KR20080011362A - Method for hacking protection of gotp - Google Patents

Method for hacking protection of gotp Download PDF

Info

Publication number
KR20080011362A
KR20080011362A KR1020070097878A KR20070097878A KR20080011362A KR 20080011362 A KR20080011362 A KR 20080011362A KR 1020070097878 A KR1020070097878 A KR 1020070097878A KR 20070097878 A KR20070097878 A KR 20070097878A KR 20080011362 A KR20080011362 A KR 20080011362A
Authority
KR
South Korea
Prior art keywords
gotp
screen
image
path
key
Prior art date
Application number
KR1020070097878A
Other languages
Korean (ko)
Inventor
김민수
Original Assignee
(주)민인포
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)민인포 filed Critical (주)민인포
Priority to KR1020070097878A priority Critical patent/KR20080011362A/en
Publication of KR20080011362A publication Critical patent/KR20080011362A/en
Priority to PCT/KR2008/001070 priority patent/WO2008105602A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

A method for protecting a GOTP(Graphic One-Time Password) from hacking is provided to prevent stealth of GOTP authentication through packet sniffering or key logging by applying a pointer matching mode, a screen flickering mode, or a multiple image extracting mode to a GOTP interface. A GOTP authentication request is received and GOTP images are arranged in a screen of a terminal(S320). Points are fixed to the arranged GOTP images by a row unit(S330). A row pointer of the row including a hole key and a private key in the arranged GOTP image, and a path between the row pointers are calculated in the terminal, and the path is inputted through direction buttons of a keyboard or the screen(S340). A user is authenticated by comparing the inputted path with the calculated row pointer path(S350). The row pointer of the row including the hole and private key is replaceable with a line pointer of a line including the hole and private key.

Description

그래픽 오티피의 해킹 방지 방법{Method for hacking protection of GOTP}Method for hacking protection of GOTP}

본 발명은 그래픽 오티피의 입력과정에서 발생할 우려가 있는 해킹을 방지하기 방법에 관한 것으로, 보다 자세하게는 그래픽 오티피의 해킹 방지 방법은 포인터 일치방법, 화면 점멸방법 또는 다중 이미지 추출방법을 GOTP 인터페이스에 적용함으로써 그래픽 오티피의 해킹 방지 방법에 관한 것이다.The present invention relates to a method for preventing hacking that may occur in the process of inputting graphic OTP. More specifically, the method for preventing hacking of graphic OTP is provided by applying a pointer matching method, a screen flickering method, or a multiple image extraction method to a GOTP interface. A method for preventing hacking of graphic OTP.

그래픽 오티피(Graphic One time password, 이하 'GOTP'라 함)는 소프트웨어로 구현된 OTP(One Oime Password, 이하 'OTP'라 함) 의 하나로, 그래픽 인터페이스를 이용해 독특한 방식을 적용해 별도의 하드웨어가 없이도 안전하고 편리하게 비밀번호를 생성, 관리할 수 있는 방법이다.Graphic One time password (GOTP) is one of OTP (One Oime Password), which is implemented in software. It is a way to create and manage passwords safely and conveniently without using them.

이용자는 그래픽 인터페이스를 통해 기억의 용이성과 기억 유효기간의 획기적 향상을 얻게 되며 보안성을 확보하게 된다. 하지만 실제 사용에 있어서는 OTP라는 것을 인식하지 않고 간단히 방향키와 특정키보드를 이용해 입력함으로써 입력 값과 패스워드가 분리되어 관리되고, 숄더서핑(Shoulder surfing: 어깨너머 훔쳐보 기)으로부터 안전하며, 피싱 및 파밍을 방지할 수 있다. 또한, 사용편이성과 도입시 부담의 최소화를 모두 달성할 수 있다.Through the graphical interface, the user can obtain a significant improvement in the ease of memory and the validity of the memory and secure the security. However, in actual use, the input value and password are separated and managed by simply inputting by using a direction key and a specific keyboard without being aware of OTP, and are safe from shoulder surfing, phishing and pharming. You can prevent it. In addition, both ease of use and minimization of the burden upon introduction can be achieved.

흔히 입구에 부착되어 있는 비밀번호 키나 현금인출기를 이용할 때 누군가 뒤에 있으면 불편함을 느낀다. 그 이유는 바로 내 비밀번호가 노출될까 염려스럽기 때문이다. 또한 뒤에 서 있는 사람도 불편함을 느끼게 된다. 이러한 불편을 없앨 수 있는 기술, 즉 누가 뒤에서 보고 있어도 안전하게 패스워드를 입력할 수 있게 하는데 착안해 개발된 기술이 바로 GOTP이다. It is often uncomfortable to be behind someone when using a password key or cash machine attached to the entrance. The reason is that I am concerned about my password being exposed. The person standing behind will also feel uncomfortable. GOTP is a technology that eliminates this inconvenience, that is, technology developed with the goal of allowing users to securely enter their passwords even if they are watching from behind.

일반적인 GOTP는 하나 이상의 그래픽 이미지를 사용자 단말기로 전송하고, 사용자는 전송된 이미지들을 확인하여 이미 정해진 매칭되는 이미지를 가상으로 이동하기 위한 좌표값을 키보드를 통해 입력한다.In general, the GOTP transmits one or more graphic images to the user terminal, and the user inputs coordinate values through the keyboard to virtually move a predetermined matching image by checking the transmitted images.

