KR102440879B1 - System and method for complex authentication that combines RFID tags and simple passwords - Google Patents

System and method for complex authentication that combines RFID tags and simple passwords Download PDF

Info

Publication number
KR102440879B1
KR102440879B1 KR1020210144383A KR20210144383A KR102440879B1 KR 102440879 B1 KR102440879 B1 KR 102440879B1 KR 1020210144383 A KR1020210144383 A KR 1020210144383A KR 20210144383 A KR20210144383 A KR 20210144383A KR 102440879 B1 KR102440879 B1 KR 102440879B1
Authority
KR
South Korea
Prior art keywords
authentication
terminal
employee
password
rfid tag
Prior art date
Application number
KR1020210144383A
Other languages
Korean (ko)
Inventor
정재곤
Original Assignee
정재곤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 정재곤 filed Critical 정재곤
Priority to KR1020210144383A priority Critical patent/KR102440879B1/en
Application granted granted Critical
Publication of KR102440879B1 publication Critical patent/KR102440879B1/en

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/29Individual registration on entry or exit involving the use of a pass the pass containing active electronic elements, e.g. smartcards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/10Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation
    • G06K7/10009Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves
    • G06K7/10237Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves the reader and the record carrier being capable of selectively switching between reader and record carrier appearance, e.g. in near field communication [NFC] devices where the NFC device may function as an RFID reader or as an RFID tag
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C2009/00753Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys
    • G07C2009/00769Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00817Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
    • G07C2009/00825Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed remotely by lines or wireless communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Toxicology (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Electromagnetism (AREA)
  • General Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Theoretical Computer Science (AREA)
  • Burglar Alarm Systems (AREA)
  • Radar Systems Or Details Thereof (AREA)

Abstract

A complex authentication system using an RFID tag and a simple password according to an embodiment of the present invention comprises: an identity verification terminal, which records an employee number, an authentication token, and an authentication password (information encrypted with an authentication hash) encrypted with a pattern as identity confirmation information on an employee ID RFID tag, and verifies the identity of an employee based on the presented employee ID RFID tag and pattern information; a mobile terminal, which when receiving a user authentication request from the identity verification terminal, confirms user authentication based on an employee number, a password, and a unique terminal number transmitted from the identity verification terminal, provides a JWS-based authentication token, and receives, registers and stores the authentication hash value, the employee number, and the unique terminal number used in the encryption process from the identity verification terminal once the user authentication is confirmed (signed), and provides the authentication hash value when requested by the identity verification terminal; and an electronic authentication server which performs certificate verification according to the request of the identity verification terminal. Therefore, the present invention can check the identity of a target person more conveniently.

Description

RFID 태그와 간편비밀번호를 이용한 복합인증시스템 및 방법{System and method for complex authentication that combines RFID tags and simple passwords}System and method for complex authentication that combines RFID tags and simple passwords

본 발명은 RFID 태그와 간편비밀번호를 이용한 복합인증시스템 및 방법에 관한 것이다. The present invention relates to a complex authentication system and method using an RFID tag and a simple password.

본인인증과 관련한 종래의 기술은 전통적으로 아이디와 패스워드를 이용한 본인인증이 있었다. 하지만, 이러한 전통적인 인증방식은 아이디와 패스워드가 유출될 경우 정상적인 인증기능을 수행하기 어렵다는 문제점이 있었다. 이를 보완하기 위해 다양한 본인인증방식이 등장하였다.Conventional techniques related to user authentication have traditionally been self-authentication using an ID and password. However, this traditional authentication method has a problem in that it is difficult to perform a normal authentication function when the ID and password are leaked. To compensate for this, various authentication methods have emerged.

예컨대, 휴대폰 본인인증, 공인인증서를 통한 본인인증, OTP를 이용한 본인인증, i-PIN(Internet Personal Identification Number) 인증, 또는 신용카드를 이용한 본인인증 등이 있다.For example, there are mobile phone identity authentication, identity authentication through a public certificate, identity authentication using OTP, Internet Personal Identification Number (i-PIN) authentication, or identity authentication using a credit card.

공인인증서 인증은 비교적 보안등급이 높은 인증 프로토콜이지만, 공인인증서를 안정적으로 휴대하기가 쉽지 않다는 점과 인증과정이 복잡하다는 단점 등이 있다. 또한, 공인인증서 역시 최근에는 대량으로 유출되는 사고도 발생하여 안전성에 문제가 제기되고 있는 실정이다.Although accredited certificate authentication is an authentication protocol with a relatively high security level, it has disadvantages such as difficulty in carrying the accredited certificate stably and the complexity of the authentication process. In addition, the issue of safety has been raised due to an accident in which the public certificate is also leaked in large quantities recently.

i-PIN은 인터넷상에 이용되는 가상의 식별번호를 이용하여 본인인증을 수행하는 방식으로 새로운 식별번호를 사용자가 미리 알고 있어야 하고 아이디 패스워드 방식과 같이 한 번 노출이 되면 정상적인 인증기능을 수행하기 어렵다는 제약점이 있다.The i-PIN is a method of self-authentication using a virtual identification number used on the Internet, and the user must know the new identification number in advance. There are limitations.

또한, 휴대폰 본인인증은 인증번호를 이용해 휴대폰의 점유를 인증하는 방식으로 스미싱 등에 취약하다는 문제점이 있다.In addition, mobile phone user authentication is a method of authenticating the possession of a mobile phone using an authentication number, and there is a problem in that it is vulnerable to smishing.

또한 이들 종래의 기술들은 모두 비밀번호(인증서 비밀번호, I-PIN 비밀번호) 또는 인증번호를 입력하는 방식이므로, 비밀번호 또는 인증번호가 타인에게 노출되면 본인인증이 무력화될 수밖에 없고, 키 로깅 등 키 입력방식의 해킹에 노출될 위험이 높다.In addition, since all of these conventional technologies are methods of entering a password (certificate password, I-PIN password) or authentication number, if the password or authentication number is exposed to others, personal authentication is inevitably disabled, and key input methods such as key logging The risk of exposure to hacking is high.

또한, OTP를 이용한 본인인증의 경우에는 사용자가 OTP 클라이언트(OTP 토큰)를 소지하고 있어야만 본인인증이 수행될 수 있으며, OTP 클라이언트를 통한 OTP의 생성, 생성된 OTP를 사용자가 입력하여야 하는 등의 불편함이 존재한다.In addition, in the case of self-authentication using OTP, self-authentication can be performed only when the user possesses an OTP client (OTP token), and there are inconveniences such as generation of OTP through the OTP client and the user having to input the generated OTP. ham exists

따라서 종래의 본인인증 기술들에 비해서 편의성을 유지하면서도 보안성이 높은 본인인증 프로토콜을 제공할 수 있는 기술적 사상이 결제 프로토콜과 함께 요구된다.Therefore, a technical idea capable of providing a high-security identity authentication protocol while maintaining convenience compared to conventional identity authentication technologies is required together with a payment protocol.

