용자가 이동식 디스크 버튼을 선택하면, 공인인증모듈은 사용자 PC에 연결되어 있는 USB 메모리 장치를 검색하여 인증서선택 창에 나열할 수 있다. 그러면 사용자는 나열된 인증서 중에서 하나를 선택할 수 있다. 이후 사용자는 키보드 등을 이용하여 입력창에 인증서 암호를 입력하여 전자서명이 진행되도록 할 수 있다. 인증서 암호가 입력되면, 공인인증모듈은 사용자가 선택한 공인인증서와 전자서명키 및 인증서 암호를 사용하여 전자서명을 수행하고, 그 결과 생성된 전자서명값을, 요구받은 인터넷 뱅킹, 사이버증권거래, 신용카드 홈페이지 등의 로그인 단계, 계좌이체 단계, 또는 신용카드 결제 단계 등에서 가입자 인증의 수단으로 해당 웹사이트 등에 전송할 수 있다.In this user interface configuration, when the user selects the hard disk button, the authorized authentication module can search the authorized certificate stored in the hard disk of the user PC and list the authorized certificate in the certificate selection window. Likewise, if the user selects the mobile disk button, the authorized authentication module can search the USB memory device connected to the user PC and list the USB memory device in the certificate selection window. The user can then select one of the listed certificates. After that, the user can input the certificate password into the input window using a keyboard or the like to proceed the digital signature. When the certificate password is inputted, the authorized authentication module performs digital signature using the selected public key certificate, electronic signature key, and certificate password, and transmits the generated digital signature value to the requested Internet banking, cyber securities transaction, credit It can be transmitted to the corresponding web site as means of subscriber authentication at the login step such as the card homepage, the account transfer step, or the credit card payment step.
통상, 공인인증서와 전자서명키는 사용자 PC의 하드디스크, USB(universal serial bus) 메모리에 저장될 수 있다. 이 중 가장 일반적인 경우는 PC의 하드디스크에 공인인증서와 전자서명키를 저장하는 경우이다. 그렇지만, 이 경우, PC에 키보드 해킹 프로그램, 악성 바이러스 등이 설치되었거나 사용자가 부지불식간에 피싱 사이트에 접속하는 경우에, 공인인증서, 전자서명키, 및/또는 공인인증서 암호 등이 제3자에게 노출될 수 있다는 위험이 있었다.Normally, a public certificate and an electronic signature key can be stored in a hard disk of a user PC, or a universal serial bus (USB) memory. One of the most common cases is to store a public certificate and an electronic signature key on the PC's hard disk. However, in this case, when a keyboard hacking program, a malicious virus, or the like is installed on the PC, or when the user accesses the phishing site unintentionally, the authentication certificate, the digital signature key, and / or the authorized certificate password are exposed to a third party There was a risk of being able to.
이와 같은 노출을 방지하기 위하여, 가입자의 개인키를 더욱 안전하게 관리 및 휴대할 수 있는 저장매체로서 보안토큰(Hardware Security Module)의 기술이 개발되어 왔다.In order to prevent such exposure, a technology of a security token (Hardware Security Module) has been developed as a storage medium that can more safely manage and carry a subscriber's private key.
이와 같은 보안토큰은 독립적인 하드웨어 내에서 암호화 키를 생성 및 저장이 가능한 장비로서, 장비 내부에서 암호화키로 암호화, 복호화, 및 전자서명을 할 수 있지만 암호화키 자체는 외부로 유출되지 않는다는 점에서 개선된 보안성을 가지고 있다. Such a security token is an apparatus capable of generating and storing an encryption key in independent hardware, and can encrypt, decrypt, and digitally sign with the encryption key inside the apparatus. However, since the encryption key itself is not leaked out, It has security.
이와 같은 보안토큰은 자체의 컨트롤러, 혹은 펌웨어에 의하여 동작하고, 표준 규격에 따라서 외부 장치와 인터페이싱을 한다. 그러나, 이와 같은 보안토큰은 통상 32KB와 같은 적은 용량의 메모리를 가지고, 이에 대한 응용 프로그램 혹은 복잡한 연산을 자체적으로 처리하지는 못한다.Such a security token operates by its own controller or firmware, and interfaces with an external device according to the standard. However, such a security token typically has a small amount of memory, such as 32 KB, and can not handle application programs or complex operations on its own.
따라서 사용자단말기에서 보안토큰을 사용하는 경우, 사용자단말기에 금융서버의 홈페이지 혹은 인증서버의 홈페이지로부터 다운로드 받은 액티브 엑스나 혹은 다른 응용프로그램을 설치하고, 그 이후에 사용자단말기에서 보안토큰에 연결하여, 전자서명 단계를 수행할 수 있다. Accordingly, when a security token is used in a user terminal, an ActiveX or other application program downloaded from a homepage of a financial server or an authentication server of a user terminal is installed in the user terminal, and thereafter, the user terminal connects to the security token, Signing step can be performed.
그러나, 이와 같은 액티브 엑스 혹은 응용프로그램의 경우 OS 등의 타 프로그램과의 호완성의 문제, 다운로드 및 설치하는 과정에서의 보안 취약성의 문제, 및 액티브 엑스 혹은 응용프로그램 자체의 사용 오류, 및 다운로드 및 설치하는 과정에서의 사용자 불편함 등의 많은 문제가 있었다. 또한, 종래의 보안토큰의 경우 보안토큰을 연결하는 사용자단말기에 스마트카드리더기 드라이버를 설치하여야 하는 번거러움이 있었다. However, in the case of such ActiveX or application programs, there is a problem of completing with other programs such as OS, a problem of security vulnerability during downloading and installation, an error in using ActiveX or application program itself, There are many problems such as user inconvenience in the course of the process. In addition, in the case of the conventional security token, it is troublesome to install the smart card reader driver in the user terminal connecting the security token.
한편, 보다 보안성을 강화시키기 위하여, 지문 정보를 이용한 인증 절차가 제시되었다. 그러나, 이와 같은 지문 정보만을 이용하여 인증을 하는 경우, 외부로부터의 해킹 위험성이 증가하고, 지문 정보의 유출 등의 문제가 발생할 수 있다. 또한, 지문 정보를 읽는 단말기를 구동하고, 지문 정보로부터 지문 템플릿을 추출하기 위하여, 사용자단말기에는 별도의 엑티브 엑스 혹은 응용프로그램을 설치하여야 하고, 이와 같은 엑티브 엑스 혹은 응용 프로그램에 의하여도 상기와 같은 문제점들이 발생하였다.Meanwhile, in order to further enhance security, an authentication procedure using fingerprint information has been proposed. However, when authentication is performed using only such fingerprint information, the risk of hacking from outside increases, and problems such as leakage of fingerprint information may occur. Further, in order to drive a terminal for reading fingerprint information and extract a fingerprint template from the fingerprint information, a separate Active X or application program must be installed in the user terminal, and such an Active X or application program also causes problems .
본 발명의 목적은, 생체정보인식 기반으로 보안성, 및 사용자 편의성을 강화시킨, 전자서명장치 및 이를 이용한 전자서명방법을 제공하는 것이다.An object of the present invention is to provide an electronic signature apparatus and an electronic signature method using the same that enhance security and user convenience based on biometric information recognition.
상기와 같은 목적을 달성하기 위하여 본 발명은, 사용자단말기로부터 전자서명요청을 수신하고, 생성된 전자서명을 사용자단말기로 송신하는 웹서버부; 생체정보의 인식 및 인식된 생체정보의 검증을 수행하는 생체정보인식모듈; 상기 생체정보인식모듈에서 생체정보검증이 확인되었을 때, 전자서명을 생성하는 보안토큰; 및 상기 웹서버부와 연결되어, 상기 보안토큰과 상기 생체정보인식모듈에 작업 요청을 수행하는, 전자서명생성부를 포함하고, 상기 웹서버부는 상기 사용자단말기와 HTTPS 규격에 따른 통신을 수행하는, 전자서명장치를 제공한다.According to an aspect of the present invention, there is provided a web server comprising: a web server unit receiving a digital signature request from a user terminal and transmitting the generated digital signature to a user terminal; A biometric information recognition module for recognizing biometric information and verifying the recognized biometric information; A security token for generating a digital signature when verification of the biometric information is confirmed in the biometric information recognition module; And an electronic signature generation unit, connected to the web server unit, for performing a task request to the security token and the biometric information recognition module, wherein the web server unit comprises: A signature device is provided.
본 발명에서는, 상기 전자서명장치는 전자서명생성부를 더 포함하고, 상기 전자서명생성부는, 상기 웹서버부와 인터페이싱을 수행하는 웹서버부인터페이싱부; 상기 보안토큰과 인터페이싱을 수행하는 보안토큰인터페이싱부; 및 상기 생체정보인식모듈과 인터페이싱을 수행하는 생체정보인식모듈인터페이싱부를 포함할 수 있다.In the present invention, the digital signature device further includes an electronic signature generation unit, wherein the digital signature generation unit includes: a web server unit interfacing unit for performing interfacing with the web server unit; A security token interfacing unit for interfacing with the security token; And a biometric information recognition module interfacing unit for performing interfacing with the biometric information recognition module.
본 발명에서는, 상기 생체정보인식모듈은, 생체정보 인식을 수행하는 생체정보인식부; 기저장된 생체정보와 인식된 생체정보의 검증을 수행하는 생체정보검증부; 및 상기 생체정보검증부에서 인식된 생체정보가 검증이 되는 경우, 상기 전자서명생성부에 전자서명생성요청을 수행하는 전자서명요청부를 포함할 수 있다.In the present invention, the biometric information recognition module may include: a biometric information recognition unit for performing biometric information recognition; A biometric information verifying unit for verifying previously stored biometric information and recognized biometric information; And an electronic signature request unit for requesting the electronic signature generation unit to generate an electronic signature when the biometric information recognized by the biometric information verification unit is verified.
본 발명에서는, 상기 보안토큰인터페이싱부는 PKCS#11의 표준 API를 포함하고, 상기 PKCS#11 규격에 따라 상기 보안토큰과 인터페이싱을 할 수 있다.In the present invention, the security token interfacing unit may include a standard API of PKCS # 11, and may interface with the security token according to the PKCS # 11 standard.
본 발명에서는, 상기 보안토큰은 상기 전자서명생성부와 독립적으로 운영될 수 있다.In the present invention, the security token may be operated independently of the digital signature generation unit.