이때, 불법적인 해킹을 시도하는 해커에게 전송되는 이미지 및 키보드 입력을 후킹(hooking), 피싱(phishing) 및 파밍(pharming) 당하는 경우, 사용자가 설정한 이미지를 유추할 수 있는 문제점이 있다.In this case, when hooking, phishing, and pharming an image and a keyboard input transmitted to a hacker attempting an illegal hacking, there is a problem of inferring an image set by a user.

즉, 사용자는 자신의 키에 해당하는 하나 이상의 이미지를 선택하고 선택된 이미지에 대응하는 하나 이상의 이미지를 서버에 저장한다. 이후, 사용자 인증을 위해 GOTP를 수행하는 경우, 서버는 해당 사용자가 저장한 이미지와 다른 추가적인 이미지를 소정의 위치에 배열한 이미지 집합을 사용자의 단말기에 전송한다. 또는 서버는 동기화코드를 생성하여 단말기로 전송하고, 단말기는 동기화코드에 상응하는 배열함수를 이용하여 단말기에 저장되어 있는 이미지를 배열한다. 사용자는 단말기에 표시되는 이미지 집합을 확인하여, 자신이 선택한 이미지와 대응하는 이미 지를 서로 매칭하기 위한 좌표 이동 값을 키보드를 이용하여 입력한다.That is, the user selects one or more images corresponding to his key and stores one or more images corresponding to the selected images on the server. Subsequently, in the case of performing GOTP for user authentication, the server transmits to the user's terminal an image set in which an additional image different from the image stored by the user is arranged at a predetermined position. Alternatively, the server generates a synchronization code and transmits it to the terminal, and the terminal arranges the images stored in the terminal using an array function corresponding to the synchronization code. The user checks the image set displayed on the terminal and inputs a coordinate shift value for matching the image corresponding to the image selected by the user with the keyboard.

이렇게 입력된 매칭값은 단말기 내의 프로그램 내에서 또는 서버로 전송되어, 좌표 이동 값이 정확한 값인지를 확인하는 과정을 수행하며, 입력된 좌표 이동 값이 정확한 경우, 해당 사용자의 접속을 허가한다.The matched value is transmitted to a program in the terminal or to a server to check whether the coordinate shift value is correct. If the input coordinate shift value is correct, the user is allowed to access.

도 1은 종래의 GOTP 인증을 위한 화면 구성도이다. 도 1을 참조하면, (a)는 제 1차 인증인 아이디 및 패스워드를 입력받기 위해 사용자 단말기에 표시되는 화면이며, (b)는 제 2차 인증인 GOTP를 이용하여 이미지 그룹의 개인키 이미지의 좌표 이동 값을 입력받기 위해 사용자 단말기에 표시되는 화면이다. 1 is a screen configuration diagram for a conventional GOTP authentication. Referring to FIG. 1, (a) is a screen displayed on a user terminal to receive an ID and password of a first authentication, and (b) is a private key image of an image group using GOTP, which is a second authentication. This is a screen displayed on the user terminal to receive a coordinate shift value.

제 1차 인증과정인 아이디 및 패스워드를 입력하는 방법은 종래에 알려진 방법과 동일하다. 제 2차 인증인 GOTP를 이용한 인증과정은 사용자의 단말기에 표시되는 이미지 그룹 중 사용자의 개인키 이미지에서 홀 이미지에 이르는 경로를 방향키로 입력받아, 서버 또는 단말기 자체에서 계산한 경로와 비교하고 일치하는 경우 해당 사용자의 접속을 허가하는 방법이다. The method of inputting the ID and password, which is the first authentication process, is the same as the conventionally known method. In the authentication process using GOTP, which is the second authentication, the path from the user's private key image to the hole image is input as a direction key among the group of images displayed on the user's terminal, and compared with the path calculated by the server or the terminal itself. If the user is allowed to access.

일 실시예에 따르면 사용자는 우선 하나의 홀키와 두 개의 개인키를 설정한다. 인증과정을 거칠 때는 화면에 무작위로 배열된 수 개의 이미지들 중에서 개인키와 홀키를 찾아내 개인키의 위치에서 홀키의 위치로 이동하는 경로를 키보드의 방향키를 누르거나 화면에 표시된 방향버튼을 마우스로 클릭하여 입력한다. 그러나 방향키를 누르거나 방향버튼을 클릭하여도 화면에 표시된 이미지는 움직이거나 이동방향이 표시되지 않으며, 단지 이동되는 위치 이동 값만 저장되어, 저장된 좌표 이동 값을 계산하여 인증하게 된다.According to an embodiment, the user first sets one hole key and two private keys. During the authentication process, find the private key and the hole key among several randomly arranged images on the screen and press the direction key on the keyboard or the direction button displayed on the screen to move the position from the position of the private key to the position of the hole key. Click to enter. However, even if the direction key is pressed or the direction button is clicked, the image displayed on the screen does not move or display the direction of movement, and only the position movement value that is moved is stored, and the stored coordinate movement value is calculated and authenticated.

그러나 GOTP 인증을 거치는 과정에서 발생하는 각 이미지에 대한 코드를 패킷 스니퍼링을 이용해 훔쳐보거나, 대응이미지로 찾아가기 위한 키보드 입력을 기록하는 키 로깅 및 GOTP 이미지가 표시된 화면을 훔쳐보는 방법 등을 이용하면 사용자가 선택한 이미지가 어떤 것인지 어렵지 않게 추론할 수 있는 문제점이 있었다. However, if you try to steal the code for each image that occurs during GOTP authentication using packet sniffer, key logging to record keyboard input to go to the corresponding image, and to steal the screen displaying the GOTP image. There was a problem that the user can easily infer which image the user selected.