또한, 온라인 금융거래가 활성화되면서 온라인 범죄가 더욱 지능화되고 빈번하게 발생함에 따라 2채널 인증의 필요성이 증가하고 있는데, 2채널 인증이 가능하면서도 사용자가 간편하게 인증을 수행할 수 있는 기술적 사상이 요구된다.In addition, the need for two-channel authentication is increasing as online crimes become more intelligent and occur more frequently as online financial transactions are activated.

또한, 사용자가 타인에게 소정의 서비스를 허용해줄 경우가 있는데, 이때에도 인증요청과 상기 인증요청이 인증되기 위해 정당한 사용자가 수행하여야 할 인증행위가 분리될 수 있어서 간편하게 타인에게 인증에 필요한 정보를 노출시키지 않고도 서비스의 사용을 허락할 수 있는 기술적 사상이 요구된다.In addition, there are cases in which the user allows a predetermined service to another person. Even in this case, the authentication request and the authentication action that a legitimate user must perform for the authentication request to be authenticated can be separated, so that information necessary for authentication is easily exposed to others. A technical idea that can allow the use of the service without having to do so is required.

또한, 종래의 일회성 정보(예컨대, OTP 등)를 이용하기 위해서는, 클라이언트(예컨대, OTP 토큰 등)와 인증 측(예컨대, OTP 인증 서버 등)이 각각 동일한 OTP 생성 키(또는 시드(seed), 예컨대, 시간정보)를 생성(또는 확인)할 수 있어야 했다. 특히 최근에 많이 사용되는 시간 동기화 방식을 통해 일회성 정보를 생성하기 위해서는 클라이언트와 인증 측간의 시간 동기화가 매우 중요한데, 이러한 시간 동기화를 위해서는 클라이언트 측이 시간을 확인할 수 있어야 한다. 하지만 본 발명의 기술적 사상에 의하면 상기 사용자 장치(예컨대, 스마트 카드 등)는 타이머가 구비되지 않을 수도 있다. 또한 사용자 장치 또는 디지털 시스템에 타이머가 구비된다고 하더라도, 실질적으로 사용자 장치의 타이머와 인증 측(예컨대, 인증 시스템)과 시간을 동기화하는 것은 어려운 일일 수 있다.In addition, in order to use the conventional one-time information (eg, OTP, etc.), the client (eg, OTP token, etc.) and the authentication side (eg, OTP authentication server, etc.) each have the same OTP generation key (or seed), for example , time information) had to be created (or confirmed). In particular, time synchronization between the client and the authentication side is very important in order to generate one-time information through the time synchronization method, which has been widely used recently. For this time synchronization, the client side must be able to check the time. However, according to the technical idea of the present invention, the user device (eg, a smart card, etc.) may not include a timer. Also, even if the user device or the digital system is equipped with a timer, it may be difficult to actually synchronize the timer of the user device and the time with the authentication side (eg, the authentication system).

공개특허공보 10-2013-0029983호Laid-Open Patent Publication No. 10-2013-0029983

본 발명이 해결하고자 하는 과제는 종래의 문제점을 해결할 수 있는 RFID 태그와 간편비밀번호를 이용한 복합인증시스템 및 방법을 제공하는 데 그 목적이 있다.An object of the present invention is to provide a complex authentication system and method using an RFID tag and a simple password that can solve the problems of the present invention.

상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 RFID 태그와 간편비밀번호를 이용한 복합인증시스템은 사원증용 RFID 태그에 신원확인정보인 패턴으로 암호화된 사번, 인증토큰, 인증비밀번호(인증해시로 암호화된 정보)를 기록하고, 사원이 제시한 사원증 RFID 태그 및 패턴정보를 기초로 사원의 신원을 확인하는 신원확인단말; 상기 신원확인단말로부터 사용자 인증을 요청받으면, 상기 신원확인단말에서 전송한 사번, 비밀번호, 단말고유번호를 기초로 사용자 인증확인 후, JWS 기반의 인증 토큰을 제공하고, 사용자 인증이 확인(sign)되면, 상기 신원확인단말에서 암호화 과정에 사용한 인증해시 값, 사번, 단말고유번호를 제공받아 등록 및 보관하고, 상기 신원확인단말에서 인증해시값 요청시 제공하는 모바일 서버; 및 상기 신원확인단말의 요청에 따라 전자 인증서의 인증확인을 수행하는 전자인증서버를 포함한다.The complex authentication system using an RFID tag and a simple password according to an embodiment of the present invention for solving the above problems is an employee number, an authentication token, and an authentication password (with an authentication hash) encrypted with a pattern that is identification information in an RFID tag for an employee ID. an identification terminal that records the encrypted information) and confirms the employee's identity based on the employee ID RFID tag and pattern information presented by the employee; When a user authentication request is received from the identity confirmation terminal, after user authentication is confirmed based on the company number, password, and terminal unique number transmitted from the identity confirmation terminal, a JWS-based authentication token is provided, and the user authentication is confirmed (signed) , a mobile server that receives, registers and stores the authentication hash value, company number, and terminal unique number used in the encryption process from the identification terminal, and provides the authentication hash value when requested by the identification terminal; and an electronic authentication server that performs authentication verification of the electronic certificate in response to the request of the identity verification terminal.

일 실시예에서, 상기 신원확인단말은 상기 모바일 서버로부터 JWS 기반의 인증 토큰을 제공받고, 상기 인증 토큰은 프라이빗 키(private key)로 인증한 인증결과물인 것을 특징으로 한다.In an embodiment, the identification terminal receives a JWS-based authentication token from the mobile server, and the authentication token is an authentication result authenticated with a private key.

일 실시예에서, 상기 신원확인단말은 사원증용 RFID 태그를 스캔한 후, RFID 태그에 암호화된 사번, 인증토큰, 인증비밀번호를 추출한 후, 패턴정보로 암호화된 사번, 인증토큰을 복호화하는 것을 특징으로 한다.In one embodiment, the identification terminal scans the RFID tag for the employee ID, extracts the employee number, the authentication token, and the authentication password encrypted from the RFID tag, and then decrypts the employee number and the authentication token encrypted with the pattern information. do.

일 실시예에서, 상기 신원확인단말은 상기 모바일 서버로 복호화된 사번 및 인증 토큰을 전송한 후, 인증 토큰의 유효성(Valid) 검증 및 단말고유번호 등록확인을 요청하는 것을 특징으로 한다.In one embodiment, the identification terminal transmits the decrypted employee number and authentication token to the mobile server, and then requests validation of the authentication token and the registration confirmation of the terminal unique number.

일 실시예에서, 상기 신원확인단말은 상기 모바일 서버에서 발급된 인증해시값으로 상기 인증비밀번호를 복호화하고, 이후, 복호화된 인증비밀번호로 사용자 계정의 로그인을 수행하고, 로그인이 완료되면, 발급된 인증해시값을 상기 모바일 서버로 반환하는 것을 특징으로 한다.In one embodiment, the identification terminal decrypts the authentication password with the authentication hash value issued from the mobile server, and then performs a login of the user account with the decrypted authentication password, and when the login is completed, the issued It is characterized in that the authentication hash value is returned to the mobile server.