본 발명에서는, 상기 웹서버부는 사용자단말기로부터 HTTPS 규격에 따른 통신으로 전자서명요청을 받고, 상기 웹서버부는 전자서명생성부에 전자서명요청을 하고, 상기 전자서명생성부는 상기 생체정보인식모듈인터페이싱부를 통하여 상기 생체인식모듈에 생체정보인식및검증요청을 수행하고, 상기 전자서명생성부는, 상기 생체정보인식모듈로부터 생체정보검증 확인을 받는 경우, 상기 보안토큰인터페이싱부를 통하여 상기 보안토큰에 보안토큰전자서명생성요청을 수행하고, 상기 웹서버부는 상기 보안토큰에서 생성된 전자서명을 HTTPS 규격에 따른 통신으로 사용자단말기에 전송할 수 있다.In the present invention, the web server unit receives a digital signature request from a user terminal in accordance with the HTTPS standard, and the web server unit sends an electronic signature request to the digital signature generation unit, and the digital signature generation unit transmits the digital signature to the biometric information recognition module interfacing unit Wherein the digital signature generation unit receives a biometric information verification request from the biometric information recognition module and transmits the security token digital signature to the security token through the security token interfacing unit, And the web server unit may transmit the digital signature generated in the security token to the user terminal through communication according to the HTTPS standard.
본 발명에서는, 상기 전자서명장치는 전자서명이력관리부를 더 포함하고, 상기 전자서명이력관리부는 사용자단말기로부터 수신된 전자서명요청, 사용자단말기로 송신된 생성된 전자서명, 또는 사용자단말기로부터 수신된 전자서명요청과 사용자단말기로 송신된 생성된 전자서명에 대한 이력을 기록할 수 있다.In the present invention, the digital signature apparatus further includes a digital signature history management unit, wherein the digital signature history management unit stores the digital signature request received from the user terminal, the generated digital signature transmitted to the user terminal, The history of the signature request and the generated digital signature transmitted to the user terminal can be recorded.
본 발명에서는, 상기 전자서명이력관리부는 전자서명과 관련된 기록된 이력을 상기 웹서버부를 통하여 외부의 전자서명관리서버로 송신할 수 있다.In the present invention, the digital signature history management unit may transmit the recorded history related to the digital signature to the external digital signature management server through the web server unit.
본 발명에서는, 상기 전자서명장치에는 2 이상의 사용자의 생체정보가 등록될 수 있고, 상기 생체정보검증부는 인식된 생체정보가 상기 등록된 2 이상의 사용자의 생체정보 중 하나와 일치하는 지 여부를 검증할 수 있다.In the present invention, the biometric information of two or more users can be registered in the digital signature device, and the biometric information verification unit verifies whether the recognized biometric information matches one of the biometric information of the two or more registered users .
본 발명에서는, 상기 전자서명장치는 전자서명이력관리부를 더 포함하고, 상기 전자서명이력관리부는 사용자단말기로부터 수신된 전자서명요청, 사용자단말기로 송신된 생성된 전자서명, 또는 사용자단말기로부터 수신된 전자서명요청과 사용자단말기로 송신된 생성된 전자서명에 대한 이력 및 인증된 사용자 정보를 기록할 수 있다.In the present invention, the digital signature apparatus further includes a digital signature history management unit, wherein the digital signature history management unit stores the digital signature request received from the user terminal, the generated digital signature transmitted to the user terminal, A signature request and a history of the generated digital signature sent to the user terminal and authenticated user information.
상기와 같은 과제를 해결하기 위하여, 본 발명은 사용자단말기로부터 사용자 비밀번호 및 전자서명요청을 수신하고, 생성된 전자서명을 사용자단말기로 송신하는 웹서버부; 생체정보의 인식 및 인식된 생체정보의 검증을 수행하는 생체정보인식모듈; 전자서명을 생성하는 보안토큰; 상기 웹서버부와 인터페이싱을 수행하는 웹서버인터페이싱부, 상기 보안토큰과 인터페이싱을 수행하는 보안토큰인터페이싱부, 상기 생체정보인식모듈과 인터페이싱을 수행하는 생체정보인식모듈인터페이싱부, 및 정당한 사용자의 사용자 비밀번호가 저장되고 사용자단말기로부터 수신된 사용자 비밀번호가 상기 정당한 사용자의 사용자 비밀번호와 일치하는 지를 검증하는 사용자비밀번호저장및검증부를 포함하는 전자서명생성부를 포함하고, 상기 보안토큰은 상기 생체정보인식모듈에서 생체정보검증이 확인되고, 사용자단말기로부터 수신된 상기 사용자 비밀번호가 상기 사용자비밀번호저장및검증부에 저장된 사용자 비밀번호와 일치하는 경우에, 전자서명을 생성하고, 상기 웹서버부는 상기 사용자단말기와 HTTPS 규격에 따른 통신을 수행하는, 전자서명장치를 제공한다.According to an aspect of the present invention, there is provided a web server comprising: a web server unit receiving a user password and an electronic signature request from a user terminal and transmitting the generated digital signature to a user terminal; A biometric information recognition module for recognizing biometric information and verifying the recognized biometric information; A security token that generates an electronic signature; A web server interfacing unit for interfacing with the web server unit, a security token interfacing unit for interfacing with the security token, a biometric information recognition module interfacing unit for interfacing with the biometric information recognition module, And a user password storing and verifying unit for verifying whether a user password stored in the user information storage unit and stored in the user information storage unit is stored in the storage unit and the user password received from the user terminal matches the user password of the legitimate user, Verification is confirmed and the user's password received from the user terminal matches the user's password stored in the user password storage and verification unit, the web server unit generates a digital signature, and the web server unit communicates with the user terminal in accordance with the HTTPS standard To do And it provides an electronic signature device.
상기와 같은 과제를 해결하기 위하여, 본 발명은, 사용자단말기가 HTTPS 규격에 따른 통신에 의하여 웹서버부에 전자서명요청을 수행하는 전자서명요청 단계; 상기 웹서버부가 전자서명생성부에 전자서명생성요청을 수행하는 제1 전자서명생성요청 단계; 상기 전자서명생성부가 생체정보인식모듈에 생체정보인식및검증요청을 수행하는 생체정보인식및검증요청 단계; 상기 생체정보인식모듈에서 외부로부터 사용자의 생체정보를 입력받고, 기저장된 사용자의 생체정보와 일치하는 지 여부를 판별하는 생체정보인식및검증 단계; 상기 생체정보인식모듈에서 입력된 사용자의 생체정보가 기저장된 사용자의 생체정보와 일치하는 경우, 상기 생체정보인식모듈에서 상기 전자서명생성부에 전자서명생성요청을 수행하는 제2 전자서명생성요청 단계; 상기 전자서명생성부가 보안토큰에 전자서명생성요청을 수행하는 제3 전자서명생성요청 단계; 상기 보안토큰이 전자서명을 수행하는 전자서명수행 단계; 상기 보안토큰이 상기 전자서명생성부에 전자서명을 전송하는 제1 전자서명전송 단계; 상기 전자서명생성부는 수신한 상기 전자서명을 상기 웹서버부에 전송하는 제2 전자서명전송 단계; 및 상기 웹서버부가 사용자단말기에 HTTPS 규격에 따른 통신에 의하여 전자서명을 전송하는 전자서명전송 단계;를 포함하는, 전자서명방법을 제공한다.According to an aspect of the present invention, there is provided an electronic signature requesting method, comprising: receiving an electronic signature request from a user terminal through a communication according to HTTPS standard; A first digital signature generation request step in which the web server unit issues a digital signature generation request to the digital signature generation unit; A biometric information recognition and verification request step in which the digital signature generation unit performs a biometric information recognition and verification request to the biometric information recognition module; A biometric information recognition and verification step of receiving biometric information of a user from the outside in the biometric information recognition module and discriminating whether or not the biometric information matches the biometric information of a previously stored user; A second digital signature generation step of performing a digital signature generation request to the digital signature generation unit by the biometric information recognition module when the biometric information of the user inputted from the biometric information recognition module coincides with the biometric information of the user, ; A third digital signature generation request step in which the digital signature generation unit performs a digital signature generation request to the security token; Performing an electronic signature in which the security token performs a digital signature; A first digital signature transmission step in which the security token transmits an electronic signature to the digital signature generation unit; The digital signature generation unit may include: a second digital signature transmission step of transmitting the received digital signature to the web server unit; And an electronic signature transmission step of the web server unit transmitting an electronic signature to the user terminal by communication according to the HTTPS standard.
본 발명에서는, 상기 웹서버부, 상기 전자서명생성부, 및 상기 생체정보인식모듈은 단일의 독립된 운영체제에 의하여 작업이 수행되고, 상기 보안토큰은 상기 운영체제와 독립적인 컨트롤러에 의하여 제어될 수 있다.In the present invention, the web server unit, the digital signature generation unit, and the biometric information recognition module may be operated by a single independent operating system, and the security token may be controlled by a controller independent of the operating system.
본 발명에서는, 상기 생체정보인식및검증요청 단계 및 상기 제3 전자서명생성요청 단계 중 하나 혹은 모두는 상기 전자서명생성부에 저장된 내부 API 에 의하여 작업이 수행될 수 있다.In the present invention, one or both of the biometric information recognition and verification request step and the third digital signature creation request step may be performed by an internal API stored in the digital signature generation unit.
본 발명에서는, 상기 제3 전자서명생성요청 단계는 PKCS#11의 표준 규격으로 수행될 수 있다.In the present invention, the third digital signature creation request step may be performed according to the standard of PKCS # 11.
본 발명에서는, 제1 전자서명생성요청 단계, 및 전자서명수행 단계 중 하나 혹은 모두에 대한 이력을 기록하는 전자서명이력기록 단계;를 더 포함할 수 있다.The present invention may further include an electronic signature history recording step of recording a history of one or both of the first digital signature creation request step and the digital signature performing step.
본 발명에서는, 상기 기록된 전자서명 관련 이력을 상기 웹서버부를 통하여 외부의 전자서명관리서버로 송신하는 서명이력전송 단계를 더 포함할 수 있다.The present invention may further comprise a signature history transmission step of transmitting the recorded digital signature related history to an external digital signature management server through the web server unit.
상기와 같은 과제를 해결하기 위하여, 본 발명은 웹서버부, 전자서명생성부, 보안토큰, 및 생체정보인식모듈을 포함하는 전자서명장치에 의한 전자서명방법으로서, 상기 웹서버부가 사용자단말기로부터 HTTPS 규격에 따른 통신에 의하여 전자서명요청을 수신하는 전자서명요청수신 단계; 상기 생체정보인식모듈에서 외부로부터 사용자의 생체정보를 입력받고, 기저장된 사용자의 생체정보와 일치하는 지 여부를 판별하는 생체정보인식및검증 단계; 상기 생체정보인식모듈에서 입력된 사용자의 생체정보가 기저장된 사용자의 생체정보와 일치하는 경우, 상기 보안토큰이 전자서명을 수행하는 전자서명수행 단계; 및 상기 웹서버부가 사용자단말기가 HTTPS 규격에 따른 통신에 의하여 전자서명을 전동하는 전자서명전송 단계;를 포함하고, 상기 전자서명생성부는 자체에 내장된 상기 보안토큰과 인터페이싱을 하는 PKCS#11 규격의 인터페이싱 API를 이용하여, 상기 보안토큰에 전자서명수행 단계를 요청하는, 전자서명방법을 제공한다.According to an aspect of the present invention, there is provided an electronic signature method using an electronic signature apparatus including a web server unit, an electronic signature generation unit, a security token, and a biometric information recognition module, An electronic signature request receiving step of receiving an electronic signature request by communication according to a standard; A biometric information recognition and verification step of receiving biometric information of a user from the outside in the biometric information recognition module and discriminating whether or not the biometric information matches the biometric information of a previously stored user; Performing an electronic signature on the security token when the biometric information of the user inputted from the biometric information recognition module is identical to the biometric information of the user; And a digital signature transmission step in which the web server unit transmits a digital signature to a user terminal through communication according to the HTTPS standard, and the digital signature generation unit generates a digital signature based on a PKCS # 11 standard for interfacing with the security token And an electronic signature is requested to the security token using an interfacing API.
본 발명에서는, 상기 웹서버부, 상기 전자서명생성부, 및 상기 생체정보인식모듈은 단일의 독립된 운영체제에 의하여 작업이 수행되고, 상기 보안토큰은 상기 운영체제와 독립적인 컨트롤러에 의하여 제어될 수 있다.In the present invention, the web server unit, the digital signature generation unit, and the biometric information recognition module may be operated by a single independent operating system, and the security token may be controlled by a controller independent of the operating system.
본 발명에서는, 전자서명요청수신 단계 및 전자서명수행 단계 중 하나 혹은 모두에 대한 이력을 기록하는 전자서명이력기록 단계;를 더 포함할 수 있다.The present invention may further include an electronic signature history recording step of recording a history of one or both of the digital signature request receiving step and the digital signature performing step.
상기와 같은 과제를 해결하기 위하여, 사용자단말기가 HTTPS 규격에 따른 통신에 의하여, 사용자가 입력한 사용자 비밀번호를 웹서버부에 전송하면서 웹서버부에 전자서명요청을 수행하는 전자서명요청 단계; 상기 웹서버부가 전자서명생성부에 전자서명생성을 요청하는 제1 전자서명생성요청 단계; 상기 전자서명생성부가 사용자단말기로부터 수신된 사용자 비밀번호가 기저장된 정당한 사용자의 사용자 비밀번호와 일치하는 지를 검증하는 사용자비밀번호검증 단계; 상기 전자서명생성부가 상기 사용자 비밀번호의 일치 여부가 검증되는 경우, 생체정보인식모듈에 생체정보인식및검증요청을 수행하는 생체정보인식및검증요청 단계; 상기 생체정보인식모듈에서 외부로부터 사용자의 생체정보를 입력받고, 기저장된 사용자의 생체정보와 일치하는 지 여부를 판별하는 생체정보인식및검증 단계; 상기 생체정보인식모듈에서 입력된 사용자의 생체정보가 기저장된 사용자의 생체정보와 일치하는 경우, 상기 생체정보인식모듈에서 상기 전자서명생성부에 전자서명생성요청을 수행하는 제2 전자서명생성요청 단계; 상기 전자서명생성부가 보안토큰에 전자서명생성요청을 수행하는 제3 전자서명생성요청 단계; 상기 보안토큰이 전자서명을 수행하는 전자서명수행 단계; 상기 보안토큰이 상기 전자서명생성부에 전자서명을 전송하는 제1 전자서명전송 단계; 상기 전자서명생성부는 수신한 상기 전자서명을 상기 웹서버부에 전송하는 제2 전자서명전송 단계; 및 상기 웹서버부가 사용자단말기에 HTTPS 규격에 따른 통신에 의하여 전자서명을 전동하는 전자서명전송 단계;를 포함하는, 전자서명방법을 제공한다.In order to solve the above problems, there is provided an electronic signature requesting step of performing an electronic signature request to a web server unit while a user terminal transmits a user password inputted by a user by communication according to the HTTPS standard to a web server unit. A first digital signature generation request step in which the web server unit requests the digital signature generation unit to generate an electronic signature; A user password verification step of verifying whether the user's password received from the user terminal matches the user's password of a previously stored legitimate user; A biometric information recognition and verification step of performing a biometric information recognition and verification request to the biometric information recognition module when the digital signature generation unit verifies whether the user password is matched; A biometric information recognition and verification step of receiving biometric information of a user from the outside in the biometric information recognition module and discriminating whether or not the biometric information matches the biometric information of a previously stored user; A second digital signature generation step of performing a digital signature generation request to the digital signature generation unit by the biometric information recognition module when the biometric information of the user inputted from the biometric information recognition module coincides with the biometric information of the user, ; A third digital signature generation request step in which the digital signature generation unit performs a digital signature generation request to the security token; Performing an electronic signature in which the security token performs a digital signature; A first digital signature transmission step in which the security token transmits an electronic signature to the digital signature generation unit; The digital signature generation unit may include: a second digital signature transmission step of transmitting the received digital signature to the web server unit; And an electronic signature transmission step in which the web server unit transmits a digital signature to a user terminal by communication according to the HTTPS standard.
본 발명은, 엑티브 엑스 혹은 응용프로그램의 다운, 설치, 및 구동에 의한 호완성의 문제, 보안 취약성의 문제, 사용 오류, 및 사용자 불편함 등을 야기하지 않고, 전자서명 인증절차를 수행할 수 있는 효과를 발휘할 수 있다.INDUSTRIAL APPLICABILITY The present invention can realize an electronic signature authentication procedure without causing problems of call completion, security vulnerability, use error, and user inconvenience due to downloading, installation, and driving of an active X or an application program .
본 발명은, 인터넷 연결만 가능하면 전자서명장치를 사용자단말기에 USB 등으로 연결함으로써, 바로 사용이 가능하기 때문에, 사용자의 편의성을 극대화시킬 수 있다.Since the present invention can be used immediately by connecting an electronic signature device to a user terminal via a USB or the like when only an Internet connection is available, the convenience of the user can be maximized.
본 발명은, 보안토큰 자체의 우수한 보안성을 기반으로 2차적으로 생체정보인증에 의한 보안강화가 이루어지기 때문에, 무결점의 수준의 보안성을 발휘할 수 있다.According to the present invention, since security is strengthened by biometric information authentication based on excellent security of the security token itself, it is possible to exert security at a level of zero defectiveness.
본 발명은, 보안토큰과 생체정보인증의 두 가지 방법을 결합함에도 불구하고, 전자서명장치 내부의 자체 웹서버부를 이용하기 때문에 보안토큰 및 생체정보인증 각각에 대한 엑티브 엑스 및 응용프로그램 다운, 설치, 및 구동이 필요 없이 사용자로 하여금 사용의 편의성을 극대화할 수 있다.The present invention uses an internal web server unit in the digital signature device, although it combines the two methods of security token and biometric information authentication. Therefore, And it is possible to maximize the convenience of use without requiring a drive.
본 발명은, 실질적으로 사용자가 자신의 전자서명장치를 사용자단말기에 연결하고, 지문 등의 생체정보만 입력함으로써 보안토큰과 생체정보인증을 결합한 형태의 강한 보안성을 발휘할 수 있기 때문에, 보안성 유지를 위한 사용자의 시간 투자 대비 매우 높은 보안성을 발휘할 수 있다.The present invention can exhibit strong security in the form of combining a security token and biometric information authentication by virtually connecting a user's own digital signature device to a user terminal and inputting only biometric information such as a fingerprint, It is possible to exhibit very high security against user's investment in time.
본 발명은, 법인의 전자서명 생성에 있어서 복수의 사용자의 지문을 등록하여, 하나의 법인 전자서명을 생성하는 형식으로도 용이하게 전환되어 사용할 수 있는 효과를 발휘할 수 있다.The present invention can exhibit an effect that a fingerprint of a plurality of users is registered in the digital signature generation of a corporation so that the digital signature can be easily converted and used even in the form of generating a digital signature of a corporation.
도 1은 본 발명에 따른 전자서명장치의 시스템을 나타내는 개념도.
도 2는 본 발명에 따른 전자서명장치의 내부 구성도.
도 3은 본 발명에 따른 전자서명장치의 세부 내부 구성도.
도 4는 본 발명에 따른 전자서명방법의 단계도.
도 5는 본 발명에 따른 전자서명방법의 서명이력전송 과정을 도시하는 단계도.
도 6은 본 발명에 따른 전자서명방법의 세부 단계도.,
도 7은 본 발명의 다른 실시예에 따른 전자서명장치의 세부 내부 구성도.
도 8은 본 발명의 다른 실시예에 따른 전자서명방법의 세부 단계도.
도 9는 본 발명에 따른 전자서명방법의 단계도.1 is a conceptual diagram showing a system of an electronic signature apparatus according to the present invention;
2 is an internal configuration diagram of an electronic signature apparatus according to the present invention;
3 is a detailed internal configuration diagram of an electronic signature apparatus according to the present invention;
Figure 4 is a step diagram of an electronic signature method according to the present invention;
5 is a diagram illustrating a signature history transmission process of an electronic signature method according to the present invention.
6 is a detailed step diagram of an electronic signature method according to the present invention.
7 is a detailed internal configuration diagram of an electronic signature apparatus according to another embodiment of the present invention;
8 is a detailed step diagram of an electronic signature method according to another embodiment of the present invention.
9 is a step diagram of an electronic signature method according to the present invention.
본 발명의 바람직한 실시 예를 첨부된 도면에 의하여 상세히 설명하면 다음과 같다. 본 발명의 상세한 설명에 앞서, 이하에서 설명되는 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니된다. 따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. Prior to the detailed description of the present invention, terms and words used in the present specification and claims should not be construed as limited to ordinary or dictionary terms. Therefore, the embodiments described in this specification and the configurations shown in the drawings are merely the most preferred embodiments of the present invention and do not represent all the technical ideas of the present invention. Therefore, It is to be understood that equivalents and modifications are possible.
본 명세서에 있어서, "생체정보"는 인간의 몸으로부터 획득된 식별 가능한 정보를 나타내는 것으로서, 지문, 손금, DNA, 홍채, 얼굴, 전신, 지정맥 등으로부터 획득된 정보를 포함하는 개념이다. 다만, 본 명세서에서는 설명의 편의상 주로 지문으로부터 획득된 정보를 이용하여 전자문서를 생성하고 이를 검증하는 것을 예로 들어 설명할 것이다.In the present specification, the term "biometric information" refers to identifiable information obtained from a human body, and is a concept including information obtained from fingerprints, handwriting, DNA, iris, face, telegraph, However, in the present specification, an electronic document is generated and verified using information obtained from a fingerprint for convenience of explanation.
본 명세서에 있어서, "사용자단말기"는 PC(personal computer), 데스크탑, 노트북, 타블렛, 스마트폰, PDA 등과 같은 다양한 컴퓨팅 장치 중 하나일 수 있으며, 웹환경에서 인터넷 뱅킹 등을 위해 은행 사이트와 같은 외부 기관에 접속할 수 있는 단말기에 해당한다.As used herein, the term "user terminal" may be any of a variety of computing devices such as a personal computer (PC), desktop, notebook, tablet, smart phone, PDA, It corresponds to a terminal that can connect to an institution.
본 명세서에 있어서, '모듈'이라 함은, 컴퓨팅 장치 내에서 설치되어 실행되는 소프트웨어, 컴퓨팅 장치 내의 하드웨어, 또는 소프트웨어와 하드웨어의 조합 중 어느 하나를 포함할 있다. As used herein, the term " module " includes any software installed and executed in a computing device, hardware within a computing device, or a combination of software and hardware.
도 1은 본 발명에 따른 전자서명장치(100)의 시스템을 나타내는 개념도이다. 도 1에 도시된 바와 같이, 본 발명의 전자서명장치(100)는 사용자단말기(200)와 직접적으로 연결되어 있고, 사용자단말기(200)는 검증서버(300)와 직접적으로 연결되어 있다. 1 is a conceptual diagram showing a system of an
여기서 검증서버(300)는 은행, 금융기관과 같은 직접적으로 금융 결재 작업이 이루어지는 기관일 수도 있고, 혹은 공인인증기관, 혹은 공인인증 관련 중계기관에 해당할 수 있다. 혹은, 검증서버(300)은 사내 보안서버, 사내 결재서버 등과 같이, 전자서명을 수신하여 정당한 사용자인지를 판별하는 기관에 해당한다면 모두 검증서버(300)에 해당될 수 있다.Here, the
한편, 본 발명에 따르면 하기와 같은 단계에 의하여, 전자서명의 요청 및 생성 및 송신이 이루어진다.Meanwhile, according to the present invention, a digital signature is requested, generated and transmitted by the following steps.
(단계 1) 사용자단말기(200)에서 검증서버(300)에 금융처리, 혹은 인증 등의 서비스를 요청(Step 1) The
(단계 2) 검증서버(300)에서 사용자단말기(200)에 인증 페이지 전송(Step 2) The
(단계 3) 사용자단말기(200)에서 전자서명장치(100)에 전자서명 요청(Step 3) When the
(단계 4) 전자서명장치(100)에서 생체정보인식을 수행한 후에, 전자서명을 생성하여, 사용자단말기(200)에 전송(Step 4) After performing the biometric information recognition in the
(단계 5) 사용자단말기(200)에서 검증서버(300)에 전자서명 전송(Step 5) The digital signature is transmitted from the
(단계 6) 검증서버(300)에서 사용자단말기(200)로 검증결과 전송(Step 6) The
이와 관련하여, 단계 1은 본 발명에 따른 전자서명장치(100)를 사용자단말기(200)에 연결함으로써, 자동적으로 수행될 수도 있다. 이와 같은 작동을 위하여, 전자서명장치(100)는 내장된 웹서버부(140)를 통하여, 사용자단말기(200)에 검증서버(300)에 금융, 인증 등의 서비스를 요청하는 페이지의 주소 및/또는 관련 사용자 정보를 전송할 수 있다. In this regard, step 1 may be performed automatically by connecting the
한편, 상기 단계 3과 관련하여, 사용자단말기(200)에서는 사용자가 입력한 정보 혹은 사용자단말기(200)에 기 저장된 정보를 이용하여 원문을 작성하여 전자서명장치(100)에 전자서명을 요청할 수도 있고, 혹은 단계 2의 과정에서 검증서버(300)에서 작성된 원문을 수신하여, 원문을 전자서명장치(100)에 전송할 수도 있고, 혹은, 단계 4에서 전자서명장치(100)에서 내부 데이터 및 사용자 정보를 이용하여 원문을 작성할 수도 있다. 본 발명에 따른 전자서명장치(100)에서는 특별한 원문의 작성 시점 및 전송 방법에 대하여는 한정되지 않는다.Meanwhile, in connection with the step 3, the
한편, 본 발명에 따른 전자서명장치(100)는 사용자단말기(200)와 HTTPS 규격에 따라 통신을 하고, 이를 위하여 보안토큰(130) 및 생체정보인식및검증을 위한 응용프로그램이 전자서명장치(100) 내부에 설치되어 있다.Meanwhile, the
도 2는 본 발명에 따른 전자서명장치(100)의 내부 구성도이다. 도 2에 도시된 바와 같이, 본 발명에 따른 전자서명장치(100)는 사용자단말기(200)로부터 전자서명요청을 수신하고, 생성된 전자서명을 사용자단말기(200)로 송신하는 웹서버부(140); 생체정보의 인식 및 인식된 생체정보의 검증을 수행하는 생체정보인식모듈(110); 상기 생체정보인식모듈(110)에서 생체정보검증이 확인되었을 때, 전자서명을 생성하는 보안토큰(130); 및 상기 웹서버부(140)와 연결되어, 상기 보안토큰(130)과 상기 생체정보인식모듈(110)에 작업 요청을 수행하는, 전자서명생성부(120); 사용자 정보, 사용자 생체정보 등을 저장하는 사용자정보저장부(150); 상기 보안토큰(130) 외의 상기 전자서명장치(100) 내부의 구성요소들의 작동을 위한 OS 혹은 컨트롤러를 포함하는 OS부(160); 및 사용자들의 전자서명 생성 혹은 전자서명 생성 시도에 대한 이력을 기록하는 전자서명이력관리부(170);를 포함한다.2 is an internal configuration diagram of an
본 발명에 따른 전자서명장치(100)의 상기 웹서버부(140)는 상기 사용자단말기(200)와 HTTPS 규격에 따른 통신을 수행하고, 사용자단말기(200)에서는 웹형식의 인터페이스로만 전자서명장치(100)와 사용자단말기(200)와 통신을 할 수 있다The
도 3은 본 발명에 따른 전자서명장치(100)의 세부 내부 구성도를 도시한다.Fig. 3 shows a detailed internal configuration diagram of the
도 3에 도시된 바와 같이, 생체정보인식모듈(110)은, 생체정보 인식을 수행하는 생체정보인식부(111); 기저장된 생체정보와 인식된 생체정보의 검증을 수행하는 생체정보검증부(112); 및 상기 생체정보검증부(112)에서 인식된 생체정보가 검증이 되는 경우, 상기 전자서명생성부(120)에 전자서명생성요청을 수행하는 전자서명요청부(113)를 포함한다. 사용자의 지문 등의 생체정보는 사용자정보저장부(150)에 저장되어 있음이 바람직하나, 생체정보인식모듈(110) 자체의 보안성을 더욱 강화하기 위하여, 생체정보인식모듈(110) 내부의 메모리에 저장될 수도 있다.As shown in FIG. 3, the biometric
생체정보검증부(112)는 인식된 생체정보와 저장된 정당한 사용자의 생체정보를 대비하여, 인식된 생체정보를 검증한다. 본 발명의 명세서에서 생체정보가 일치한다는 것은 100%의 정확한 일치의 범위를 넘어서, 원문 대조시 일치 부분의 영역이 기설정된 기준% 이상인 경우 혹은, 생체정보로부터 추출된 템플릿의 특징점 정보가 기설정된 기준 이상으로 일치하는 경우를 포함한다. The biometric
바람직하게는, 본 발명에서는 생체정보는 전자서명장치(100)의 내부에서만 검증되고, 이에 대한 템플릿 혹은 생체정보 자체가 암호화 혹은 비암호화되어 외부로 전송되지 않는 방식으로 작동한다. 이와 같은 작동방식에 의하면, 사용자의 생체정보의 누출 혹은 처리 과정에서 발생할 수 있는 오류나 보안상의 위협을 제거할 수 있다. 다만, 본 발명의 전자서명장치(100)는 검증서버(300)의 작동환경에 따라서, 인식된 생체정보 혹은 기저장된 정당한 사용자의 생체정보(인식된 생체정보가 기저장된 정당한 사용자의 생체정보와 일치함이 확인된 경우)의 원문 혹은 추출된 템플릿이 보안토큰(130)에서 암호화되거나 혹은 비암호화되어 상기 웹서버부(140)를 통하여 사용자단말기(200)로 전송되는 모드로 변경될 수도 있다.Preferably, in the present invention, the biometric information is verified only in the
한편, 도 3에 도시된 바와 같이, 본 발명에 따른 전자서명장치(100)는 전자서명생성부(120)를 더 포함하고, 상기 전자서명생성부(120)는, 상기 웹서버부(140)와 인터페이싱을 수행하는 웹서버인터페이싱부(121); 상기 보안토큰(130)과 인터페이싱을 수행하는 보안토큰인터페이싱부(122); 및 상기 생체정보인식모듈(110)과 인터페이싱을 수행하는 생체정보인식모듈인터페이싱부(123)를 포함한다. 본 발명의 상기 전자서명생성부(120)는 컴퓨팅 장치 내에서 설치되어 실행되는 소프트웨어, 컴퓨팅 장치 내의 하드웨어, 또는 소프트웨어와 하드웨어의 조합 중 어느 하나에 해당될 수 있다. 이와 같은 전자서명생성부(120)는 상기 OS부(160)에 의하여 작동될 수 있고, 위와 같은 인터페이싱을 수행하기 위한 응용프로그램들을 포함할 수 있다. 한편, 전자서명생성부(120)는 전자서명생성부(120) 내부의 구성요소들의 작동을 제어하기 위한 컨트롤러부(124)를 더 포함할 수 있다.3, the
본 발명에 따른 전자서명생성부(120)는 상기 웹서버부(140)로부터 명령을 수신하여, 생체정보인식모듈(110), 보안토큰(130)과 인터페이싱을 수행한다. 예를 들어, 상기 전자서명생성부(120)가 최초로 웹서버부(140)로부터 전자서명생성요청을 수신하는 경우, 전자서명생성부(120)는 생체정보인식모듈(110)에 대하여, 생체정보 인식 및 검증을 수행할 것을 요청한다. 이후, 생체정보인식모듈(110)로부터의 생체정보검증 결과를 수신하고, 검증결과가 긍정적인 경우, 즉 인식된 생체정보와 기저장된 정당한 사용자의 생체정보가 일치하는 경우, 상기 보안토큰(130)에 대하여 전자서명 생성을 요청한다. 이와 같이 보안토큰(130)에 대하여 전자서명 생성을 요청하기 위해서는 보안토큰(130)과 인터페이싱을 할 수 있는 API가 필요하고, 본 발명에 따르면, 이와 같은 API는 사용자단말기(200)에 엑티브 엑스 혹은 응용 프로그램 형태로 설치되는 것이 아니라, 보안토큰인터페이싱부(122)에 내장되어 있다. The digital
바람직하게는, 상기 보안토큰인터페이싱부(122)는 PKCS#11의 표준 API를 포함하고, 상기 PKCS#11 규격에 따라 상기 보안토큰(130)과 인터페이싱을 할 수 있다.Preferably, the security
한편, 전자서명생성부(120)의 보안토큰인터페이싱부(122)는 보안토큰(130)에서의 암호화키(개인키, 공개키) 생성, 관리, 초기화, 검증 등과 관련된 명령어 C_initialize, C_finalize, C_GetSlotList, C_CreateObject, C_DestroyObject, C_Sign 등의 표준 인터페이스의 API를 내장한다.Meanwhile, the security
한편, 상기 보안토큰(130)은 프로세서와 메모리를 내장하고 있고, 암호 알고리즘 연산시에 메모리에 저장되어 있는 개인키 등이 보안토큰(130) 외부로 노출되지 않는 하드웨어이다. 본 발명에 따른 보안토큰(130)은 공개키 기반 구조(PKI)의 전자서명을 수행할 수 있다. 공개키 기반 구조(PKI)의 전자서명에서는 원문의 HASH 값을 사용자의 개인키를 이용하여 암호화하여, 서명문을 생성하고, 이를 웹서버부(140) 및 사용자단말기(200)를 통하여 전자서명 요청자인 검증서버(300)에 전송하는 구조이다. 검증서버(300)는 통상적으로, 서명문을 공개키로 복호화함으로써 원문의 HASH 값을 얻을 수 있고, 이를 원문의 HASH값가 비교함으로써, 전자서명의 진위를 확인할 수 있다. 본 발명의 보안토큰(130)은 이와 같은 공개키 기반 구조의 전자서명 방식으로 전자서명을 수행함이 바람직하나, 이에 한정되지는 않는다.The
한편, 상기 보안토큰(130)은 키생성/관리부(131), 전자서명수행부(132), 보안토큰컨트롤러부(133)를 포함한다. 보안토큰(130)은 자체의 메모리와 프로세서에 의하여 독립적으로 작동할 수 있고, 이와 같은 동작은 보안토큰컨트롤러부(133)에 의하여 운영 및 제어된다. 상기 보안토큰컨트롤러부(133)는 보안토큰(130)을 운영하기 위한 내장 OS, 응용프로그램, 또는 펌웨어를 포함할 수 있다.The
한편, 본 발명에 따른 전자서명장치(100)의 생체정보인식모듈(110), 전자서명생성부(120), 웹서버부(140), 사용자정보저장부(150), 전자서명이력관리부(170)는 상기 OS부(160)에 의하여 운영되어 작동함이 바람직하다. 반면, 보안토큰(130)은 상기 OS부(160)와 별도로 작동하여, 전자서명을 수행함이 바람직하다.Meanwhile, the biometric
이와 같은 구성에서, 상기 웹서버부(140)는 사용자단말기(200)로부터 HTTPS 규격에 따른 통신으로 전자서명요청을 받고, 상기 웹서버부(140)는 전자서명생성부(120)에 전자서명요청을 하고, 상기 전자서명생성부(120)는 상기 생체정보인식모듈인터페이싱부(123)를 통하여 상기 생체인식모듈에 생체정보인식및검증요청을 수행하고, 상기 전자서명생성부(120)는, 상기 생체정보인식모듈(110)로부터 생체정보검증 확인을 받는 경우, 상기 보안토큰인터페이싱부(122)를 통하여 상기 보안토큰(130)에 보안토큰에서의 전자서명생성요청을 수행하고, 상기 웹서버부(140)는 상기 보안토큰(130)에서 생성된 전자서명을 HTTPS 규격에 따른 통신으로 사용자단말기(200)에 전송한다.In this configuration, the
이와 같이 본 발명에서는, 사용자단말기(200)와의 통신이 전자서명장치(100) 내부에 배치된 웹서버부(140)에 의하여 HTTPS 표준 규격에 따라 이루어진다. 따라서, 사용자단말기(200)는 별도의 엑티브 엑스, 혹은 응용프로그램의 설치 없이, 전자서명장치(100)로부터 웹문서를 수신하고, 이와 같이 수신한 웹문서에 의하여 검증서버(300)와의 인증 절차를 수행할 수 있다. 즉, 본 발명의 전자서명장치(100)는 하나의 웹서버부(140)를 포함하는 장치이다.As described above, in the present invention, communication with the
한편, 본 발명에 따른 상기 전자서명장치(100)는 전자서명이력관리부(170)를 더 포함하고, 상기 전자서명이력관리부(170)는 상기 전자서명장치(100)의 작동 이력을 기록 및 관리한다. 구체적으로, 상기 전자서명이력관리부(170)는 사용자단말기(200)로부터 수신된 전자서명요청, 사용자단말기(200)로 송신된 생성된 전자서명, 또는 사용자단말기(200)로부터 수신된 전자서명요청과 사용자단말기(200)로 송신된 생성된 전자서명에 대한 이력, 사용자로부터 입력받은 생체정보 등을 기록한다. 이와 같이 기록된 이력은 상기 웹서버부(140)를 통하여 사용자단말기(200)에서 확인을 할 수 있다.Meanwhile, the
또한, 상기 전자서명이력관리부(170)는 전자서명과 관련된 기록된 이력을 상기 웹서버부(140)를 통하여 외부의 전자서명관리서버로 송신할 수 있다. In addition, the digital signature
본 발명의 전자서명장치(100)는 법인에서의 사용인 경우, 사용자정보저장부(150) 혹은 생체정보인식모듈(110) 자체에 복수의 생체정보를 등록하고, 인식된 사용자의 생체정보가 기등록된 정당한 사용자의 생체정보들 중 하나와 일치하는 경우, 상기 생체정보인식모듈(110)의 상기 전자서명요청부(113)에서 상기 전자서명생성부(120)에 전자서명생성요청을 수행할 수도 있다.The
이와 같은 경우, 상기 전자서명이력관리부(170)는 사용자단말기(200)로부터 수신된 전자서명요청, 사용자단말기(200)로 송신된 생성된 전자서명, 또는 사용자단말기(200)로부터 수신된 전자서명요청과 사용자단말기(200)로 송신된 생성된 전자서명에 대한 이력과 함께, 전자서명요청, 저자서명생성과 관련된 사용자 정보 및 사용자의 인식된 생체정보 등을 기록할 수 있다. 즉, 어떠한 사용자가 어떠한 생체정보로 전자서명을 요청하였는지를 기록할 수 있다.In this case, the digital signature
한편, 도 7은 본 발명의 다른 실시예에 따른 전자서명장치(100)의 세부 내부 구성도이다. 7 is a detailed internal configuration diagram of an
도 7에 도시된 바와 같이, 본 발명의 다른 실시예에 따른 전자서명장치(100)는 사용자단말기(200)로부터 사용자 비밀번호 및 전자서명요청을 수신하고, 생성된 전자서명을 사용자단말기(200)로 송신하는 웹서버부(140); 7, the
생체정보의 인식 및 인식된 생체정보의 검증을 수행하는 생체정보인식모듈(110); A biometric
전자서명을 생성하는 보안토큰(130);A security token (130) for generating a digital signature;
상기 웹서버부(140)와 인터페이싱을 수행하는 웹서버인터페이싱부(121), 상기 보안토큰(130)과 인터페이싱을 수행하는 보안토큰인터페이싱부(122), 상기 생체정보인식모듈(110)과 인터페이싱을 수행하는 생체정보인식모듈인터페이싱부(123), 및 정당한 사용자의 사용자 비밀번호가 저장되고 사용자단말기(200)로부터 수신된 사용자 비밀번호가 상기 정당한 사용자의 사용자 비밀번호와 일치하는 지를 검증하는 사용자비밀번호저장및검증부(125), 및 상기 웹서버인터페이싱부(121), 보안토큰인터페이싱부(122), 생체정보인식모듈인터페이싱부(123), 사용자비밀번호저장및검증부(125)의 작업을 제어하는 컨트롤러부(124)를 포함하는 전자서명생성부(120);,A web
사용자 정보, 사용자 생체정보 등을 저장하는 사용자정보저장부(150); A user
상기 보안토큰(130) 외의 상기 전자서명장치(100) 내부의 구성요소들의 작동을 위한 OS 혹은 컨트롤러를 포함하는 OS부(160); 및 An
사용자들의 전자서명 생성 혹은 전자서명 생성 시도에 대한 이력을 기록하는 전자서명이력관리부(170);를 포함한다.And an electronic signature
도 7에 도시된 본 발명에 따른 전자서명장치(100)의 상기 웹서버부(140)는 상기 사용자단말기(200)와 HTTPS 규격에 따른 통신을 수행하고, 사용자단말기(200)에서는 웹형식의 인터페이스로 전자서명장치(100)와 사용자단말기(200)와 통신을 할 수 있다. 이와 같은 구성에 의하여, 사용자단말기(200)가 별도의 엑티브 엑스 혹은 응용 프로그램 없이 생체정보인식을 통한 전자서명 과정을 수행할 수 있다.The
도 7에 도시된 바와 같이, 내부에 정당한 사용자의 사용자 비밀번호가 저장되고, 사용자단말기(200)로부터 수신된 사용자 비밀번호가 상기 정당한 사용자의 사용자 비밀번호와 일치하는 지를 검증하는 사용자비밀번호저장및검증부(125)를 포함한다. 혹은 사용자정보저장부(150)에는 정당한 사용자의 사용자 비밀번호가 저장될 수도 있다.7, a user password of a legitimate user is stored therein, and a user password storage and
이와 같이, 전자서명생성부(120)에서 사용자단말기(200)로부터 수신된 사용자 비밀번호가 검증되는 경우, 전자서명생성부(120)는 생체정보인식모듈(110)에 생체정보 인식 및 검증을 요청하고, 생체정보인식모듈(110)에서 인식된 생체정보가 검증된 경우, 즉 비밀번호와 생체정보의 두 가지 조건이 충족되는 경우, 전자서명생성부(120)는 보안토큰(130)에게 전자서명생성 요청을 수행한다. When the digital
즉, 상기 보안토큰(130)은 상기 생체정보인식모듈(110)에서 생체정보검증이 확인되고, 사용자단말기(200)로부터 수신된 상기 사용자 비밀번호가 상기 사용자비밀번호저장및검증부(125)에 저장된 사용자 비밀번호와 일치하는 경우에, 전자서명을 생성한다.That is, the
이와 같은 실시예에서는 도 3에 도시된 전자서명장치(100)보다 보다 나은 보안성을 확보할 수 있다. In this embodiment, it is possible to secure better security than the
이하에서는 본 발명의 전자서명장치(100)를 이용한 전자서명방법에 대하여 설명하도록 한다.Hereinafter, a digital signature method using the
도 6은 본 발명에 따른 전자서명방법의 세부 단계도이다. 6 is a detailed step diagram of the digital signature method according to the present invention.
도 6에 도시된 바와 같이, 본 발명에 따른 전자서명방법은 사용자단말기(200)가 HTTPS 규격에 따른 통신에 의하여 전자서명장치(100)의 웹서버부(140)에 전자서명요청을 수행하는 전자서명요청 단계(S300);에 의하여 시작된다. 이와 같이 본 발명의 전자서명장치(100)는 HTTPS 규격에 따라서 전자서명장치(100)의 웹서버부(140)가 사용자단말기(200)와 웹형식으로 통신을 수행하고, 전자서명장치(100) 내부에 생체정보 인식 및 보안토큰 운영에 대한 프로그램이 내장되어 있기 때문에, 사용자는 별도의 엑티브 엑스, 혹은 응용 프로그램 없이 빠르고 편리하게, 보안토큰(130)과 생체정보 인식을 조합한 강화된 보안성을 확보하면서, 전자서명을 생성할 수 있다.6, an electronic signature method according to the present invention is a method in which a
이후, 상기 웹서버부(140)는 전자서명생성부(120)에 전자서명생성요청을 수행하는 제1 전자서명생성요청 단계(S410);를 수행한다. 이와 같이, 웹서버부(140)는 HTTPS 규격에 따른 통신으로 외부와 통신하고, 외부로부터의 입력 신호를 전자서명생성부(120)에 전달한다.Then, the
상기 전자서명생성부(120)가 제1 전자서명생성요청을 상기 웹서버부(140)로부터 수신하면, 상기 전자서명생성부(120)는 상기 생체정보인식모듈인터페이싱부(123)를 통하여 생체정보인식모듈(110)에 생체정보인식및검증의 수행을 요청하는 생체정보인식및검증요청 단계(S420)을 수행한다.When the digital
이후, 상기 생체정보인식모듈(110)은 외부로부터 사용자의 생체정보를 입력받고, 기저장된 사용자의 생체정보와 일치하는 지 여부를 판별하는 생체정보인식및검증 단계(S430)을 수행하고, 상기 생체정보인식모듈(110)에서 입력된 사용자의 생체정보가 생체정보인식모듈(110) 자체 혹은 사용자정보저장부(150)에 기저장된 사용자의 생체정보와 일치하는 경우, 상기 생체정보인식모듈(110)에서 상기 전자서명생성부(120)에 전자서명생성요청을 수행하는 제2 전자서명생성요청 단계(S440)을 수행한다. 이와 같은 제2 전자서명생성요청 단계(S440)는 실질적으로 생체정보인식모듈(110)에서 인식된 생체정보가 인증이 되었다는 생체정보인증 결과를 전송하는 것과 실질적으로 동일하다.Hereinafter, the biometric
이후, 상기 전자서명생성부(120)는 보안토큰(130)에 전자서명생성요청을 수행하는 제3 전자서명생성요청 단계(S450)을 수행하고, 이에 따라 상기 보안토큰(130)은 전자서명을 수행하는 전자서명수행 단계(S460);을 수행한다.The digital
이후, 상기 보안토큰(130)은 상기 전자서명생성부(120)에 생성된 전자서명을 전송하는 제1 전자서명전송 단계(S470);을 수행하고, 상기 전자서명생성부(120)는 수신한 상기 전자서명을 상기 웹서버부(140)에 전송하는 제2 전자서명전송 단계(S480)를 수행하고, 최종적으로 상기 웹서버부(140)가 사용자단말기(200)에 HTTPS 규격에 따른 통신에 의하여 전자서명을 전송하는 전자서명전송 단계(S500);를 수행한다.Hereinafter, the
이와 같은, 상기 웹서버부(140), 상기 전자서명생성부(120), 및 상기 생체정보인식모듈(110)은 단일의 독립된 운영체제, 즉 OS부(160)에 작업이 제어되고, 상기 보안토큰(130)은 상기 운영체제와 독립적인 컨트롤러에 의하여 제어된다.The
상기 보안토큰(130)은 프로세서와 메모리를 내장하고 있고, 암호 알고리즘 연산시에 메모리에 저장되어 있는 개인키 등이 보안토큰(130) 외부로 노출되지 않는 하드웨어이다. 본 발명에 따른 보안토큰(130)은 공개키 기반 구조(PKI)의 전자서명을 수행할 수 있다. 공개키 기반 구조(PKI)의 전자서명에서는 원문의 HASH 값을 사용자의 개인키를 이용하여 암호화하여, 서명문을 생성하고, 이를 웹서버부(140) 및 사용자단말기(200)를 통하여 전자서명 요청자인 검증서버(300)에 전송하는 구조이다. 검증서버(300)는 통상적으로, 서명문을 공개키로 복호화함으로써 원문의 HASH 값을 얻을 수 있고, 이를 원문의 HASH값가 비교함으로써, 전자서명의 진위를 확인할 수 있다. 본 발명의 보안토큰(130)은 이와 같은 공개키 기반 구조의 전자서명 방식으로 전자서명을 수행함이 바람직하나, 이에 한정되지는 않는다.The
한편, 본 발명의 전자서명방법에서는, 상기 생체정보인식및검증요청 단계 및 상기 제3 전자서명생성요청 단계 중 하나 혹은 모두는 상기 전자서명생성부(120)에 저장된 내부 API 에 의하여 작업이 수행됨이 바람직하다. 이와 같은 구성과 함께 본 발명의 웹서버부(140)를 이용하여 사용자단말기(200)와 HTTPS 규격에 따라 통신을 하는 구성에 의하여, 본 발명의 전자서명방법에서는 사용자단말기(200)에 별도의 액티브 엑스 혹은 응용 프로그램을 설치하지 않고, 보안토큰(130)과 생체정보의 이점을 모두 갖는 전자서명을 수행할 수 있다.Meanwhile, in the digital signature method of the present invention, one or both of the biometric information recognition and verification request step and the third digital signature creation request step are performed by the internal API stored in the digital
바람직하게는, 상기 제3 전자서명생성요청 단계는 PKCS#11의 표준 규격으로 수행되고, 이와 같은 PKCS#11 규격의 API는 상기 전자서명장치(100)의 전자서명생성부(120)에 내장되어 있다.Preferably, the third digital signature generation request step is performed according to the standard of PKCS # 11, and the API of the PKCS # 11 standard is embedded in the digital
바람직하게는, 본 발명에 따른 전자서명방법은 전자서명의 내역을 기록하기 위하여, 제1 전자서명생성요청 단계(S410), 및 전자서명수행 단계(S460) 중 하나 혹은 모두에 대한 이력을 기록하는 전자서명이력기록 단계를 더 수행할 수 있다.Preferably, the digital signature method according to the present invention records the history of one or both of the first digital signature generation request step (S410) and the digital signature execution step (S460) in order to record the details of the digital signature The electronic signature history recording step can be further performed.
제1 전자서명생성요청 단계(S410)는 전자서명 생성을 시도한 것에 대한 이력을 나타내며, 전자서명수행 단계(S460)는 최종적으로 전자서명 생성이 된 것에 대한 이력을 나타낸다. 복수의 사용자의 생체정보가 등록되는 경우에는 전자서명 생성을 시도한 사용자의 개별적인 정보, 및/또는 개별적으로 인식시킨 생체정보가 기록될 수 있다.The first digital signature creation request step (S410) represents the history of the attempted generation of the digital signature, and the digital signature execution step (S460) represents the history of the digital signature generation finally. When biometric information of a plurality of users is registered, individual information of the user who has attempted to generate the digital signature and / or biometric information individually recognized can be recorded.
한편, 도 5는 본 발명에 따른 전자서명방법의 서명이력전송 과정을 도시하는 단계도이다. 도 5에 도시된 바와 같이, 전자서명장치(100)가 전자서명생성 단계(S400)을 수행하는 경우, 전자서명장치(100)는 외부의 전자서명관리서버로 전자서명이력전송 단계(S900)을 수행할 수 있다.FIG. 5 is a flowchart illustrating a signature history transmission process of the digital signature method according to the present invention. 5, when the
혹은, 도 5에는 도시되어 있지 않지만, 제1 전자서명생성요청 단계가 행해진 후에, 전자서명장치(100)는 외부의 전자서명관리서버로 전자서명이력전송 단계(S900)을 수행할 수도 있다. 마찬가지로, 제1 전자서명생성요청 단계(410)는 전자서명 생성을 시도한 것에 대한 이력을 나타내며, 전자서명수행 단계는 최종적으로 전자서명 생성이 된 것에 대한 이력을 나타낸다. 복수의 사용자의 생체정보가 등록되는 경우에는 전자서명 생성을 시도한 사용자의 개별적인 정보, 및 개별적으로 인식시킨 생체정보가 기록하여, 이를 전송할 수 있다.Alternatively, although not shown in FIG. 5, after the first digital signature creation request step is performed, the
도 8은 본 발명의 다른 실시예에 따른 전자서명방법의 세부 단계도를 도시한다. 8 shows a detailed step diagram of an electronic signature method according to another embodiment of the present invention.
도 8에 도시된 본 발명의 전자서명방법은 사용자단말기(200)가 HTTPS 규격에 따른 통신에 의하여, The electronic signature method of the present invention shown in Fig. 8 is a method in which the
사용자가 입력한 사용자 비밀번호를 웹서버부(140)에 전송하면서 웹서버부(140)에 전자서명요청을 수행하는 전자서명요청 단계(S300); An electronic signature requesting step (S300) of sending an electronic signature request to the web server unit (140) while transmitting the user password inputted by the user to the web server unit (140);
상기 웹서버부(140)가 전자서명생성부(120)에 전자서명생성을 요청하는 제1 전자서명생성요청 단계(S410); A first digital signature generation request step (S410) in which the
상기 전자서명생성부(120)가 사용자단말기(200)로부터 수신된 사용자 비밀번호가 기저장된 정당한 사용자의 사용자 비밀번호와 일치하는 지를 검증하는 사용자비밀번호검증 단계(S415); A user password verification step (S415) of verifying whether the digital signature generating unit (120) matches a user password received from the user terminal (200) and a user password of a legitimate user previously stored;
상기 전자서명생성부(120)가 상기 사용자 비밀번호의 일치 여부가 검증되는 경우, 생체정보인식모듈(110)에 생체정보인식및검증요청을 수행하는 생체정보인식및검증요청 단계(S420); A biometric information recognition and verification step (S420) of performing biometric information recognition and verification request to the biometric
상기 생체정보인식모듈(110)에서 외부로부터 사용자의 생체정보를 입력받고, 기저장된 사용자의 생체정보와 일치하는 지 여부를 판별하는 생체정보인식및검증 단계(S430); A biometric information recognition and verification step (S430) of receiving biometric information of a user from the outside in the biometric
상기 생체정보인식모듈(110)에서 입력된 사용자의 생체정보가 기저장된 사용자의 생체정보와 일치하는 경우, 상기 생체정보인식모듈(110)에서 상기 전자서명생성부(120)에 서명생성요청을 수행하는 제2 전자서명생성요청 단계(S440); 이와 같은 제2 전자서명생성요청 단계(S440)은 실질적으로 생체정보인식모듈(110)에서 인식된 생체정보가 인증이 되었다는 생체정보인증 결과를 전송하는 것과 실질적으로 동일하고;When the biometric information of the user input from the biometric
상기 전자서명생성부(120)가 보안토큰(130)에 전자서명생성요청을 수행하는 제3 전자서명생성요청 단계(S450);A third digital signature generation request step (S450) in which the digital
상기 보안토큰(130)이 전자서명을 수행하는 전자서명수행 단계(S460);Performing an electronic signature (S460) in which the security token (130) performs a digital signature;
상기 보안토큰(130)이 상기 전자서명생성부(120)에 전자서명을 전송하는 제1 전자서명전송 단계(S470);A first digital signature transmission step (S470) in which the security token (130) transmits an electronic signature to the digital signature generation unit (120);
상기 전자서명생성부(120)는 수신한 상기 전자서명을 상기 웹서버부(140)에 전송하는 제2 전자서명전송 단계(S480); 및 The digital
상기 웹서버부(140)가 사용자단말기(200)에 HTTPS 규격에 따른 통신에 의하여 전자서명을 전동하는 전자서명전송 단계(S500);를 포함한다.And an electronic signature transmission step (S500) in which the
이와 같은 실시예에서는, 결과적으로 사용자가 입력한 비밀번호가 기저장된 정당한 사용자의 비밀번호와 동일한 경우에만 최종적으로 전자서명을 생성할 수 있기 때문에, 생체정보가 위조 혹은 변조되더라도, 사용자 비밀번호에 의하여 보안성을 확보할 수 있다.In this embodiment, the electronic signature can be finally generated only if the password entered by the user is the same as the pre-stored password of the legitimate user. Therefore, even if the biometric information is falsified or altered, .
도 9는 본 발명의 웹서버부(140), 전자서명생성부(120), 보안토큰(130), 및 생체정보인식모듈(110)을 포함하는 전자서명장치(100)에 의한 전자서명방법에 대한 단계도이다. 이하에서는 본 발명의 전자서명방법을 설명한다.9 is a flowchart illustrating an electronic signature method by the
본 발명의 전자서명방법은 상기 웹서버부(140)가 사용자단말기(200)로부터 HTTPS 규격에 따른 통신에 의하여 전자서명요청을 수신하는 전자서명요청수신 단계(S300.1); The digital signature method of the present invention includes: an electronic signature request receiving step (S300.1) wherein the
상기 생체정보인식모듈(110)에서 외부로부터 사용자의 생체정보를 입력받고, 기저장된 사용자의 생체정보와 일치하는 지 여부를 판별하는 생체정보인식및검증 단계(S430); A biometric information recognition and verification step (S430) of receiving biometric information of a user from the outside in the biometric
상기 생체정보인식모듈(110)에서 입력된 사용자의 생체정보가 기저장된 사용자의 생체정보와 일치하는 경우, 상기 보안토큰(130)이 전자서명을 수행하는 전자서명수행 단계(S460); 및 An electronic signature performing step (S460) in which the security token (130) performs a digital signature when the biometric information of the user inputted from the biometric information recognition module (110) coincides with the biometric information of the user stored previously; And
상기 웹서버부(140)가 사용자단말기(200)가 HTTPS 규격에 따른 통신에 의하여 전자서명을 전동하는 전자서명전송 단계(S500);를 포함한다.And an electronic signature transmission step (S500) in which the
이와 같은 방법에서, 상기 전자서명생성부(120)는 자체에 내장된 상기 보안토큰(130)과 인터페이싱을 하는 PKCS#11 규격의 인터페이싱 API를 이용하여, 상기 보안토큰(130)에 전자서명수행 단계를 수행할 것을 요청한다.In this way, the
이와 같은 본 발명에 따른 전자서명방법에서는 전자서명장치(100)가 사용자단말기(200)와 HTTPS 규격에 따라 통신을 하고, 보안토큰(130) 및 생체정보인식및검증을 위한 API가 전자서명장치(100) 내부에 설치되어 있기 때문에, 사용자는 별도의 엑티브 엑스 혹은 응용프로그램을 설치하는 일 없이, 일반적인 웹을 이용하는 형식으로 보안토큰(130) 및 생체정보인식기반 인증을 동시에 수행할 수 있다.In the digital signature method according to the present invention, the
또한, 본 발명의 전자서명방법은 상기 웹서버부(140), 상기 전자서명생성부(120), 및 상기 생체정보인식모듈(110)은 단일의 독립된 운영체제에 의하여 작업이 수행되고, 상기 보안토큰(130)은 상기 운영체제와 독립적인 컨트롤러에 의하여 제어된다. 이와 같은 구성으로, 보안토큰(130) 자체의 보안성을 유지하면서, 사용자의 편의성을 증대시킬 수 있다.Also, in the digital signature method of the present invention, the
본 발명은, 엑티브 엑스 혹은 응용프로그램의 다운, 설치, 및 구동에 의한 호완성의 문제, 보안 취약성의 문제, 사용 오류, 및 사용자 불편함 등을 야기하지 않고, 전자서명 인증절차를 수행할 수 있는 효과를 발휘할 수 있다.INDUSTRIAL APPLICABILITY The present invention can realize an electronic signature authentication procedure without causing problems of call completion, security vulnerability, use error, and user inconvenience due to downloading, installation, and driving of an active X or an application program .
본 발명은, 인터넷 연결만 가능하면 전자서명장치를 사용자단말기에 USB 등으로 연결함으로써, 바로 사용이 가능하기 때문에, 사용자의 편의성을 극대화시킬 수 있다.Since the present invention can be used immediately by connecting an electronic signature device to a user terminal via a USB or the like when only an Internet connection is available, the convenience of the user can be maximized.
본 발명은, 보안토큰 자체의 우수한 보안성을 기반으로 2차적으로 생체정보인증에 의한 보안강화가 이루어지기 때문에, 무결점의 수준의 보안성을 발휘할 수 있다.According to the present invention, since security is strengthened by biometric information authentication based on excellent security of the security token itself, it is possible to exert security at a level of zero defectiveness.
본 발명은, 보안토큰과 생체정보인증의 두 가지 방법을 결합함에도 불구하고, 전자서명장치 내부의 자체 웹서버를 이용하기 때문에 보안토큰 및 생체정보인증 각각에 대한 엑티브 엑스 및 응용프로그램 다운, 설치, 및 구동이 필요 없이 사용자로 하여금 사용의 편의성을 극대화할 수 있다.Although the present invention combines two methods of security token and biometric information authentication, it uses an own web server in the digital signature device. Therefore, it is possible to provide an active X and application program for each security token and biometric information authentication, And it is possible to maximize the convenience of use without requiring a drive.
본 발명은, 실질적으로 사용자가 자신의 전자서명장치를 사용자단말기에 연결하고, 지문 등의 생체정보만 입력함으로써 보안토큰과 생체정보인증을 결합한 형태의 강한 보안성을 발휘할 수 있기 때문에, 보안성 유지를 위한 사용자의 시간 투자 대비 매우 높은 보안성을 발휘할 수 있다.The present invention can exhibit strong security in the form of combining a security token and biometric information authentication by virtually connecting a user's own digital signature device to a user terminal and inputting only biometric information such as a fingerprint, It is possible to exhibit very high security against user's investment in time.
본 발명은, 법인의 전자서명 생성에 있어서 복수의 사용자의 지문을 등록하여, 하나의 법인 전자서명을 생성하는 형식으로도 용이하게 전환되어 사용할 수 있는 효과를 발휘할 수 있다.The present invention can exhibit an effect that a fingerprint of a plurality of users is registered in the digital signature generation of a corporation so that the digital signature can be easily converted and used even in the form of generating a digital signature of a corporation.
본 발명은 상기한 실시 예에 한정되는 것이 아니라, 본 발명의 요지에 벗어나지 않는 범위에서 다양하게 변경하여 실시할 수 있으며 이는 본 발명의 구성에 포함됨을 밝혀둔다.It will be understood by those skilled in the art that various changes and modifications may be made without departing from the scope of the present invention.
Claims (21)
사용자단말기로부터 전자서명요청을 수신하고, 생성된 전자서명을 사용자단말기로 송신하는 웹서버부;
생체정보의 인식 및 인식된 생체정보의 검증을 수행하는 생체정보인식모듈;
상기 생체정보인식모듈에서 생체정보검증이 확인되었을 때, 전자서명을 생성하는 보안토큰;
상기 웹서버부와 연결되어, 상기 보안토큰과 상기 생체정보인식모듈에 작업 요청을 수행하는, 전자서명생성부; 및
상기 웹서버부; 상기 생체정보인식모듈; 및 상기 전자서명생성부를 운영하고 작동시키는 OS부;를 포함하고,
상기 웹서버부는 상기 사용자단말기와 HTTPS 규격에 따른 통신을 수행하고,
상기 전자서명생성부는,
상기 웹서버부와 인터페이싱을 수행하는 웹서버부인터페이싱부;
상기 보안토큰과 인터페이싱을 수행하는 보안토큰인터페이싱부;
상기 생체정보인식모듈과 인터페이싱을 수행하는 생체정보인식모듈인터페이싱부; 및
정당한 사용자의 사용자 비밀번호가 저장되고 사용자단말기로부터 수신된 사용자비밀번호가 상기 정당한 사용자의 사용자 비밀번호와 일치하는 지를 검증하는 사용자비밀번호저장및검증부를 포함하고,
상기 보안토큰인터페이싱부는 상기 보안토큰과 인터페이싱을 할 수 있는 API를 포함하고,
상기 보안토큰은 자체의 메모리 및 프로세서를 포함하고, 상기 전자서명생성부와 독립적으로 운영되고,
상기 보안토큰은 키생성/관리부; 전자서명수행부; 및 보안토큰컨트롤러부;를 포함하고, 상기 보안토큰컨트롤러부는 상기 보안토큰을 운영하기 위한 OS를 포함하고,
상기 웹서버부는 사용자단말기로부터 HTTPS 규격에 따른 통신으로 전자서명요청을 받고,
상기 웹서버부는 전자서명생성부에 전자서명요청을 하고,
상기 전자서명생성부는 상기 생체정보인식모듈인터페이싱부를 통하여 상기 생체정보인식모듈에 생체정보인식및검증요청을 수행하고,
상기 전자서명생성부는, 상기 생체정보인식모듈로부터 생체정보검증 확인을 받고 사용자단말기로부터 수신된 상기 사용자 비밀번호가 상기 사용자비밀번호저장및검증부에 저장된 사용자 비밀번호와 일치하는 경우에, 상기 보안토큰인터페이싱부를 통하여 상기 보안토큰에 보안토큰전자서명생성요청을 수행하고,
상기 웹서버부는 상기 보안토큰에서 생성된 전자서명을 HTTPS 규격에 따른 통신으로 사용자단말기에 전송하고,
상기 생체정보인식모듈은,
생체정보 인식을 수행하는 생체정보인식부;
기저장된 생체정보와 인식된 생체정보의 검증을 수행하는 생체정보검증부; 및
상기 생체정보검증부에서 인식된 생체정보가 검증이 되는 경우, 상기 전자서명생성부에 전자서명생성요청을 수행하는 전자서명요청부를 포함하고,
상기 전자서명장치는 전자서명이력관리부를 더 포함하고,
상기 전자서명이력관리부는 사용자단말기로부터 수신된 전자서명요청, 사용자단말기로 송신된 생성된 전자서명, 또는 사용자단말기로부터 수신된 전자서명요청과 사용자단말기로 송신된 생성된 전자서명에 대한 이력을 기록하고,
상기 전자서명이력관리부는 전자서명과 관련된 기록된 이력을 상기 웹서버부를 통하여 외부의 전자서명관리서버로 송신할 수 있는, 전자서명장치.
An electronic signature device connected directly to a user terminal,
A web server unit receiving a digital signature request from a user terminal and transmitting the generated digital signature to a user terminal;
A biometric information recognition module for recognizing biometric information and verifying the recognized biometric information;
A security token for generating a digital signature when verification of the biometric information is confirmed in the biometric information recognition module;
An electronic signature generation unit, connected to the web server unit, for performing a task request to the security token and the biometric information recognition module; And
The web server unit; The biometric information recognition module; And an OS unit for operating and operating the digital signature generator,
The web server unit performs communication according to the HTTPS standard with the user terminal,
Wherein the digital signature generation unit comprises:
A web server interfacing unit for interfacing with the web server unit;
A security token interfacing unit for interfacing with the security token;
A biometric information recognizing module interfacing part for performing interfacing with the biometric information recognizing module; And
And a user password storage and verification unit for verifying whether a user password of a legitimate user is stored and a user password received from the user terminal matches the user password of the legitimate user,
Wherein the security token interfacing unit includes an API capable of interfacing with the security token,
Wherein the security token includes its own memory and a processor, and is operated independently from the digital signature generator,
The security token includes a key generation / management unit; An electronic signature performing unit; And a security token controller unit, wherein the security token controller unit includes an OS for operating the security token,
The web server unit receives an electronic signature request from a user terminal in accordance with the HTTPS standard,
Wherein the web server unit makes an electronic signature request to the electronic signature generation unit,
Wherein the digital signature generation unit performs a biometric information recognition and verification request to the biometric information recognition module through the biometric information recognition module interfacing unit,
Wherein the digital signature generation unit receives the biometric information verification confirmation from the biometric information recognition module and, when the user password received from the user terminal matches the user password stored in the user password storage and verification unit, transmits the digital signature to the security token interfacing unit Performing a security token digital signature generation request to the security token,
The web server unit transmits the digital signature generated in the security token to the user terminal through communication according to the HTTPS standard,
The biometric information recognition module comprises:
A biometric information recognizing unit for performing biometric information recognition;
A biometric information verifying unit for verifying previously stored biometric information and recognized biometric information; And
And a digital signature requesting unit for requesting the digital signature generation unit to generate a digital signature when the biometric information recognized by the biometric information verification unit is verified,
Wherein the digital signature apparatus further comprises an electronic signature history management unit,
The electronic signature history management unit records the history of the digital signature request received from the user terminal, the generated digital signature transmitted to the user terminal, or the digital signature request received from the user terminal and the generated digital signature transmitted to the user terminal ,
Wherein the electronic signature history management unit can transmit the recorded history related to the electronic signature to the external electronic signature management server through the web server unit.
상기 보안토큰인터페이싱부는 PKCS#11의 표준 API를 포함하고,
상기 PKCS#11 규격에 따라 상기 보안토큰과 인터페이싱을 하는, 전자서명장치.
The method according to claim 1,
The security token interfacing unit includes a standard API of PKCS # 11,
And performs interfacing with the security token according to the PKCS # 11 standard.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150154272A KR101743951B1 (en) | 2015-11-04 | 2015-11-04 | Digital Signature Device and Digital Signature Method Using It |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150154272A KR101743951B1 (en) | 2015-11-04 | 2015-11-04 | Digital Signature Device and Digital Signature Method Using It |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20170052162A KR20170052162A (en) | 2017-05-12 |
| KR101743951B1 true KR101743951B1 (en) | 2017-07-04 |
Family
ID=58739971
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020150154272A Active KR101743951B1 (en) | 2015-11-04 | 2015-11-04 | Digital Signature Device and Digital Signature Method Using It |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101743951B1 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102007431B1 (en) * | 2018-04-17 | 2019-08-05 | 주식회사 스마트솔루션 | System and method for checking the truth to application information for automatic withdrawal registration |
| US11469903B2 (en) * | 2019-02-28 | 2022-10-11 | Microsoft Technology Licensing, Llc | Autonomous signing management operations for a key distribution service |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100842838B1 (en) * | 2007-08-13 | 2008-07-03 | 이태원 | Wireless authorized authentication service system and method using mobile terminal using MFP system |
| KR101348079B1 (en) * | 2013-06-07 | 2014-01-08 | 라온시큐어(주) | System for digital signing using portable terminal |
-
2015
- 2015-11-04 KR KR1020150154272A patent/KR101743951B1/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100842838B1 (en) * | 2007-08-13 | 2008-07-03 | 이태원 | Wireless authorized authentication service system and method using mobile terminal using MFP system |
| KR101348079B1 (en) * | 2013-06-07 | 2014-01-08 | 라온시큐어(주) | System for digital signing using portable terminal |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20170052162A (en) | 2017-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12244589B2 (en) | Systems and methods for managing digital identities associated with mobile devices | |
| KR100876003B1 (en) | User Authentication Method Using Biological Information | |
| CN112425114B (en) | Password manager protected by public key-private key pair | |
| CN106575326B (en) | System and method for implementing one-time passwords using asymmetric encryption | |
| JP5066827B2 (en) | Method and apparatus for authentication service using mobile device | |
| US10586229B2 (en) | Anytime validation tokens | |
| US8904495B2 (en) | Secure transaction systems and methods | |
| US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
| US20130219481A1 (en) | Cyberspace Trusted Identity (CTI) Module | |
| EP2343678A1 (en) | Secure transaction systems and methods | |
| JP7309261B2 (en) | Authentication method for biometric payment device, authentication device for biometric payment device, computer device, and computer program | |
| US20100180120A1 (en) | Information protection device | |
| US20090235086A1 (en) | Server-side biometric authentication | |
| US20090222383A1 (en) | Secure Financial Reader Architecture | |
| EP2098985A2 (en) | Secure financial reader architecture | |
| CN105959287A (en) | Biological feature based safety certification method and device | |
| WO2010072735A1 (en) | Portable security device protecting against keystroke loggers | |
| JP7554197B2 (en) | One-click login procedure | |
| WO2009065154A2 (en) | Method of and apparatus for protecting private data entry within secure web sessions | |
| JP2000181871A (en) | Device and method for authentication | |
| NO340355B1 (en) | 2-factor authentication for network connected storage device | |
| KR101835718B1 (en) | Mobile authentication method using near field communication technology | |
| WO2022243708A1 (en) | Custody service for authorising transactions | |
| KR101743951B1 (en) | Digital Signature Device and Digital Signature Method Using It | |
| KR20170109126A (en) | Encryption system providing user cognition-based encryption protocol and method for processing on-line settlement, security apparatus and transaction approval server using thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20151104 |
|
| PA0201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20161011 Patent event code: PE09021S01D |
|
| AMND | Amendment | ||
| E601 | Decision to refuse application | ||
| PE0601 | Decision on rejection of patent |
Patent event date: 20170413 Comment text: Decision to Refuse Application Patent event code: PE06012S01D Patent event date: 20161011 Comment text: Notification of reason for refusal Patent event code: PE06011S01I |
|
| PG1501 | Laying open of application | ||
| AMND | Amendment | ||
| PX0901 | Re-examination |
Patent event code: PX09011S01I Patent event date: 20170413 Comment text: Decision to Refuse Application Patent event code: PX09012R01I Patent event date: 20170111 Comment text: Amendment to Specification, etc. |
|
| PX0701 | Decision of registration after re-examination |
Patent event date: 20170525 Comment text: Decision to Grant Registration Patent event code: PX07013S01D Patent event date: 20170515 Comment text: Amendment to Specification, etc. Patent event code: PX07012R01I Patent event date: 20170413 Comment text: Decision to Refuse Application Patent event code: PX07011S01I Patent event date: 20170111 Comment text: Amendment to Specification, etc. Patent event code: PX07012R01I |
|
| X701 | Decision to grant (after re-examination) | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20170531 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20170531 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| PR1001 | Payment of annual fee |
Payment date: 20200512 Start annual number: 4 End annual number: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20210525 Start annual number: 5 End annual number: 5 |
|
| PR1001 | Payment of annual fee |
Payment date: 20220523 Start annual number: 6 End annual number: 6 |
|
| PR1001 | Payment of annual fee |
Payment date: 20230510 Start annual number: 7 End annual number: 7 |
|
| PR1001 | Payment of annual fee |
Payment date: 20250624 Start annual number: 9 End annual number: 9 |