상기와 같은 종래 기술의 문제점을 해결하기 위하여 안출된 본 발명은 화면에 배열된 GOTP 이미지중 개인키에서 홀키로 이동하는 경로를 입력할 때, 모든 경로를 입력하지 않고, 개인키가 있는 열에서 홀키가 있는 열까지의 경로만 입력하도록 하는 열포인터 일치방법, 스크린샷 해킹을 막기 위해 키가 입력되는 순간 화면의 이미지들을 검은색 블록으로 처리하는 방법 및 서로 다른 파일명을 갖는 유사한 이미지들을 그룹화한 후, GOTP 인증과정에 있어서 각 이미지 그룹의 유사 이미지 중 하나씩만 선택하여 화면에 배열하는 방법 등을 이용하여 타인이 해킹을 통해 GOTP를 도용하지 못하도록 하는 그래픽 오티피의 해킹 방지 방법을 제공함에 본 발명의 목적이 있다.The present invention devised to solve the problems of the prior art as described above, when inputting a path to move from the private key to the hole key of the GOTP image arranged on the screen, without entering all the path, the hole key in the column with the private key To match only the paths to the columns with the suffix method, to process the images on the screen as black blocks at the time the key is entered to prevent screenshot hacking, and to group similar images with different filenames, An object of the present invention is to provide a method for preventing hacking of graphic OOTI, which prevents others from stealing GOTP through hacking by selecting only one similar image of each image group in the GOTP authentication process and arranging it on the screen. have.

본 발명의 상기 목적은 화면에 배열된 GOTP 이미지중 개인키에서 홀키로 이동하는 경로를 입력할 때, 모든 경로를 입력하지 않고, 개인키가 있는 열에서 홀키가 있는 열까지의 경로만 입력하도록 하는 열포인터 일치방법을 포함하는 그래픽 오티피의 해킹 방지 방법에 의해 달성된다.The above object of the present invention is to input only the path from the column with the private key to the column with the hole key, without inputting all the paths when entering the path from the private key to the hole key among the GOTP images arranged on the screen. This is achieved by a method for preventing hacking of graphic OTP including a thermal pointer matching method.

또한, 본 발명의 다른 목적은 키가 입력되는 순간 화면을 기록하는 스크린샷 해킹을 막기 위해, 키가 입력되는 순간 화면의 이미지들을 검은색 블록으로 처리하는 화면 점멸방법을 포함하는 그래픽 오티피의 해킹 방지 방법에 의해 달성된다.In addition, another object of the present invention is to prevent the hacking of the graphic OTP including a screen flickering method of processing the image of the screen as a black block to prevent screenshot hacking to record the screen when the key is input. Is achieved by the method.

또한, 본 발명의 또 다른 목적은 서로 다른 파일명을 갖는 유사한 이미지들을 그룹화한 후, GOPT의 이미지를 선택할 때 각 이미지 그룹 중 하나의 이미지만을 선택하여 화면에 출력하는 다중 이미지 추출방법에 의해 달성된다.In addition, another object of the present invention is achieved by a multi-image extraction method of grouping similar images having different file names, and then selecting only one image of each image group and outputting it to a screen when selecting an image of GOPT.

따라서, 본 발명의 그래픽 오티피의 해킹 방지 방법은 포인터 일치방법, 화면 점멸방법 또는 다중 이미지 추출방법을 GOTP 인터페이스에 적용함으로써 패킷 스니퍼링 또는 키 로깅 등의 해킹을 통한 GOTP 인증의 도용을 방지할 수 있는 효과가 있다.Therefore, the hacking prevention method of the graphic OTP of the present invention can prevent theft of GOTP authentication through hacking such as packet sniffering or key logging by applying a pointer matching method, a screen flickering method or a multiple image extraction method to the GOTP interface. It works.

본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.The terms or words used in this specification and claims are not to be construed as being limited to their ordinary or dictionary meanings, and the inventors may appropriately define the concept of terms in order to best describe their invention. It should be interpreted as meaning and concept corresponding to the technical idea of the present invention based on the principle that the present invention.

따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.Therefore, the embodiments described in the specification and the drawings shown in the drawings are only the most preferred embodiment of the present invention and do not represent all of the technical idea of the present invention, various modifications that can be replaced at the time of the present application It should be understood that there may be equivalents and variations.

이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기 로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 2는 본 발명의 열포인터 일치방법을 나타내는 개념도이다. 도 2를 참조하면, 일반적으로 개인키에서 시작하여 홀키로 가는 이동경로를 입력하는 것은 2차원 배열, 즉 상하좌우 네 방향으로 모두 이동하여 홀키의 위치로 정확히 이동한다. 하지만 열포인터 일치방법은 화면에 나타난 이미지는 2차원 배열이지만 사용자는 홀키가 위치한 열로 개인키가 위치한 열을 이동시키기만 하면 된다.2 is a conceptual diagram illustrating a method of matching a thermal pointer of the present invention. Referring to FIG. 2, in general, inputting a movement path starting from a private key to a hole key moves in a two-dimensional array, that is, in all four directions of up, down, left, and right, and moves exactly to the position of the hole key. However, the thermal pointer matching method is a two-dimensional array of images displayed on the screen, but the user only needs to move the column where the private key is located to the column where the hole key is located.