상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 RFID 태그와 간편비밀번호를 이용한 복합인증방법은 신원확인단말에서 사원증 내의 사원증용 RFID 태그에 신원확인정보를 등록(기록)하는 단계; 및 상기 신원확인단말에서 사원이 제시한 사원증 RFID 태그 및 패턴정보를 기초로 사원의 신원을 확인하는 단계를 포함한다.A composite authentication method using an RFID tag and a simple password according to an embodiment of the present invention for solving the above problems includes: registering (recording) identification information in an RFID tag for an employee ID in an employee ID in an identification terminal; and confirming the identity of the employee based on the employee ID RFID tag and pattern information presented by the employee in the identification terminal.

일 실시예에서, 상기 신원확인정보를 등록(기록)하는 단계는 상기 신원확인단말)에서 사용자(사원)로부터 사번, 비밀번호, 전자인증 비밀번호 및 패턴을 입력받는 단계; 상기 신원확인단말에서 입력된 입력정보(사번, 비밀번호, 단말고유번호)를 모바일 서버로 전송하면서 대상자(사원)의 사용자 인증을 요청하는 단계; 상기 모바일 서버에서 사용자 인증이 확인(sign)되면, JWS 기반의 인증 토큰을 신원확인단말로 제공하는 단계; 상기 신원확인단말에서 전자 인증서의 인증확인정보를 전자인증 서버로부터 수신하는 단계; 사원증에 사원증용 RFID 태그에 패턴으로 암호화된 사번, 인증토큰과 인증해시로 암호화된 인증비밀번호를 기록하는 단계; 상기 신원확인단말에서 사번 및 인증해시값을 모바일 서버로 전송하는 단계; 및 상기 모바일 서버에서 사번 및 인증해시값을 저장등록하는 단계를 포함한다.In an embodiment, the step of registering (recording) the identification information includes: receiving an employee number, a password, an electronic authentication password and a pattern from a user (employee) in the identification terminal); requesting user authentication of a subject (employee) while transmitting the input information (employee number, password, terminal unique number) input from the identification terminal to a mobile server; providing a JWS-based authentication token to an identity verification terminal when user authentication is confirmed in the mobile server; receiving authentication confirmation information of the electronic certificate from the electronic authentication server in the identity confirmation terminal; Recording the employee number encrypted as a pattern on the RFID tag for the employee ID on the employee ID, the authentication token and the authentication password encrypted with the authentication hash; transmitting a company number and an authentication hash value from the identification terminal to a mobile server; and storing and registering an employee number and an authentication hash value in the mobile server.

일 실시예에서, 상기 신원을 확인하는 단계는 상기 신원확인단말에서 사원증용 RFID 태그를 스캔한 후, RFID 태그에 암호화된 사번, 인증토큰, 인증비밀번호를 추출한 후, 패턴정보로 암호화된 사번, 인증토큰을 복호화하는 단계; 상기 신원확인단말에서 모바일 서버(300)로 복호화된 사번 및 인증 토큰을 전송한 후, 인증 토큰의 유효성(Valid) 검증 및 단말고유번호 등록확인을 요청하는 단계; 상기 모바일 서버에서 유효성 및 단말고유번호 등록이 확인되면, 상기 신원확인단말로 등록한 인증해시값을 발급하는 단계; 상기 신원확인단말에서 발급된 인증해시값으로 인증비밀번호를 복호화한 후, 복호화된 인증비밀번호로 사용자 계정의 로그인을 수행하는 단계; 및 로그인이 완료되면, 발급된 인증해시값을 모바일 서버로 반환하는 단계를 포함한다.In one embodiment, the step of confirming the identity is after scanning the RFID tag for the employee ID from the identification terminal, extracting the employee number, the authentication token, and the authentication password encrypted in the RFID tag, and then the employee number encrypted with the pattern information, authentication decrypting the token; after transmitting the decrypted employee number and authentication token from the identification terminal to the mobile server 300, requesting validation of the authentication token and confirmation of registration of a unique terminal number; issuing an authentication hash value registered to the identity verification terminal when validity and terminal unique number registration are confirmed in the mobile server; decrypting the authentication password with the authentication hash value issued by the identity verification terminal, and then logging in the user account with the decrypted authentication password; and returning the issued authentication hash value to the mobile server when the login is completed.

따라서, 본 발명의 일 실시예에 따른 RFID 태그와 간편비밀번호를 이용한 복합인증시스템 및 방법을 이용하면, 보다 간편하게 대상자의 신원을 확인할 수 있다는 이점이 있다.Therefore, using the complex authentication system and method using the RFID tag and the simple password according to an embodiment of the present invention, there is an advantage in that the identity of the subject can be more easily confirmed.

이는 종래의 제1 방식(예컨대, 아이디(ID)와 비밀번호를 입력하고 로그인하면 서버에 저장된 아이디와 비밀번호를 비교하여 인증 여부를 판단하고, 복합인증은 아이디와 비밀번호 이외에 단말고유번호, OTP 정보 등을 함께 사용하는 불편한 방식) 및 제2 방식(단말에서 본인인증 등을 통해 본인확인 후 계정정보 등을 확인하고 간편비밀번호를 등록한 후, 간편비밀번호 사용시에 암호화된 데이터를 주고받으며 인증을 진행하는 방식)에 비해 보다 강력한 보안성을 갖는다는 이점이 있다. This is the conventional first method (eg, input ID and password and log in, compare the ID and password stored in the server to determine whether to authenticate) Inconvenient method to use together) and the second method (a method of verifying account information after verifying identity through personal authentication on the terminal, registering a simple password, and performing authentication while exchanging encrypted data when using a simple password) It has the advantage of having stronger security compared to that.

따라서, 본 발명은 간편비밀번호 사용시 하드웨어적인 태그를 함께 사용함으로써 보안성을 강화시킬 수 있고, 간편비밀번호를 등록 시 암호화된 정보를 RFID 태그에 저장함으로서 간편비밀번호 사용시 RFID 태그를 함께 사용할 수 있고, RFID 태그를 통해 암호화한 데이터를 저장함으로써 개인정보의 유출의 위험성을 낮출 수 있고, 간편비밀번호를 다른 사람이 알게 되더라도 RFID 태그 없이는 인증이 불가능하다는 이점을 제공한다.Therefore, the present invention can enhance security by using a hardware tag together when using a simple password, and by storing encrypted information in the RFID tag when registering the simple password, the RFID tag can be used together when using the simple password, and the RFID tag By storing encrypted data through , it is possible to lower the risk of personal information leakage, and provides the advantage that authentication is impossible without an RFID tag even if someone else knows the simple password.