열포인터 일치방법을 응용하면 행포인터 일치방법 또한 가능하다. 이미지의 배열은 n×m, n×n 등의 랜덤행렬로 표현한다면 키의 유출을 막는데 더욱 효율적이다. 또한 열포인터 일치방법을 응용하여 행포인터 일치방법이나, 두 방법을 교차하는 방법을 사용할 수 있다.By applying the column pointer matching method, the row pointer matching method is also possible. The array of images is more efficient to prevent the leakage of keys if expressed in random matrix such as n × m, n × n. Also, by applying the column pointer matching method, the row pointer matching method or the method of crossing the two methods can be used.

열포인터 일치방법에 대해 실시예를 들어 설명하면, 사용자가 지정한 홀키가 '@'(210), 개인키가 '*'(220) 및 '0'(230)이라고 가정했을 때, 1차로 개인키 '*'(220)이 있는 ⓑ열에서 홀키 '@'(210)가 위치한 ⓐ열까지 이동하기 위해 좌측 방향키 또는 좌측 방향버튼을 1회 입력한다. 2차로 개인키 '0'(230)이 위치한 ⓓ열에서 홀키 '*'(210)가 위치한 ⓐ열까지 이동하기 위해 좌측 방향키 또는 좌측 방향버튼을 3회 입력한다. An example of the method of matching the thermal pointers will be described below. Assuming that the user-specified hole key is '@' 210, the private key is '*' 220, and '0' 230, the private key is first. To move from the ⓑ column with '*' 220 to the ⓐ column where the hall key '@' 210 is located, enter the left direction key or the left direction button once. Secondly, to move from the column ⓓ where the private key '0' 230 is located to the column ⓐ where the hall key '*' 210 is located, the left direction key or the left direction button is input three times.

사용자는 좌측 또는 우측으로만 이동을 하기 때문에 실수로 인한 인증실패 확률을 낮출 수 있다. 반면 각 열에는 여러 개의 이미지가 배열되어 있기 때문에 홀키 및 개인키를 유추하기가 어렵다.Since the user moves only to the left or the right, the probability of authentication failure due to a mistake can be lowered. On the other hand, since multiple images are arranged in each column, it is difficult to infer the hole key and the private key.

도 3은 본 발명의 포인터 일치방법을 나타내는 순서도이다. 도 3을 참조하 면, GOTP 인증요청을 받은(S310) 단말기는 화면에 GOTP 이미지를 배열한다(S320). GOTP 이미지의 배열 방법은 서버에서 단말기로 배열코드를 전송하거나 단말기 자체에서 랜덤함수 또는 배열함수를 이용하여 배열하는 방법 등을 사용하여 가급적 동일한 배열이 나타나지 않도록 하여야 한다.3 is a flowchart showing a pointer matching method of the present invention. Referring to Figure 3, the terminal receiving the GOTP authentication request (S310) arranges the GOTP image on the screen (S320). The method of arranging the GOTP image should transmit the array code from the server to the terminal or arrange it using the random function or the array function in the terminal itself.

화면에 배열된 GOTP 이미지에서 각각의 열에 대해 열포인터를 지정하고(S330) 홀키 및 개인키가 속한 열의 열포인터를 파악한다. 단말기 또는 서버는 개인키가 속한 열에서 홀키가 속한 열에 이르는 경로를 계산하여(S340) 단말기 키보드의 방향키 또는 화면에 나타난 방향버튼을 통해 입력받은(S340) 경로와 비교한다(S350). In the GOTP image arranged on the screen, a column pointer is designated for each column (S330), and a column pointer of a column to which a hole key and a private key belongs is identified. The terminal or server calculates a path from the column to which the private key belongs to the column to which the hall key belongs (S340) and compares it with the path received through the direction keys of the terminal keyboard or the direction buttons displayed on the screen (S340).

상기 비교결과에 따라서 경로가 일치할 경우 사용자 인증을 마치고, 경로가 일치하지 않을 경우 경로 입력을 재시도할 수 있도록 한다(S360). 그러나 사용자가 인증을 포기하거나, 3회 또는 그 이상 다수 인증이 실패할 경우 자동으로 종료된다.According to the comparison result, if the paths match, user authentication is finished, and if the paths do not match, the path input can be retried (S360). However, if the user gives up authentication or fails three or more times, authentication is automatically terminated.

도4는 본 발명의 화면 점멸방법을 나타내는 개념도이다. 도 3을 참조하면, GOTP 인증과정에 있어서, 개인키에서부터 홀키까지 경로 입력을 마치면 키보드의 엔터키 또는 화면의 입력버튼을 클릭하여야 한다. 최근의 키 로깅 수법에 의하면 키보드 입력 신호뿐만 아니라 엔터를 입력하는 순간 화면의 내용을 저장하는 해킹 방법이 등장하였다. 키보드의 입력 신호와 화면에 나타난 이미지의 배열을 3~4차례 반복하여 저장하게 되면 해커는 어렵지 않게 사용자의 홀키와 개인키를 유추해 낼 수 있다.4 is a conceptual diagram illustrating a screen flickering method of the present invention. Referring to FIG. 3, in the GOTP authentication process, when the path input from the private key to the hall key is finished, the enter key of the keyboard or the input button of the screen should be clicked. According to the recent key logging method, a hacking method for storing the contents of the screen as soon as an enter is input as well as a keyboard input signal has emerged. By repeatedly storing the input signal of the keyboard and the arrangement of the image displayed on the screen three or four times, hackers can easily infer the user's hole key and private key.

이를 방지하기 위하여 발명된 화면 점멸방법은 사용자가 GOTP 이미지의 배열(410)에서 홀키와 개인키 이미지를 찾아 개인키에서 홀키에 이르는 경로를 입력할 때 화면상의 방향버튼을 클릭하기 위한 마우스의 왼쪽 버튼 또는 키보드의 방향키가 눌리는 순간 화면상의 이미지를 모두 검은색 블록으로 변환(420)하고 눌림이 해지되면 다시 화면에는 기존의 이미지가 나타난다. 해커가 해킹을 통해 저장된 화면을 볼 땐 GOTP 인증과정에 사용된 이미지는 나타나지 않고 모두 검은색 블록만 나타나므로 해커는 사용자의 홀키 및 개인키를 유추할 수 없다.Invented screen blinking method to prevent this is the left button of the mouse for clicking the direction button on the screen when the user enters the path from the private key to the hole key to find the hole key and the private key image in the arrangement 410 of the GOTP image Alternatively, as soon as the direction key of the keyboard is pressed, all of the images on the screen are converted into black blocks (420), and when the pressing is terminated, the existing images appear again on the screen. When the hacker sees the saved screen through hacking, the image used in the GOTP authentication process does not appear and all black blocks appear, so the hacker cannot infer the user's hole key and private key.

GOTP인증과정은 두 개 이상의 개인키를 입력할 수 있으므로 첫 번째 경로 입력 후, 블록 처리된 화면의 이미지들은 다음 입력이 발생하면 배열이 바뀐 상태의 이미지(430)로 되돌릴 수 있다. 사용자가 GOTP 인증을 실패하는 경우, GOTP 인증을 재수행하기 위한 단계를 선택할 수 있으며, 해당 사용자가 GOTP 인증에 통과하는 경우, 해당 사용자는 서버에 접근이 허락된다.Since the GOTP authentication process can input two or more private keys, after inputting the first path, the images of the blocked screen can be returned to the image 430 of the changed state when the next input occurs. If a user fails GOTP authentication, they can choose the steps to re-enter GOTP authentication. If the user passes GOTP authentication, the user is allowed access to the server.

도 5는 본 발명의 화면 점멸방법을 나타내는 순서도이다. 도 5를 참조하면, GOTP 인증요청을 받은(S510) 단말기는 화면에 GOTP 이미지를 배열한다(S520). GOTP 이미지의 배열 방법은 서버에서 단말기로 배열코드를 전송하거나 단말기 자체에서 랜덤함수 또는 배열함수를 이용하여 배열하는 방법 등을 사용하여 가급적 동일한 배열이 나타나지 않도록 하여야 한다.5 is a flowchart illustrating a screen flickering method of the present invention. 5, the terminal receiving the GOTP authentication request (S510) arranges the GOTP image on the screen (S520). The method of arranging the GOTP image should transmit the array code from the server to the terminal or arrange it using the random function or the array function in the terminal itself.

단말기 또는 서버는 화면에 배열된 GOTP 이미지에서 홀키 및 개인키의 위치를 파악하여 개인키에서 홀키에 이르는 경로를 계산한다(S530). 사용자에 의해 개인키가 속한 열에서 홀키가 속한 열까지의 경로를 입력받을 때,(S530) 화면에 배열 된 이미지는 단말기 키보드의 방향키 또는 화면에 나타난 방향버튼이 눌려지는 순간 검은색 블록을 변환되고(S540), 눌림이 해지되는 순간 다시 이전의 이미지가 화면에 표시된다. 검은색 블록은 일회로 끝나는 것이 아니라 인증과정이 종료될 때까지 방향키 또는 버튼이 눌릴 때마다 이루어진다.The terminal or the server detects the positions of the hole key and the private key in the GOTP image arranged on the screen and calculates a path from the private key to the hole key (S530). When the user receives the path from the column to which the private key belongs to the column to which the hall key belongs (S530), the image arranged on the screen is converted into a black block at the moment the direction key of the terminal keyboard or the direction button on the screen is pressed. In operation S540, the previous image is displayed on the screen again when the pressing is released. The black block does not end once, but every time the direction key or button is pressed until the authentication process is completed.

단말기 또는 서버는 입력받은 경로와 미리 계산된 경로를 비교하여(S550), 경로가 일치할 경우 사용자 인증을 마치고, 경로가 일치하지 않을 경우 경로입력을 재시도할 수 있도록 한다(S560). 그러나 사용자가 인증을 포기하거나, 3회 또는 그 이상 인증이 실패할 경우 자동으로 종료된다.The terminal or the server compares the input path with the precomputed path (S550), and if the paths match, end user authentication, and if the paths do not match, retry the path input (S560). However, if the user gives up authentication or fails authentication three or more times, it is automatically terminated.

도 6은 본 발명의 다중 이미지 추출방법을 나타내는 개념도이다. 도 4를 참조하면, 다중 이미지 추출방법은 사용자가 홀키 및 개인키를 대표이미지 중에서 선택을 하고 GOTP 인증과정에 화면에 표시되는 이미지는 해당 대표이미지와 유사한 색상 또는 형태를 가진 이미지를 이용하여 배열하는 것이다. 대표 이미지를 기준으로 유사한 이미지 다수를 하나의 카테고리로 묶어 저장을 한다(610). GOTP 인증과정 중 화면에 나타나는 이미지(620)는 카테고리 중 하나를 임의로 선택하여 화면에 표시하고(620) 사용자가 볼 때 대표 이미지과 동일하거나 매우 흡사한 것으로 판단될 정도의 것으로 하여 사용자가 혼동을 일으키지 않도록 해야 한다. 6 is a conceptual diagram illustrating a method of extracting multiple images of the present invention. Referring to FIG. 4, in the multi-image extraction method, a user selects a hall key and a private key among representative images, and an image displayed on the screen during the GOTP authentication process is arranged using an image having a color or form similar to the representative image. will be. Based on the representative image, a plurality of similar images are bundled and stored in one category (610). The image 620 appearing on the screen during the GOTP authentication process is randomly selected from one of the categories and displayed on the screen (620) so that it is judged to be the same or very similar to the representative image when viewed by the user so that the user does not cause confusion. Should be.