도 1은 본 발명의 일 실시예에 따른 RFID 태그와 간편비밀번호를 이용한 복합인증시스템의 네트워크 구성도이다.
도 2는 본 발명의 일 실시예에 따른 RFID 태그와 간편비밀번호를 이용한 복합인증방법을 설명한 흐름도이다.
도 3은 도 2에 도시된 S710 과정의 흐름도이다.
도 4는 도 2에 도시된 S720 과정의 흐름도이다.
도 5는 신원확인단말에서 사용자 신원확인정보를 등록하는 화면의 일 예시도이다.
도 6은 신원확인단말에서 사용자 신원확인정보를 인증하는 화면의 일 예시도이다.1 is a network configuration diagram of a complex authentication system using an RFID tag and a simple password according to an embodiment of the present invention.
2 is a flowchart illustrating a complex authentication method using an RFID tag and a simple password according to an embodiment of the present invention.
FIG. 3 is a flowchart of the process S710 shown in FIG. 2 .
FIG. 4 is a flowchart of the process S720 illustrated in FIG. 2 .
5 is an exemplary view of a screen for registering user identification information in the identification terminal.
6 is an exemplary view of a screen for authenticating user identification information in the identification terminal.

아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. However, the present invention may be embodied in several different forms and is not limited to the embodiments described herein. And in order to clearly explain the present invention in the drawings, parts irrelevant to the description are omitted, and similar reference numerals are attached to similar parts throughout the specification.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Throughout the specification, when a part is "connected" with another part, this includes not only the case of being "directly connected" but also the case of being "electrically connected" with another element interposed therebetween. . Also, when a part "includes" a certain component, it means that other components may be further included, rather than excluding other components, unless otherwise stated, and one or more other features However, it is to be understood that the existence or addition of numbers, steps, operations, components, parts, or combinations thereof is not precluded in advance.

명세서 전체에서 사용되는 정도의 용어 "약", "실질적으로" 등은 언급된 의미에 고유한 제조 및 물질 허용오차가 제시될 때 그 수치에서 또는 그 수치에 근접한 의미로 사용되고, 본 발명의 이해를 돕기 위해 정확하거나 절대적인 수치가 언급된 개시 내용을 비양심적인 침해자가 부당하게 이용하는 것을 방지하기 위해 사용된다. 본 발명의 명세서 전체에서 사용되는 정도의 용어 "~(하는) 단계" 또는 "~의 단계"는 "~ 를 위한 단계"를 의미하지 않는다. The terms "about," "substantially," and the like, to the extent used throughout the specification are used in or close to the numerical values when manufacturing and material tolerances inherent in the stated meaning are presented, and are intended to enhance the understanding of the present invention. To help, precise or absolute figures are used to prevent unfair use by unscrupulous infringers of the stated disclosure. As used throughout the specification of the present invention, the term "step of (to)" or "step of" does not mean "step for".

본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다. 한편, '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, '~부'는 어드레싱 할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체 지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.In this specification, a "part" includes a unit realized by hardware, a unit realized by software, and a unit realized using both. In addition, one unit may be implemented using two or more hardware, and two or more units may be implemented by one hardware. Meanwhile, '~ unit' is not limited to software or hardware, and '~ unit' may be configured to be in an addressable storage medium or may be configured to reproduce one or more processors. Thus, as an example, '~' denotes components such as software components, object-oriented software components, class components, and task components, and processes, functions, properties, and procedures. , subroutines, segments of program code, drivers, firmware, microcode, circuitry, data, databases, data structures, tables, arrays and variables. The functions provided in the components and '~ units' may be combined into a smaller number of components and '~ units' or further separated into additional components and '~ units'. In addition, components and '~ units' may be implemented to play one or more CPUs in a device or secure multimedia card.

본 명세서에 있어서 단말, 장치 또는 디바이스가 수행하는 것으로 기술된 동작이나 기능 중 일부는 해당 단말, 장치 또는 디바이스와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 동작이나 기능 중 일부도 해당 서버와 연결된 단말, 장치 또는 디바이스에서 수행될 수도 있다. In this specification, some of the operations or functions described as being performed by the terminal, apparatus, or device may be performed instead of in a server connected to the terminal, apparatus, or device. Similarly, some of the operations or functions described as being performed by the server may also be performed in a terminal, apparatus, or device connected to the server.

본 명세서에서 있어서, 단말과 매핑(Mapping) 또는 매칭(Matching)으로 기술된 동작이나 기능 중 일부는, 단말의 식별 정보(Identifying Data)인 단말기의 고유번호나 개인의 식별정보를 매핑 또는 매칭한다는 의미로 해석될 수 있다.In this specification, some of the operations or functions described as mapping or matching with the terminal means mapping or matching the terminal's unique number or personal identification information, which is the identification data of the terminal. can be interpreted as

이하, 첨부된 도면을 기초로 본 발명의 일 실시예에 따른 RFID 태그와 간편비밀번호를 이용한 복합인증시스템 및 방법을 보다 상세하게 설명하도록 한다.Hereinafter, a complex authentication system and method using an RFID tag and a simple password according to an embodiment of the present invention will be described in more detail based on the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 RFID 태그와 간편비밀번호를 이용한 복합인증시스템의 장치 구성도이다.1 is a device configuration diagram of a complex authentication system using an RFID tag and a simple password according to an embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 RFID 태그와 간편비밀번호를 이용한 복합인증시스템(100)은 신원확인단말(200) 및 복합인증관리서버(300)를 포함한다.As shown in FIG. 1 , the complex authentication system 100 using an RFID tag and a simple password according to an embodiment of the present invention includes an identity verification terminal 200 and a complex authentication management server 300 .

각 구성은 네트워크 통신하며, 상기 네트워크는 복수의 단말 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 이러한 네트워크의 일예에는 RF, 3GPP(3rd Generation Partnership Project) 네트워크, LTE(Long Term Evolution) 네트워크, 5GPP(5rd Generation Partnership Project) 네트워크, WIMAX(World Interoperability for Microwave Access) 네트워크, 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network), 블루투스(Bluetooth) 네트워크, NFC 네트워크, 위성 방송 네트워크, 아날로그 방송 네트워크, DMB(Digital Multimedia Broadcasting) 네트워크 등이 포함되나 이에 한정되지는 않는다.Each component performs network communication, and the network refers to a connection structure in which information exchange is possible between each node such as a plurality of terminals and servers. Examples of such networks include RF, 3rd Generation Partnership Project (3GPP) networks, Long Term Evolution (LTE) network, 5th Generation Partnership Project (5GPP) network, World Interoperability for Microwave Access (WIMAX) network, Internet, Local Area Network (LAN), Wireless LAN (Wireless Local Area Network), WAN ( Wide Area Network), PAN (Personal Area Network), Bluetooth (Bluetooth) network, NFC network, satellite broadcasting network, analog broadcasting network, DMB (Digital Multimedia Broadcasting) network, and the like are included, but are not limited thereto.

하기에서, 적어도 하나의 라는 용어는 단수 및 복수를 포함하는 용어로 정의되고, 적어도 하나의 라는 용어가 존재하지 않더라도 각 구성요소가 단수 또는 복수로 존재할 수 있고, 단수 또는 복수를 의미할 수 있음은 자명하다 할 것이다. 또한, 각 구성요소가 단수 또는 복수로 구비되는 것은, 실시예에 따라 변경가능하다할 것이다.In the following, the term at least one is defined as a term including the singular and the plural, and even if at least one term does not exist, each component may exist in the singular or plural, and may mean the singular or plural. it will be self-evident In addition, whether each component is provided in singular or plural will be changeable according to the embodiment.