GOTP 인증과정에 화면에 표시되는 각 이미지는 모두 대표 이미지를 토대로 각 카테고리 내에서 임의로 선택된 이미지이므로 매번 다른 파일명을 가지게 된다. 따라서 해킹을 통해 GOTP 인증과정을 훔쳐보았을 때, 해커는 데이타는 매번 다른 경로와 매번 다른 파일명을 보게된다. 따라서 GOTP 인증과정을 아무리 많이 훔쳐보 아도 사용자의 홀키와 개인키는 유추해 낼 수 없다.Each image displayed on the screen during the GOTP authentication process is a randomly selected image in each category based on the representative image, so each file has a different file name. Thus, when hacking into the GOTP authentication process, the hacker sees a different path each time and a different filename each time. Therefore, no matter how much you steal the GOTP authentication process, the user's hole and private keys cannot be inferred.

도 7은 본 발명의 다중 이미지 추출방법을 나타내는 순서도이다. 도 7을 참조하면, 사용자가 GOTP 인증을 하기 위하여 사전 작업으로 다수의 대표이미지 중에서 홀키 및 개인키를 설정하게 된다(S710). 대표 이미지에는 다수의 유사 이미지 카테고리가 포함되어 있으며, 각 유사 이미지는 서로 연관성 없는 파일명을 가지고 있다.7 is a flowchart illustrating a method of extracting multiple images of the present invention. Referring to FIG. 7, a user sets a hall key and a private key among a plurality of representative images in advance in order to perform GOTP authentication (S710). The representative image includes a plurality of similar image categories, and each similar image has a file name that is not related to each other.

GOTP 인증요청이 발생하면(S720) 대표 이미지가 아닌 유사 이미지 그룹에서 하나의 이미지를 추출하여 화면에 배열한다(S730). 다만 하나의 그룹에서는 하나의 이미지만 추출한다. 단말기 또는 서버는 화면에 배열된 GOTP 이미지 중에서 홀키와 개인키의 위치를 파악하고, 개인키에서 홀키에 이르는 경로를 계산하여(S740), 사용자가 입력한 경로(S740)와 비교한다(S750).When the GOTP authentication request occurs (S720), one image is extracted from the group of similar images instead of the representative image and arranged on the screen (S730). Only one image is extracted from one group. The terminal or the server grasps the positions of the hall key and the private key among the GOTP images arranged on the screen, calculates a path from the private key to the hall key (S740), and compares the path with the user input path (S740).

경로가 일치할 경우 사용자 인증을 마치고, 경로가 일치하지 않을 경우 경로 입력을 재시도할 수 있도록 한다(S760). 그러나 사용자가 인증을 포기하거나, 3회 또는 그 이상 인증이 실패할 경우 자동으로 종료된다.If the paths match, user authentication is completed, and if the paths do not match, the path input can be retried (S760). However, if the user gives up authentication or fails authentication three or more times, it is automatically terminated.

본 발명은 이상에서 살펴본 바와 같이 바람직한 실시예를 들어 도시하고 설명하였으나, 상기한 실시예에 한정되지 아니하며 본 발명의 정신을 벗어나지 않는 범위 내에서 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변경과 수정이 가능할 것이다.Although the present invention has been shown and described with reference to the preferred embodiments as described above, it is not limited to the above embodiments and those skilled in the art without departing from the spirit of the present invention. Various changes and modifications will be possible.

도 1은 종래의 GOTP 인증을 위한 화면 구성도,1 is a screen configuration diagram for a conventional GOTP authentication,

도 2는 본 발명의 포인터 일치방법을 나타내는 개념도,2 is a conceptual diagram showing a pointer matching method of the present invention;

도 3은 본 발명의 포인터 일치방법을 나타내는 순서도,3 is a flow chart showing a pointer matching method of the present invention;

도 4는 본 발명의 화면 점멸방법을 나타내는 개념도,4 is a conceptual diagram showing a screen flickering method of the present invention;

도 5는 본 발명의 화면 점멸방법을 나타내는 순서도,5 is a flowchart showing a screen flickering method of the present invention;

도 6은 본 발명의 다중 이미지 추출방법을 나타내는 개념도,6 is a conceptual diagram illustrating a multiple image extraction method of the present invention;

도 7은 본 발명의 다중 이미지 추출방법을 나타내는 순서도이다.7 is a flowchart illustrating a method of extracting multiple images of the present invention.

<도면의 주요 부분에 대한 부호의 설명>        <Explanation of symbols for the main parts of the drawings>

210 : 홀키 220 : 개인키          210: hole key 220: private key

230 : 개인키          230: private key

Claims (12)

GOTP를 이용하여 사용자를 인증하기 위한 인증과정에 있어서,In the authentication process for authenticating a user using GOTP, GOTP 인증요청을 받는 제1단계;A first step of receiving a GOTP authentication request; GOTP 이미지를 단말기 화면에 배열하는 제2단계;Arranging a GOTP image on a terminal screen; 상기 화면에 배열된 GOTP 이미지에 열단위로 포인터를 지정하는 제3단계;A third step of assigning pointers in units of columns to the GOTP images arranged on the screen; 상기 화면에 배열된 GOTP 이미지에서 홀키 및 개인키가 속한 열의 열포인터 및 열포인터간 경로를 단말기에서 계산하고 키보드 또는 화면의 방향버튼을 통해 경로를 입력받는 제4단계; 및A fourth step of calculating a path between a heat pointer and a heat pointer of a column to which a hole key and a private key belong in the GOTP image arranged on the screen, and receiving a path through a keyboard or a direction button of a screen; And 상기 입력받은 경로와 상기 제4단계에서 계산된 열포인터간 경로를 비교하여 사용자 인증 여부를 판단하는 제5단계; A fifth step of determining whether to authenticate a user by comparing the input path with a path between the thermal pointers calculated in the fourth step; 를 포함하는 그래픽 오티피의 해킹 방지 방법.How to prevent hacking of graphic OTP including a. 제1항에 있어서,The method of claim 1, 상기 홀키 및 개인키가 속한 열의 열포인터를 홀키 및 개인키가 속한 행의 행포인터로 대체하여 사용할 수 있는 그래픽 오티피의 해킹 방지 방법.And a column pointer of a column to which the hole key and the private key belong, is replaced with a row pointer of the row to which the hole key and the private key belong. 제1항에 있어서,The method of claim 1, 상기 개인키를 2개 이상으로 지정하여 상기 제1단계 내지 제3단계를 2회 이상 반복하여 GOTP 인증의 안정성을 높이기 위한 그래픽 오티피의 해킹 방지 방법.A method for preventing hacking of graphic OTP to increase the stability of GOTP authentication by repeating the first to third steps two or more times by designating two or more private keys. 제1항 및 제2항에 있어서, The method according to claim 1 and 2, 상기 열포인터 및 행포인터를 동시 또는 순차적으로 사용하도록 하는 그래픽오티피의 해킹 방지 방법.The method of preventing hacking of the graphic OTP to use the column pointer and the row pointer simultaneously or sequentially. GOTP를 이용하여 사용자를 인증하기 위한 인증과정에 있어서,In the authentication process for authenticating a user using GOTP, GOTP 인증요청을 받는 제1단계;A first step of receiving a GOTP authentication request; GOTP 이미지를 단말기 화면에 배열하는 제2단계;Arranging a GOTP image on a terminal screen; 상기 화면에 배열된 GOTP 이미지에서 개인키에서 홀키에 이르는 경로를 단말기 또는 서버에서 계산하는 제3단계;A third step of calculating, at the terminal or server, a path from the private key to the hall key in the GOTP image arranged on the screen; 상기 경로의 입력을 위해 키보드의 방향키 또는 화면의 방향버튼이 눌리는 순간 화면의 이미지를 모두 검은색 블록으로 변환하고 눌림이 해지되는 순간 이전의 이미지로 되돌리는 제4단계; 및A fourth step of converting all the images on the screen into black blocks when the direction key of the keyboard or the direction button of the screen is pressed for inputting the path and returning to the previous image when the pressing is canceled; And 상기 제4단계의 과정을 통해 입력받은 경로를 토대로 사용자 인증 여부를 판단하는 제5단계A fifth step of determining whether the user is authenticated based on the path received through the fourth step 를 포함하는 그래픽 오티피의 해킹 방지 방법.How to prevent hacking of graphic OTP including a. 제5항에 있어서,The method of claim 5, 1회의 경로 입력을 마치면 검은색 블록을 원상태의 이미지로 변환하면서, GOTP 이미지의 배열을 다시 바꾸는 제6단계  Step 6 of converting the black block to the original image and changing the arrangement of the GOTP image again after completing the path input once 를 포함하는 그래픽 오티피의 해킹 방지 방법.How to prevent hacking of graphic OTP including a. 제5항에 있어서 The method of claim 5 검은색 블록은 이미지 파일을 변경하거나 이미지 위에 검은색 블록을 덧씌우는 것인 그래픽 오티피의 해킹 방지 방법.A black block is a way to prevent hacking of graphic tiffies by changing the image file or overwriting the black block over the image. 제5항에 있어서,The method of claim 5, 상기 개인키를 2개 이상으로 지정하여 상기 제3단계 및 4단계를 2회 이상 반복하여 GOTP 인증의 안정성을 높이기 위한 그래픽 오티피의 해킹 방지 방법.A method for preventing hacking of a graphic OTP to increase the stability of GOTP authentication by repeating the third and fourth steps two or more times by designating two or more private keys. GOTP를 이용하여 사용자를 인증하기 위한 인증과정에 있어서,In the authentication process for authenticating a user using GOTP, 다수의 유사이미지가 종속되어 있는 대표 이미지 중에서 홀키 및 개인키를 설정받는 제1단계;A first step of setting a hall key and a private key among representative images to which a plurality of similar images are dependent; GOTP 인증요청을 받는 제2단계;A second step of receiving a GOTP authentication request; 홀키 및 개인키를 포함한 GOTP 이미지중 각 대표 이미지에 속한 유사 이미지를 하나씩 추출하여 단말기 화면에 배열하는 제3단계;A third step of extracting similar images belonging to each representative image from the GOTP images including the hall key and the private key and arranging them on the screen of the terminal; 상기 화면에 배열된 GOTP 이미지에서 개인키에서 홀키에 이르는 경로를 단말기 또는 서버에서 계산하고 키보드 또는 화면의 방향버튼을 통해 경로를 입력받는 제4단계;A fourth step of calculating a path from a private key to a hall key in a GOTP image arranged on the screen in a terminal or a server and receiving a path through a keyboard or a direction button of a screen; 상기 입력받은 경로와 상기 계산된 경로를 비교하여 사용자 인증 여부를 판단하는 제5단계; A fifth step of determining whether to authenticate a user by comparing the input path with the calculated path; 를 포함하는 그래픽 오티피의 해킹 방지 방법.How to prevent hacking of graphic OTP including a. 상기 제9항에 있어서, The method according to claim 9, 상기 개인키를 2개 이상으로 지정하여 상기 제5단계 및 6단계를 2회 이상 반복하여 GOTP 인증의 안정성을 높이기 위한 그래픽 오티피의 해킹 방지 방법.A method for preventing hacking of a graphic OTP to increase the stability of GOTP authentication by repeating the fifth and six steps two or more times by designating two or more private keys. 상기 제1항, 제5항 또는 제9항에 있어서,The method according to claim 1, 5 or 9, 단말기의 화면에 배열된 이미지 외에 정보전달을 목적으로 하는 이미지 또는 텍스트를 입력할 수 있는 공간이 마련되어 있는 그래픽 오티피의 해킹 방지 방법.A method for preventing hacking of a graphic OTP, in which a space for inputting an image or text for information transfer is provided in addition to an image arranged on a screen of a terminal. 상기 제1항, 제5항 또는 제9항에 있어서,The method according to claim 1, 5 or 9, 인증이 실패할 경우, 경로입력을 재시도 하거나 인증을 종료하도록 하는 그래칙 오티피의 해킹 방지 방법.How to prevent hacking of Gracie Ortipi to retry path input or end authentication if authentication fails.
KR1020070097878A 2007-02-28 2007-09-28 Method for hacking protection of gotp KR20080011362A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070097878A KR20080011362A (en) 2007-09-28 2007-09-28 Method for hacking protection of gotp
PCT/KR2008/001070 WO2008105602A1 (en) 2007-02-28 2008-02-25 User authentication method and system using graphic otp

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070097878A KR20080011362A (en) 2007-09-28 2007-09-28 Method for hacking protection of gotp

Publications (1)

Publication Number Publication Date
KR20080011362A true KR20080011362A (en) 2008-02-04

Family

ID=39339978

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070097878A KR20080011362A (en) 2007-02-28 2007-09-28 Method for hacking protection of gotp

Country Status (1)

Country Link
KR (1) KR20080011362A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101221955B1 (en) * 2010-11-02 2013-01-15 한국과학기술정보연구원 Method for certificating one time password and apparatus thereof
KR20160100123A (en) * 2015-02-13 2016-08-23 강세훈 Apparatus for input password for user authentication and method for thereof and system for thereof
WO2017030210A1 (en) * 2015-08-18 2017-02-23 김민수 User authentication method using graphic otp

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101221955B1 (en) * 2010-11-02 2013-01-15 한국과학기술정보연구원 Method for certificating one time password and apparatus thereof
KR20160100123A (en) * 2015-02-13 2016-08-23 강세훈 Apparatus for input password for user authentication and method for thereof and system for thereof
WO2017030210A1 (en) * 2015-08-18 2017-02-23 김민수 User authentication method using graphic otp

Similar Documents

Publication Publication Date Title
JP5764203B2 (en) Password safe input system using password key movement value and password safe input method
US8875264B2 (en) System, method and program for off-line two-factor user authentication
US7984491B2 (en) System, method and program for off-line user authentication
CN104011729B (en) Input information authenticating apparatus, server unit and input authentification of message system
WO2004025488A1 (en) Authentication system, authentication device, terminal device, and authentication method
JP2009104314A (en) Image selection authentication system, authentication server device, image selection authentication method, and image selection authentication program
US11727371B2 (en) Security key input system and method using one-time keypad
US9710627B2 (en) Computer implemented security method and system
WO2008105602A1 (en) User authentication method and system using graphic otp
Arun Kumar et al. A survey on graphical authentication system resisting shoulder surfing attack
KR101474924B1 (en) Locking system and method using dial
KR20080011362A (en) Method for hacking protection of gotp
KR100927280B1 (en) How to prevent secure string exposure using fake rounds
CN103593106A (en) Handheld device and method for unlocking same
WO2011124267A1 (en) Authentication system and method thereof
Shankar et al. IPCT: A scheme for mobile authentication
JP5705169B2 (en) INPUT INFORMATION AUTHENTICATION DEVICE, SERVER DEVICE, INPUT INFORMATION AUTHENTICATION SYSTEM, AND DEVICE PROGRAM
CN113268780B (en) Identity authentication method and device, computer equipment and storage medium
JP4540353B2 (en) Authentication system and terminal device
Ahsan et al. Graphical password authentication using images sequence
KR101467247B1 (en) System and method for verifying one-time password based on graphical images
WO2017030210A1 (en) User authentication method using graphic otp
KR101051037B1 (en) User authentication method
KR101063523B1 (en) User authentication method using a user authentication password consisting of two or more characters
KR101659809B1 (en) Apparatus for input password for user authentication and method for thereof and system for thereof

Legal Events

Date Code Title Description
A201 Request for examination
G15R Request for early opening
E902 Notification of reason for refusal
E601 Decision to refuse application