상기 신원확인단말(200)은 사원(사용자)의 신원을 확인하기 위한 신원확인정보을 발급하는 단말일 수 있다. 보다 상세하게는 사원증용 RFID 태그에 신원확인정보인 패턴으로 암호화된 사번, 인증토큰, 인증비밀번호(인증해시로 암호화된 정보)를 기록하는 단말일 수 있다.The identification terminal 200 may be a terminal that issues identification information for confirming the identity of the employee (user). In more detail, it may be a terminal that records an employee number, an authentication token, and an authentication password (information encrypted with an authentication hash) encrypted with a pattern that is identification information on an RFID tag for an employee ID.

보다 구체적으로, 상기 신원확인단말(200)은 사번, 비밀번호, 전자인증 비밀번호 및 패턴정보를 사원(사용자)로부터 입력받는 단말일 수 있다.More specifically, the identification terminal 200 may be a terminal that receives an employee number, a password, an electronic authentication password, and pattern information from an employee (user).

신원확인단말(200)은 사용자(사원)로부터 사번, 비밀번호, 전자인증 비밀번호 및 패턴을 입력받는다.The identification terminal 200 receives an employee number, a password, an electronic authentication password, and a pattern from a user (employee).

신원확인단말(200)은 입력된 입력정보(사번, 비밀번호, 단말고유번호)를 모바일 서버(300)로 전송하면서, 대상자(사원)의 사용자 인증을 요청하는 단말일 수 있다.The identity verification terminal 200 may be a terminal that requests user authentication of a target (employee) while transmitting the input information (employee number, password, and terminal unique number) to the mobile server 300 .

신원확인단말(200)은 전자인증서버(400)로부터 전자 인증서의 인증확인 여부를 확인받는 단말일 수 있다.The identity verification terminal 200 may be a terminal receiving confirmation of whether the electronic certificate is authenticated from the electronic authentication server 400 .

신원확인단말(200)은 후술하는 모바일 서버(300)로부터 JWS 기반의 인증 토큰을 제공받는 단말일 수 있다. 여기서, 인증 토큰은 프라이빗 키(private key)로 인증한 인증결과물일 수 있다.The identity verification terminal 200 may be a terminal that receives a JWS-based authentication token from the mobile server 300 to be described later. Here, the authentication token may be an authentication result authenticated with a private key.

신원확인단말(200)은 전자 인증서의 인증확인정보를 수신하면, 사원증의 사원증용 RFID 태그에 패턴으로 암호화된 사번, 인증토큰, 인증비밀번호가 기록한다. 인증비밀번호는 인증해시로 암호화된 정보일 수 있다.When the identity confirmation terminal 200 receives the authentication confirmation information of the electronic certificate, the employee number, the authentication token, and the authentication password encrypted in a pattern are recorded in the RFID tag for the employee ID of the employee card. The authentication password may be information encrypted with an authentication hash.

이후, 신원확인단말(200)은 사번 및 인증해시값을 모바일 서버로 전송하고, 모바일 서버(300)는 사번 및 인증해시값을 저장등록한다.Thereafter, the identification terminal 200 transmits the employee number and authentication hash value to the mobile server, and the mobile server 300 stores and registers the employee number and authentication hash value.

또한, 신원확인단말(200)은 사원이 제시한 사원증 RFID 태그 및 패턴정보를 기초로 사원의 신원을 확인하는 구성일 수 있다.In addition, the identification terminal 200 may be configured to confirm the employee's identity based on the employee ID RFID tag and pattern information presented by the employee.

신원확인단말(200)은 사원증용 RFID 태그를 스캔한 후, RFID 태그에 암호화된 사번, 인증토큰, 인증비밀번호를 추출한 후, 패턴정보로 암호화된 사번, 인증토큰을 복호화하는 구성일 수 있다.The identification terminal 200 may be configured to scan the RFID tag for an employee ID card, extract the employee number, the authentication token, and the authentication password encrypted from the RFID tag, and then decrypt the employee number and the authentication token encrypted with the pattern information.

신원확인단말(200)은 모바일 서버(300)로 복호화된 사번 및 인증 토큰을 전송한 후, 인증 토큰의 유효성(Valid) 검증 및 단말고유번호 등록확인을 요청하는 구성일 수 있다. The identity verification terminal 200 may be configured to transmit the decrypted employee number and authentication token to the mobile server 300 , and then request validation of the authentication token and registration confirmation of the terminal unique number.

신원확인단말(200)은 모바일 서버(300)에서 발급된 인증해시값으로 인증비밀번호를 복호화하고, 이후, 복호화된 인증비밀번호로 사용자 계정의 로그인을 수행하고, 로그인이 완료되면, 발급된 인증해시값을 모바일 서버로 반환하는 구성일 수 있다.The identity verification terminal 200 decrypts the authentication password with the authentication hash value issued by the mobile server 300, and then performs the user account login with the decrypted authentication password, and when the login is completed, the issued authentication It may be a configuration that returns a time value to the mobile server.

다음으로, 상기 모바일 서버(300)는 신원확인단말(200)로부터 사용자 인증을 요청받으면, 신원확인단말(200)에서 전송한 사번, 비밀번호, 단말고유번호를 기초로 사용자 인증확인 후, JWS 기반의 인증 토큰을 신원확인단말(200)로 제공하는 서버일 수 있다. 여기서, 인증 토큰은 프라이빗 키(private key)로 인증한 인증결과물일 수 있다.Next, when the mobile server 300 receives a user authentication request from the identity confirmation terminal 200, after confirming the user authentication based on the company number, password, and terminal unique number transmitted from the identity confirmation terminal 200, the JWS-based It may be a server that provides the authentication token to the identification terminal 200 . Here, the authentication token may be an authentication result authenticated with a private key.

상기 모바일 서버(300)는 사용자 인증을 확인(sign)하면, 전자인증 서버(400)로 해당 신원확인단말(200)로 전자 인증서의 인증확인 여부를 전송하도록 요청하는 구성일 수 있다.When the mobile server 300 confirms the user authentication (sign), the electronic authentication server 400 may be configured to request whether to transmit the authentication confirmation of the electronic certificate to the corresponding identity confirmation terminal 200 .

상기 모바일 서버(300)는 신원확인단말(200)에서 암호화 과정에 사용된 인증해시 값, 사번, 단말고유번호를 신원확인단말로부터 제공받아 등록 보관하며, 신원확인단말(200)에서 인증해시값 요청시 제공하는 구성일 수 있다.The mobile server 300 receives and stores the authentication hash value, company number, and terminal unique number used in the encryption process in the identity confirmation terminal 200 from the identity confirmation terminal, and stores the authentication hash in the identity confirmation terminal 200 . It may be a configuration provided when a value is requested.

다음으로, 전자인증 서버(400)는 신원확인단말(200)의 요청에 따라 전자 인증서의 인증확인을 수행하는 구성일 수 있다.Next, the electronic authentication server 400 may be configured to perform authentication of the electronic certificate according to the request of the identity confirmation terminal 200 .

도 2는 본 발명의 일 실시예에 따른 RFID 태그와 간편비밀번호를 이용한 복합인증방법을 설명한 흐름도이고, 도 3은 도 2에 도시된 S710 과정의 흐름도이고, 도 4는 도 2에 도시된 S720 과정의 흐름도이다.2 is a flowchart illustrating a complex authentication method using an RFID tag and a simple password according to an embodiment of the present invention, FIG. 3 is a flowchart of a process S710 shown in FIG. 2, and FIG. 4 is a process S720 shown in FIG. is the flow chart of

도 2를 참조하면, 본 발명의 일 실시예에 따른 RFID 태그와 간편비밀번호를 이용한 복합인증방법(S700)은 신원확인정보 등록(기록)단계(S710) 및 인증단계(S720)를 포함한다.Referring to FIG. 2, the complex authentication method (S700) using an RFID tag and a simple password according to an embodiment of the present invention includes an identification information registration (recording) step (S710) and an authentication step (S720).

상기 S710 과정은 사원증 내의 사원증용 RFID 태그에 신원확인정보를 등록(기록)하는 단계일 수 있다.The step S710 may be a step of registering (recording) identification information in the RFID tag for the employee ID in the employee ID.

보다 구체적으로, 도 3을 참조, 신원확인단말(200)에서 사용자(사원)로부터 사번, 비밀번호, 전자인증 비밀번호 및 패턴을 입력받는다. 이후, 신원확인단말(200)은 입력된 입력정보(사번, 비밀번호, 단말고유번호)를 모바일 서버(300)로 전송하면서 대상자(사원)의 사용자 인증을 요청한다. 모바일 서버(300)는 사용자 인증이 확인(sign)되면, JWS 기반의 인증 토큰을 신원확인단말(200)로 제공한다. 여기서, 인증 토큰은 프라이빗 키(private key)로 인증한 인증결과물일 수 있다More specifically, referring to FIG. 3 , an employee number, a password, an electronic authentication password, and a pattern are received from a user (employee) in the identification terminal 200 . Thereafter, the identity verification terminal 200 transmits the input information (employee number, password, and terminal unique number) to the mobile server 300 and requests user authentication of the subject (employee). When the user authentication is confirmed (signed), the mobile server 300 provides the JWS-based authentication token to the identity confirmation terminal 200 . Here, the authentication token may be an authentication result authenticated with a private key.

이후, 신원확인단말(200)은 전자 인증서의 인증확인정보를 전자인증 서버(400)로부터 수신하면, 사원증에 사원증용 RFID 태그에 패턴으로 암호화된 사번, 인증토큰과 인증해시로 암호화된 인증비밀번호를 기록한다. After that, when the identity verification terminal 200 receives the authentication confirmation information of the electronic certificate from the electronic authentication server 400, the employee number encrypted with a pattern on the RFID tag for the employee ID on the employee ID, the authentication password encrypted with the authentication token and the authentication hash record

이후, 신원확인단말(200)은 사번 및 인증해시값을 모바일 서버로 전송하고, 모바일 서버(300)는 사번 및 인증해시값을 저장등록하는 일련의 과정을 포함한다.Thereafter, the identification terminal 200 transmits the employee number and authentication hash value to the mobile server, and the mobile server 300 includes a series of processes of storing and registering the employee number and authentication hash value.

다음으로, 인증단계(S720)는 도 4를 참조, 신원확인단말(200)에서 사원이 제시한 사원증 RFID 태그 및 패턴정보를 기초로 사원의 신원을 확인하는 단계일 수 있다.Next, the authentication step ( S720 ) may be a step of confirming the identity of the employee based on the RFID tag and pattern information of the employee ID presented by the employee in the identification terminal 200 , referring to FIG. 4 .

보다 구체적으로, 상기 S720 과정은 신원확인단말(200)에서 사원증용 RFID 태그를 스캔한 후, RFID 태그에 암호화된 사번, 인증토큰, 인증비밀번호를 추출한 후, 패턴정보로 암호화된 사번, 인증토큰을 복호화한다.More specifically, in the S720 process, after scanning the RFID tag for the employee ID in the identity verification terminal 200, extracting the employee number, the authentication token, and the authentication password encrypted from the RFID tag, the employee number and the authentication token encrypted with the pattern information Decrypt.

이후, 신원확인단말(200)은 모바일 서버(300)로 복호화된 사번 및 인증 토큰을 전송한 후, 인증 토큰의 유효성(Valid) 검증 및 단말고유번호 등록확인을 요청한다.Thereafter, the identity verification terminal 200 transmits the decrypted employee number and authentication token to the mobile server 300 , and then requests validation of the authentication token and registration confirmation of the terminal unique number.

모바일 서버(300)는 유효성 및 단말고유번호 등록이 확인되면, 신원확인단말(200)로 등록한 인증해시값을 발급하고, 신원확인단말(200)은 발급된 인증해시값으로 인증비밀번호를 복호화한다.When the validity and registration of the terminal unique number are confirmed, the mobile server 300 issues an authentication hash value registered with the identity confirmation terminal 200, and the identity confirmation terminal 200 decrypts the authentication password with the issued authentication hash value. do.

이후, 복호화된 인증비밀번호로 사용자 계정의 로그인을 수행하고, 로그인이 완료되면, 발급된 인증해시값을 모바일 서버로 반환한다.Thereafter, the user account is logged in with the decrypted authentication password, and when the login is completed, the issued authentication hash value is returned to the mobile server.

따라서, 본 발명의 일 실시예에 따른 RFID 태그와 간편비밀번호를 이용한 복합인증시스템 및 방법을 이용하면, 보다 간편하게 대상자의 신원을 확인할 수 있다는 이점이 있다.Therefore, using the complex authentication system and method using the RFID tag and the simple password according to an embodiment of the present invention, there is an advantage in that the identity of the subject can be more easily confirmed.

이는 종래의 제1 방식(예컨대, 아이디(ID)와 비밀번호를 입력하고 로그인하면 서버에 저장된 아이디와 비밀번호를 비교하여 인증 여부를 판단하고, 복합인증은 아이디와 비밀번호 이외에 단말고유번호, OTP 정보 등을 함께 사용하는 불편한 방식) 및 제2 방식(단말에서 본인인증 등을 통해 본인확인 후 계정정보 등을 확인하고 간편비밀번호를 등록한 후, 간편비밀전호 사용시에 암호화된 데이터를 주고받으며 인증을 진행하는 방식)에 비해 보다 강력한 보안성을 갖는다는 이점이 있다. This is the conventional first method (eg, input ID and password and log in, compare the ID and password stored in the server to determine whether to authenticate) Inconvenient method to use together) and 2nd method (method of verifying account information through personal authentication, etc. on the terminal, registering a simple password, and exchanging encrypted data when using a simple password) It has the advantage of having stronger security compared to

따라서, 본 발명은 간편비밀번호 사용시 하드웨어적인 태그를 함께 사용함으로써 보안성을 강화시킬 수 있고, 간편비밀번호를 등록 시 암호화된 정보를 RFID 태그에 저장함으로서 간편비밀번호 사용시 RFID 태그를 함께 사용할 수 있고, RFID 태그를 통해 암호화한 데이터를 저장함으로써 개인정보의 유출의 위험성을 낮 출 수 있고, 간편비밀번호를 다른 사람이 알게 되더라도 RFID 태그 없이는 인증이 불가능하다는 이점을 제공한다.Therefore, the present invention can enhance security by using a hardware tag together when using a simple password, and by storing encrypted information in the RFID tag when registering the simple password, the RFID tag can be used together when using the simple password, and the RFID tag By storing the encrypted data through the system, the risk of personal information leakage can be reduced, and even if someone else knows the simple password, authentication is impossible without the RFID tag.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(Arithmetic Logic Unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(Field Programmable Gate Array), PLU(Programmable Logic Unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The device described above may be implemented as a hardware component, a software component, and/or a combination of the hardware component and the software component. For example, devices and components described in the embodiments may include, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate array (FPGA). , a Programmable Logic Unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions, may be implemented using one or more general purpose or special purpose computers. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For convenience of understanding, although one processing device is sometimes described as being used, one of ordinary skill in the art will recognize that the processing device includes a plurality of processing elements and/or a plurality of types of processing elements. It can be seen that may include For example, the processing device may include a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as parallel processors.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may comprise a computer program, code, instructions, or a combination of one or more thereof, which configures a processing device to operate as desired or is independently or collectively processed You can command the device. The software and/or data may be any kind of machine, component, physical device, virtual equipment, computer storage medium or device, to be interpreted by or to provide instructions or data to the processing device. , or may be permanently or temporarily embody in a transmitted signal wave. The software may be distributed over networked computer systems and stored or executed in a distributed manner. Software and data may be stored in one or more computer-readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be specially designed and configured for the embodiment, or may be known and available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic such as floppy disks. - includes magneto-optical media, and hardware devices specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described with reference to the limited embodiments and drawings, various modifications and variations are possible by those skilled in the art from the above description. For example, the described techniques are performed in a different order than the described method, and/or the described components of the system, structure, apparatus, circuit, etc. are combined or combined in a different form than the described method, or other components Or substituted or substituted by equivalents may achieve an appropriate result.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.

100: RFID 태그와 간편비밀번호를 이용한 복합인증시스템 및 방법
200: 신원확인단말
300: 모바일 서버
400: 전자인증 서버100: Complex authentication system and method using RFID tag and simple password
200: identification terminal
300: mobile server
400: electronic authentication server

Claims (8)

사원증용 RFID 태그에 신원확인정보인 패턴으로 암호화된 사번, 인증토큰, 인증비밀번호(인증해시로 암호화된 정보)를 기록하고, 사원이 제시한 사원증 RFID 태그 및 패턴정보를 기초로 사원의 신원을 확인하는 신원확인단말;
상기 신원확인단말로부터 사용자 인증을 요청받으면, 상기 신원확인단말에서 전송한 사번, 비밀번호, 단말고유번호를 기초로 사용자 인증확인 후, JWS 기반의 인증 토큰을 제공하고, 사용자 인증이 확인(sign)되면, 상기 신원확인단말에서 암호화 과정에 사용한 인증해시 값, 사번, 단말고유번호를 제공받아 등록 및 보관하고, 상기 신원확인단말에서 인증해시값 요청시 제공하는 모바일 서버; 및
상기 신원확인단말의 요청에 따라 전자 인증서의 인증확인을 수행하는 전자인증서버를 포함하고,
상기 신원확인단말은
상기 모바일 서버로 복호화된 사번 및 인증 토큰을 전송한 후, 인증 토큰의 유효성(Valid) 검증 및 단말고유번호 등록확인을 요청하고,
상기 모바일 서버에서 발급된 인증해시값으로 상기 인증비밀번호를 복호화하고, 이후, 복호화된 인증비밀번호로 사용자 계정의 로그인을 수행하고, 로그인이 완료되면, 발급된 인증해시값을 상기 모바일 서버로 반환하는 RFID 태그와 간편비밀번호를 이용한 복합인증시스템.
The employee number, authentication token, and authentication password (information encrypted by authentication hash) are recorded on the RFID tag for identification information, which is identification information. identification terminal to confirm;
When a user authentication request is received from the identity confirmation terminal, after user authentication is confirmed based on the company number, password, and terminal unique number transmitted from the identity confirmation terminal, a JWS-based authentication token is provided, and the user authentication is confirmed (signed) , a mobile server that receives, registers and stores the authentication hash value, company number, and terminal unique number used in the encryption process from the identification terminal, and provides the authentication hash value when requested by the identification terminal; and
and an electronic authentication server that performs authentication confirmation of the electronic certificate in response to the request of the identity confirmation terminal,
The identification terminal is
After transmitting the decrypted employee number and authentication token to the mobile server, it requests validation of the authentication token and confirmation of registration of a unique terminal number,
Decrypts the authentication password with the authentication hash value issued by the mobile server, and then performs a login of the user account with the decrypted authentication password, and returns the issued authentication hash value to the mobile server when the login is completed A complex authentication system using RFID tags and simple passwords.
 제1항에 있어서,
상기 신원확인단말은
상기 모바일 서버로부터 JWS 기반의 인증 토큰을 제공받고, 상기 인증 토큰은 프라이빗 키(private key)로 인증한 인증결과물인 것을 특징으로 하는 RFID 태그와 간편비밀번호를 이용한 복합인증시스템.
According to claim 1,
The identification terminal is
A complex authentication system using an RFID tag and a simple password, wherein a JWS-based authentication token is provided from the mobile server, and the authentication token is an authentication result authenticated with a private key.
 제1항에 있어서,
상기 신원확인단말은
사원증용 RFID 태그를 스캔한 후, RFID 태그에 암호화된 사번, 인증토큰, 인증비밀번호를 추출한 후, 패턴정보로 암호화된 사번, 인증토큰을 복호화하는 RFID 태그와 간편비밀번호를 이용한 복합인증시스템.
According to claim 1,
The identification terminal is
After scanning the RFID tag for an employee ID, extracting the employee number, authentication token, and authentication password encrypted from the RFID tag, and then using the RFID tag and simple password to decrypt the employee number and authentication token encrypted with pattern information.
 삭제delete 삭제delete 신원확인단말에서 사원증 내의 사원증용 RFID 태그에 신원확인정보를 등록(기록)하는 단계; 및
상기 신원확인단말에서 사원이 제시한 사원증 RFID 태그 및 패턴정보를 기초로 사원의 신원을 확인하는 단계를 포함하고,
상기 신원확인정보를 등록(기록)하는 단계는
상기 신원확인단말에서 사용자(사원)로부터 사번, 비밀번호, 전자인증 비밀번호 및 패턴을 입력받는 단계;
상기 신원확인단말에서 입력된 입력정보(사번, 비밀번호, 단말고유번호)를 모바일 서버로 전송하면서 대상자(사원)의 사용자 인증을 요청하는 단계;
상기 모바일 서버에서 사용자 인증이 확인(sign)되면, JWS 기반의 인증 토큰을 신원확인단말로 제공하는 단계;
상기 신원확인단말에서 전자 인증서의 인증확인정보를 전자인증 서버로부터 수신하는 단계;
사원증에 사원증용 RFID 태그에 패턴으로 암호화된 사번, 인증토큰과 인증해시로 암호화된 인증비밀번호를 기록하는 단계; 및
상기 신원확인단말에서 사번 및 인증해시값을 모바일 서버로 전송하는 단계; 및
상기 모바일 서버에서 사번 및 인증해시값을 저장등록하는 단계를 포함하고,
상기 신원을 확인하는 단계는
상기 신원확인단말에서 사원증용 RFID 태그를 스캔한 후, RFID 태그에 암호화된 사번, 인증토큰, 인증비밀번호를 추출한 후, 패턴정보로 암호화된 사번, 인증토큰을 복호화하는 단계;
상기 신원확인단말에서 모바일 서버(300)로 복호화된 사번 및 인증 토큰을 전송한 후, 인증 토큰의 유효성(Valid) 검증 및 단말고유번호 등록확인을 요청하는 단계;
상기 모바일 서버에서 유효성 및 단말고유번호 등록이 확인되면, 상기 신원확인단말로 등록한 인증해시값을 발급하는 단계;
상기 신원확인단말에서 발급된 인증해시값으로 인증비밀번호를 복호화한 후, 복호화된 인증비밀번호로 사용자 계정의 로그인을 수행하는 단계; 및
로그인이 완료되면, 발급된 인증해시값을 모바일 서버로 반환하는 단계를 포함하는 RFID 태그와 간편비밀번호를 이용한 복합인증방법.registering (recording) the identification information in the RFID tag for the employee ID in the employee ID in the identification terminal; and
A step of confirming the identity of the employee based on the employee ID RFID tag and pattern information presented by the employee in the identification terminal,
The step of registering (recording) the identification information is
receiving an employee number, a password, an electronic authentication password and a pattern from a user (employee) in the identification terminal;
requesting user authentication of a subject (employee) while transmitting the input information (employee number, password, terminal unique number) input from the identification terminal to a mobile server;
providing a JWS-based authentication token to an identity verification terminal when user authentication is confirmed in the mobile server;
receiving authentication confirmation information of the electronic certificate from the electronic authentication server in the identity confirmation terminal;
Recording the employee number encrypted as a pattern on the RFID tag for the employee ID on the employee ID, the authentication token and the authentication password encrypted with the authentication hash; and
transmitting a company number and an authentication hash value from the identification terminal to a mobile server; and
storing and registering the employee number and the authentication hash value in the mobile server;
The step of verifying the identity is
after scanning the RFID tag for the employee ID by the identification terminal, extracting the employee number, the authentication token, and the authentication password encrypted from the RFID tag, and then decrypting the employee number and the authentication token encrypted with the pattern information;
after transmitting the decrypted employee number and authentication token from the identification terminal to the mobile server 300, requesting validation of the authentication token and confirmation of registration of a unique terminal number;
issuing an authentication hash value registered to the identity verification terminal when validity and terminal unique number registration are confirmed in the mobile server;
decrypting the authentication password with the authentication hash value issued by the identity verification terminal, and then logging in the user account with the decrypted authentication password; and
A complex authentication method using an RFID tag and a simple password, comprising returning the issued authentication hash value to a mobile server when login is complete. 삭제delete 삭제delete
KR1020210144383A 2021-10-27 2021-10-27 System and method for complex authentication that combines RFID tags and simple passwords KR102440879B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210144383A KR102440879B1 (en) 2021-10-27 2021-10-27 System and method for complex authentication that combines RFID tags and simple passwords

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210144383A KR102440879B1 (en) 2021-10-27 2021-10-27 System and method for complex authentication that combines RFID tags and simple passwords

Publications (1)

Publication Number Publication Date
KR102440879B1 true KR102440879B1 (en) 2022-09-06

Family

ID=83281340

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210144383A KR102440879B1 (en) 2021-10-27 2021-10-27 System and method for complex authentication that combines RFID tags and simple passwords

Country Status (1)

Country Link
KR (1) KR102440879B1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130029983A (en) 2011-09-16 2013-03-26 (주)에이티솔루션즈 Recording medium, method and device for log-in or certification use of near field communication
KR101345018B1 (en) * 2012-06-21 2014-01-22 주식회사 에스원 Teminal and security certification system therewith
KR101491706B1 (en) * 2014-09-15 2015-02-11 박준희 Method for providing door access control service based on application
KR20170026534A (en) * 2014-06-25 2017-03-08 콩코드 아시아 피티이.엘티디. Security Control System for Granting Access and Security Control Method Thereof
KR102239654B1 (en) * 2019-11-12 2021-04-13 유엔젤주식회사 Method and System for IoT Service Platform Authentication and Security

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130029983A (en) 2011-09-16 2013-03-26 (주)에이티솔루션즈 Recording medium, method and device for log-in or certification use of near field communication
KR101345018B1 (en) * 2012-06-21 2014-01-22 주식회사 에스원 Teminal and security certification system therewith
KR20170026534A (en) * 2014-06-25 2017-03-08 콩코드 아시아 피티이.엘티디. Security Control System for Granting Access and Security Control Method Thereof
KR101491706B1 (en) * 2014-09-15 2015-02-11 박준희 Method for providing door access control service based on application
KR102239654B1 (en) * 2019-11-12 2021-04-13 유엔젤주식회사 Method and System for IoT Service Platform Authentication and Security

Similar Documents

Publication Publication Date Title
US20220201477A1 (en) Anonymous authentication and remote wireless token access
US11218480B2 (en) Authenticator centralization and protection based on authenticator type and authentication policy
EP3487119B1 (en) Two-channel authentication proxy system capable of detecting application tampering, and method therefor
RU2702076C2 (en) Authentication in distributed environment
US7775427B2 (en) System and method for binding a smartcard and a smartcard reader
US8863308B2 (en) System and methods for providing identity attribute validation in accordance with an attribute disclosure profile
US20150324789A1 (en) Cryptocurrency Virtual Wallet System and Method
US20130219481A1 (en) Cyberspace Trusted Identity (CTI) Module
KR101724401B1 (en) Certification System for Using Biometrics and Certification Method for Using Key Sharing and Recording medium Storing a Program to Implement the Method
CN104662864A (en) User-convenient authentication method and apparatus using a mobile authentication application
KR101659847B1 (en) Method for two channel authentication using smart phone
US10938808B2 (en) Account access
US20210367940A1 (en) Authentication system for providing biometrics-based login service
KR102440879B1 (en) System and method for complex authentication that combines RFID tags and simple passwords
KR20160100192A (en) System for digital authentication using pairing between universal RF tag and smart phone
KR101955950B1 (en) Method for authentication using multi-channel, Authentication Server and AuthenticationAPPARATUS
KR20200057660A (en) Method for operating account reinstating service based account key pairs, system and computer-readable medium recording the method
JP6009000B2 (en) Internet banking login system using key lock security card and internet banking login method
Huang et al. NFC-Enabled Systems Integrated OTP Security Authentication Design

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant