WO2017176051A1 - Method and system for authenticating internet of things device by using mobile device - Google Patents

Method and system for authenticating internet of things device by using mobile device Download PDF

Info

Publication number
WO2017176051A1
WO2017176051A1 PCT/KR2017/003740 KR2017003740W WO2017176051A1 WO 2017176051 A1 WO2017176051 A1 WO 2017176051A1 KR 2017003740 W KR2017003740 W KR 2017003740W WO 2017176051 A1 WO2017176051 A1 WO 2017176051A1
Authority
WO
WIPO (PCT)
Prior art keywords
authentication
information
user
server
otp
Prior art date
Application number
PCT/KR2017/003740
Other languages
French (fr)
Korean (ko)
Inventor
우종현
강봉호
장형석
Original Assignee
(주)이스톰
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이스톰 filed Critical (주)이스톰
Publication of WO2017176051A1 publication Critical patent/WO2017176051A1/en
Priority to US15/801,518 priority Critical patent/US10789591B2/en
Priority to US17/006,267 priority patent/US20200394657A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/308Payment architectures, schemes or protocols characterised by the use of specific devices or networks using the Internet of Things
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3221Access to banking information through M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3223Realising banking transactions through M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3226Use of secure elements separate from M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Definitions

  • the present invention relates to a method and system for authenticating an Internet of Things (IoT) device using a mobile device.
  • IoT Internet of Things
  • the card data is generated using the card reader and the customer's card, and the transaction data is transmitted to the card issuer. If not, it was executed in a way that approves the transaction.
  • This is a closed transaction approval structure in which the card transaction information encrypted with the customer's IC card is generated through the registered store card reader under the premise that the user is the correct card holder, and the information is relayed to the card company through the secure closed network.
  • mobile devices such as smartphones and wireless data communication technologies such as NFC (Near-Field Communication) are combined with the EMV network Tokenization specification established by EMV.
  • NFC Near-Field Communication
  • the conventional alternative payment technologies are QR code or barcode based payment technology based on the smartphone screen so that they can be used in all customer smartphones regardless of the mobile operating system.
  • the main point is to close the transaction by having the store's Point of Sales (POS) device read the barcode value.
  • POS Point of Sales
  • barcode-based payment requires complicated code value recognition process between customers and shops according to barcode issuance, and if barcodes from mobile devices are captured by hackers, the barcode is stolen elsewhere within the validity time of issuance. It has a security hole that can be.
  • the present invention provides a method for securely and conveniently performing payment services using a mobile device of a customer, an IoT device located in a store, and a cloud service in a store and a customer to perform a product transaction payment without using a card, and secure payment.
  • an authentication method and a system capable of verifying the authenticity of a payment subject (customer) and the authenticity of a payment object (IoT device as a payment device in a store) are provided.
  • the present invention is to provide an authentication method and system that can be universally applied in various applications to determine the authenticity of IoT devices using a mobile device and an authentication server.
  • a device authentication agent is installed in the Internet of Things (IoT) device on which the communication module is mounted, and generates first device authentication information for authentication of the corresponding IoT device;
  • An authentication server connected to the IoT device through wired or wireless communication and generating second device authentication information for authentication of the IoT device;
  • And installed in a user's mobile device and connected to the IoT device and the authentication server through wireless communication, and between the first device authentication information transmitted from the IoT device and the second device authentication information transmitted from the authentication server.
  • An authentication system including a mobile agent for verifying the authenticity of a message determined to be received from the IoT device or the IoT device according to a match is provided.
  • the authentication server generates seed information for generating device authentication information, transmits the seed information to the device authentication agent, and uses the seed information and a predetermined algorithm. 2 Create your device credentials,
  • the device authentication agent may generate the first device authentication information by using the seed information received from the authentication server and the predetermined algorithm.
  • the device authentication agent generates seed information for generating device authentication information, transmits the seed information to the authentication server, and uses the seed information and a predetermined algorithm. 1 Create your device credentials,
  • the authentication server may generate the second device authentication information by using the seed information received from the device authentication agent and the predetermined algorithm.
  • the mobile agent generates seed information for generating device authentication information, and transmits the generated seed information to the authentication server.
  • the authentication server generates the second device authentication information by using the seed information received from the mobile agent and a predetermined algorithm, and transmits the received seed information to the device authentication agent.
  • the device authentication agent may generate the first device authentication information by using the seed information received from the authentication server and a predetermined algorithm.
  • the communication module is a beacon communication module
  • the device authentication agent may wirelessly broadcast by inserting identification information usable for identification of the corresponding IoT device and the first device authentication information into a beacon message.
  • the first device authentication information may be inserted into at least one of a major field and a minor field that follow a data field region into which a UUID, which is a beacon unique value, is inserted in the beacon message.
  • the first device authentication information exceeds the size of the data field area to be inserted, the first device authentication information is converted into a value not exceeding the size of the corresponding data field area and inserted into the beacon message. Can be.
  • the communication module is a near-field communication (NFC) communication module
  • the device authentication agent may transmit the first device authentication information to the mobile agent as the communication session with the mobile agent is activated through an NFC handshake.
  • the first device authentication information and the second device authentication information are generated by a time one time password (OTP) method using time as an operation condition
  • OTP time one time password
  • the authentication server transmits both current second device authentication information and current second device authentication information previously generated to the mobile agent.
  • the mobile agent may verify whether the authenticity is determined by determining whether the first device authentication information matches any one of the current and second device authentication information.
  • the device authentication agent sends the first device authentication information to the authentication server,
  • the authentication server may verify the authenticity again according to whether or not the first device authentication information received from the device authentication agent and the second device authentication information generated by the authentication server.
  • the mobile agent generates the first user authentication information for user authentication according to a predetermined algorithm, and the user identification information and the first user authentication information available for identification of the user to the authentication server Send,
  • the authentication server self-generates second user authentication information according to the predetermined algorithm according to the user identification information received from the mobile agent, and receives the received first user authentication information and the self-generated second user authentication.
  • the authenticity of the user may be verified according to whether the information matches, and a verification result regarding the authenticity of the user may be transmitted to the device authentication agent.
  • the authentication server may generate first server verification information by using the user authentication information for the user authentication and a predetermined algorithm, and generate the first server verification information and the user authentication information by the device authentication agent.
  • the device authentication agent generates second server verification information by using the user authentication information received from the authentication server and the predetermined algorithm, and the first server verification information and the second server verification information received from the authentication server. Verification of authenticity of the authentication server may be performed according to the agreement between the two servers.
  • seed information for generating authentication information to be used for mutual authentication between devices is generated.
  • a mobile agent generating first authentication information by using the seed information and a predetermined algorithm;
  • Is installed in the Internet of Things (IoT) device equipped with a communication module, connected to the mobile agent via wireless communication, receiving the seed information from the mobile agent, using the received seed information and the predetermined algorithm
  • a device authentication agent generating second authentication information;
  • the mobile device is connected to the mobile agent through wireless communication, and is connected to the IoT device via wired or wireless communication.
  • an authentication system including an authentication server for double-verifying whether information matches the third authentication information.
  • an authentication method and system that can verify both the authenticity of the payment subject (customer), the authenticity of the payment object (IoT device as a payment device in the store) as a prerequisite for secure payment. can do.
  • an authentication method and system that can be universally applied in various application fields to determine the authenticity of an IoT device using a mobile device and an authentication server.
  • FIG. 1 is a diagram of a first embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
  • FIG. 2 is a diagram of a second embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
  • FIG. 3 is a diagram of a third embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store;
  • FIG. 4 is a diagram of a fourth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
  • FIG. 5 is a diagram of a fifth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
  • FIG. 5 is a diagram of a fifth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
  • FIG. 6 is a diagram of a sixth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store;
  • FIG. 7 is a diagram of a first embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store;
  • FIG. 8 is a diagram of a second embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store;
  • FIG. 9 is a diagram of a third embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store;
  • FIG. 10 is a diagram of a fourth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store;
  • FIG. 11 is a diagram of a fifth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store;
  • FIG. 12 is a diagram of a sixth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store;
  • FIG. 13 is a diagram of a first embodiment for explaining a method and a system for issuing a meal ticket in a mobile payment system when an IoT device is installed in a store;
  • FIG. 14 is a diagram of a second embodiment for explaining a method and a system for issuing a meal ticket in a mobile payment system when an IoT device is installed in a store;
  • FIG. 15 is a diagram of a third embodiment for explaining a method and a system for issuing a meal ticket in a mobile payment system when an IoT device is installed in a store;
  • FIG. 16 is a diagram of a seventh embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store;
  • one component when one component is referred to as “connected” or “connected” with another component, the one component may be directly connected or directly connected to the other component, but in particular It is to be understood that, unless there is an opposite substrate, it may be connected or connected via another component in the middle.
  • the terms “unit”, “module”, and the like described in the specification mean a unit that processes at least one function or operation, which means that it may be implemented by one or more pieces of hardware or software or a combination of hardware and software.
  • Push ID which is usually expressed by mobile app developers, means Push Token
  • push message service means a message service provided for each app in a mobile operating system such as Google or Apple.
  • each embodiment of the present invention will be described based on a mobile payment or a mobile commerce case, but an authentication method and system to be described below with reference to each drawing determines the authenticity of various IoT devices using a mobile device and an authentication server. To this end, it is first clarified that it can be applied universally in various applications.
  • the 'IoT device 100' is installed in a store, and the customer's mobile device (for example, a smartphone)
  • the device may be a device that performs various operations (eg, a transaction approval request) related to a mobile payment or a transaction through communication with the mobile station.
  • the IoT device 100 may be a separate independent device that communicates with a Point of Sales (POS) terminal in a store, or may be implemented as a device that is integrated with a POS terminal or replaces a POS terminal.
  • POS Point of Sales
  • the IoT device 100 may be installed with hardware or / and software for enabling a beacon function or a near-field communication (NFC) function.
  • NFC near-field communication
  • the IoT device 100 itself will be described as performing a role in each drawing, but in reality, a software program or a hardware module performing the corresponding role (in the present invention, this is called a device authentication agent). ) May be installed or mounted in the IoT device, and thus may play a role according to each embodiment of the present invention.
  • the authentication of the IoT device as well as authentication of the authenticity of the IoT device itself, as well as verifying whether the message that is determined to be received from the IoT device is a forgery message by a device ID or the like being stolen by a hacker or the like.
  • each step in the flowcharts of FIGS. 1 to 15 to be described below are merely for explaining each step and do not define a procedural order.
  • each step may be executed in parallel or concurrently, regardless of whether the identification number is subsequent, unless logically one step can be executed after one step has been executed.
  • the steps may be executed in a different order than the preceding and subsequent identification numbers.
  • the order of each step may also be variously modified. However, hereinafter, for convenience and convenience of description, each step will be described in the order shown in the drawings.
  • FIG. 1 is a diagram of a first embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
  • a system including an IoT device 100 located in a store, a user app 200 installed on a mobile device of a customer, and an authentication server 300 is disclosed.
  • the IoT device 100 and the user app 200, the user app 200 and the authentication server 300 is connected through wireless communication, the IoT device 100 and the authentication server 300 is wired or It can be connected via wireless communication.
  • the IoT device 100 has a beacon message sending function (also in FIGS. 2 to 6).
  • FIG. 1 illustrates a process of authenticating an IoT device located in a store as a premise for mobile payment.
  • the authentication server 300 generates the device authentication OTP Seed as seed information for authentication of the IoT device [see S100 of FIG. 1], and transmits the generated Seed to the IoT device 100 while the IoT device 100 Request to generate a device authentication OTP (see S102 in FIG. 1). In addition, the authentication server 300 itself generates the device authentication OTP using the generated Seed (see S104 in FIG. 1). In response to the device authentication OTP generation request as described above, the IoT device 100 generates the device authentication OTP based on the received Seed (see S106 of FIG. 1).
  • the authentication server 300 and the IoT device 100 may share a generation condition, a generation method, or an algorithm of a device authentication OTP common in advance.
  • OTP generation methods include a time OTP method and a challenge & response method.
  • the time OTP method is a method of generating the OTP using the generation time as an operation condition.
  • the OTP may be generated as an encrypted value according to a specific hash function by multiplying the determined specific OTP generation key by the generation time which is an operation condition.
  • the challenge and response method is a method of generating an OTP using the number of attempts as an operation condition.
  • the OTP may be generated as an encrypted value according to a specific hash function by multiplying the determined specific OTP generation key by the number of attempts, which is an operation condition. Therefore, according to the time OTP method, a new OTP value is generated whenever the valid time (for example, 60 seconds) of the corresponding OTP value elapses. On the other hand, in the challenge and response method, if the number of attempts is the same, the same OTP value will be maintained regardless of time.
  • the authentication server 300 and the IoT device 100 may share some of the key values for generating the OTP in advance.
  • the ID (ie IoT ID) of the corresponding IoT device or the key value of the IoT device may be shared in advance.
  • the authentication server 300 may determine key values (for example, random numbers that are variable values, etc.) except for key values shared with each other, and / or operation conditions (for example, when a challenge and response method is used, an attempt value ( Challenge value)) may be transmitted to the IoT device 100 as a Seed.
  • the device authentication OTP generated in S104 of FIG. 1 and S106 of FIG. 1 will be the same value.
  • the IoT device 100 wirelessly transmits (broadcasts) the beacon ID and the device authentication OTP generated in S106 of FIG. 1 to the beacon message (see S110 in FIG. 1).
  • the beacon ID is information for identifying the IoT device that transmits the beacon signal
  • device authentication OTP is information for use in determining the authenticity of the IoT device.
  • the beacon will be enabled to read the major and minor field values of the beacons of that UUID only if a UUID value that matches the UUID value of the beacon is present in the beacon message ( For iOS), it works by filtering and using only your own UUID out of all beacon UUIDs coming in on the beacon frequency (Android OS).
  • beacons typically select one or more unique UUID values for identifying services provided according to the beacons, and use them as service unique values, and use major / minor fields as building names or designated locations.
  • beacons use open frequencies, scanning them on a typical mobile device can retrieve their values. Therefore, in order to use beacons in more sophisticated areas, such as financial transactions, verifying the location of visits, or identifying visited equipment (vehicles, robots, etc.), it must be possible to prove that the beacon frequencies have not been manipulated by the secondary provider.
  • UUID is used as a service unique identifier
  • a major field is used as an equipment identifier (That is, a Beacon ID)
  • a minor field may be configured as an authentication value (that is, device authentication OTP).
  • the beacon message has a different length of data field available for each beacon method (for example, iBeacon, Eddystone, etc.).
  • the device authentication value is inserted into the beacon message.
  • the following method may be used as the method. In the following description, a case in which a major field 2 bytes and a minor field 2 bytes are configured on a beacon message will be described.
  • the entire 4 bytes of major and minor behind one UUID may be used as the device authentication value.
  • a major field of 2 bytes can be used as a device identification value
  • a minor field of 2 bytes can be used as a device authentication value.
  • the device authentication value can be expressed as 65,536. If only 2 bytes of the minor field are used to insert the device authentication value, the 2 bytes are expressed as a bit.
  • the authentication value of the device can be expressed as 65,536, which is the 16th approval of 2.
  • the device authentication value may be converted to a value that does not exceed 65,536, or when the device authentication value is generated, an authentication value of 65,536 or less may be processed. have.
  • the number of beacons can be increased by additionally setting up to 20 UUID values.
  • the beacon signal transmitted from S110 of FIG. 1 may be low power driven, and the signal strength may be adjusted to be effectively detected by another device only within a specific position range.
  • the beacon signal transmitted from S110 of FIG. 1 is adjusted to have a signal strength so that the beacon signal is effectively detected only in a store where the corresponding IoT device is installed.
  • FIG. 1 illustrates a case in which the customer directly runs the app, the app may be automatically driven as the app enters a predetermined position range and receives a beacon signal.
  • the user app 200 When the beacon signal transmitted by the IoT device 100 is received, the user app 200 requests to transmit the device authentication OTP to the authentication server 300 for the purpose of determining the authenticity of the corresponding IoT device [Fig. 1]. See S116]. Accordingly, the authentication server 300 may transmit the device authentication OTP previously created to the user app 200 (see S118 of FIG. 1).
  • the device authentication OTP generated above is a value generated by the time OTP method
  • the received device authentication OTP value may be different.
  • the authentication server 300 is a user of both the device authentication OTP (that is, electric OTP) and the currently generated device authentication OTP (that is, current OTP) created in the previous point in S118 of FIG. You can also send to the app (200).
  • the user app 200 receives the device authentication OTP value contained in the beacon message received from the IoT device 100 through S110 of FIG. 1 and the device authentication OTP value received from the authentication server 300 through S118 of FIG. 1.
  • the IoT device 100 that sent the beacon message is a true device that performs a transaction in the store (that is, whether the IoT device is authentic or forged) [FIG. 1. S120].
  • FIG. 2 is a diagram of a second embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
  • the authentication flowchart of FIG. 2 is demonstrated. 2 also illustrates a process of authenticating an IoT device located in a store as a premise for mobile payment.
  • the description process of FIG. 2 in the case of steps having the same concept as in FIG. 1, the description overlapping with the description above will be omitted.
  • the IoT device 100 generates a seed for generating an initial device authentication OTP (see S200 of FIG. 2), transmits the generated seed to the authentication server 300, and requests to generate a device authentication OTP. (Refer to S202 of FIG. 2). At this time, the IoT device 100 generates a device authentication OTP by using the generated Seed (see S204 of FIG. 2), and the authentication server 300 also generates a device authentication OTP using the received Seed [FIG. 2. See S206].
  • the IoT device 100 wirelessly sends (broadcasts) the beacon ID and the device authentication OTP generated in S204 of FIG. 2 to the beacon message (see S210 of FIG. 2).
  • the beacon ID is information for identifying an IoT device that transmits a beacon signal
  • the device authentication OTP is information for use in determining the authenticity of the IoT device.
  • the method of inserting the device authentication OTP into the data field of the beacon message may be the same as described above.
  • the beacon signal transmitted from S210 of FIG. 2 is adjusted so that the signal strength is effectively detected only in the store where the corresponding IoT device is installed.
  • the IoT device 100 transmits a beacon at that time.
  • a signal can be received (see S214 of FIG. 2).
  • the user app 200 requests to transmit the device authentication OTP to the authentication server 300 for the purpose of determining the authenticity of the corresponding IoT device (FIG. 2). S216]. Accordingly, the authentication server 300 may transmit the device authentication OTP previously created to the user app 200 (see S218 of FIG. 2). As described above, in this case, if the device authentication OTP is a value generated by the time OTP method, the authentication server 300 is the device authentication OTP (that is, electric OTP) and the currently generated device created at a previous time in S218 of FIG. The authentication OTP (that is, the current OTP) can all be sent to the user app 200.
  • the user app 200 receives the device authentication OTP value included in the beacon message received from the IoT device 100 through S210 of FIG. 2 and the device authentication OTP value received from the authentication server 300 through S218 of FIG. 2. By checking whether there is a match, it is possible to verify the authenticity or forgery of the IoT device 100 that transmitted the beacon message through this (see S220 of FIG. 2).
  • FIG. 3 is a diagram of a third embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
  • the authentication flowchart of FIG. 3 is demonstrated. 3 also illustrates a process of authenticating an IoT device located in a store as a premise for mobile payment.
  • the description process of FIG. 3 in the case of steps having the same concept as in the description of the preceding drawings, the overlapping description will be omitted.
  • the seed information of the device authentication OTP is generated by the authentication server 300 and transmitted to the IoT device 100.
  • device authentication for determining the authenticity of the IoT device 100 is performed. If the seed information of the OTP was generated by the IoT device 100 itself, in the case of FIG. 3, the seed information for generating the device authentication OTP is generated and delivered by the user app 200 or the first device in the user app 200. There is a key difference from FIG. 1 and FIG. 2 in that it is a method of requesting generation of an authentication OTP.
  • the user app 200 As a user entering the store runs a user app 200 installed on a mobile device possessed by him (see S300 of FIG. 3), the user app 200 generates a device authentication OTP Seed [FIG. S302 of FIG. 3], and transmits the generated Seed to the authentication server 300, and requests to generate a device authentication OTP (see S304 of FIG. 3).
  • the above process may be executed while the user app 200 is automatically driven at the same time as the beacon signal continuously broadcast by the IoT device 100 is received.
  • the authentication server 300 transmits the Seed to the IoT device 100 [see S306 of FIG. 3], and generates a device authentication OTP using the Seed [FIG. 3. S308 of the present disclosure), the generated device authentication OTP may be transmitted to the user app 200 (see S310 of FIG. 3).
  • the IoT device 100 may generate a device authentication OTP using the received seed.
  • the authentication server 300 and the IoT device 100 may share a method of generating device authentication OTP with each other in advance.
  • the IoT device 100 wirelessly transmits (broadcasts) the beacon ID and the device authentication OTP generated in S312 of FIG. 3 to the beacon message (see S314 in FIG. 3). Accordingly, the user app 200 compares the match between the device authentication OTP received in S310 of FIG. 3 and the device authentication OTP received in S314 of FIG. 3, thereby checking whether the IoT device 100 that transmitted the beacon message is authentic. Or it can be verified whether the forgery (see S316 of Figure 3).
  • the user app 200 transmits the Seed to generate the device authentication OTP to the authentication server 300 and the authentication server 300 transmits the Seed back to the IoT device 100 are described.
  • the user app 200 may use only the device authentication OTP generation request as the authentication server 300 through step S304 of FIG. 3 without separately generating a seed.
  • the authentication server 300 may transmit to the IoT device 100 through the step S306 of FIG. 3 using the Seed as a key value or an operation condition used when the device generates the device authentication OTP.
  • the authentication server 300 may transmit a challenge value, which is an operation condition, to the IoT device 100 as a seed.
  • FIG. 4 is a diagram of a fourth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message transmission function is installed in a store.
  • FIG. 4 is an authentication flowchart in which the authentication server 300 verifies the user side after verifying the IoT device 100 on the user side (that is, the user app 200). Accordingly, steps S100 to S120 of FIG. 4 are the same as described above with reference to FIG. 1. When the process of verifying the IoT device at the user side according to the steps S100 to S120 of FIG. 4 is completed, the process of verifying the user side is performed by the authentication server according to the steps S122 to S218 of FIG. 4.
  • the user app 200 When the IoT device verification is completed, the user app 200 generates an authentication value for user authentication (that is, a value for proving that the user is a true user, in this example, a user OTP) (see S122 of FIG. 4), The user authentication information is transmitted to the authentication server 300 (see S124 of FIG. 4).
  • the user authentication information identification information (user ID in this example) and user OTP capable of identifying the user may be transmitted to the authentication server 300.
  • the user identification information may be used in addition to the user ID in this example, the mobile device identification value, mobile device phone number, USIM value, app ID, and the like.
  • the authentication server 300 identifies the user who has transmitted the user OTP, generates a user OTP according to a pre-shared OTP generation method and / or operation condition, and generates the user OTP by itself and the received user. By comparing the agreement between the OTPs, the authenticity or forgery of the user side is verified (see S126 of FIG. 4). Thereafter, the authentication server 300 may transmit the user authentication result according to S126 of FIG. 4 to the IoT device 100 (see S128 of FIG. 4).
  • FIG. 5 is a diagram of a fifth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
  • FIG. 5 illustrates the IoT device authentication process according to steps S107 and S109 of FIG. 5 in the authentication flowchart of FIG. 4 described above. That is, according to the foregoing FIGS. 1 and 4, the authentication of the IoT device is performed by the user side (that is, the user app 200), but in FIG. 5, the authentication of the IoT device is performed in parallel in the authentication server 300. As a result, more reliable IoT device authentication is possible. That is, in step S106 of FIG. 5, the device authentication OTP generated by the IoT device 100 is also transmitted to the authentication server 300 [see S107 of FIG. 5], and accordingly, the authentication server 300 performs step S104 of FIG. 5. By comparing the match between the device authentication OTP generated by itself and the device authentication OTP received from the IoT device 100, it is possible to re-verify the authenticity or forgery of the IoT device.
  • FIG. 6 is a diagram of a sixth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
  • S100 to S126 of FIG. 6 are based on the same procedure as in FIG. 5.
  • FIG. 6 in addition to the authentication process of the IoT device and the authentication process of the user side, there is a technical feature in that authentication of the authentication server 300 is also performed. Authentication of the authentication server 300 may be performed through S130, S132, S134 of FIG.
  • the authentication server 300 is itself a true authentication server (that is, forgery and alteration).
  • An authentication value (in this example, the server verification OTP) for proving that the authentication server is not an authorized server may be generated (see S130 of FIG. 6).
  • the server authentication value may be generated by various methods, but in this example, the server verification OTP is generated using the IoT key value and the user OTP shared with the IoT devices.
  • the authentication server 300 may request server verification while transmitting the generated server verification OTP and the user OTP to the IoT device 100 (see S132 of FIG. 6).
  • the IoT device 100 generates a server verification OTP using its IoT key value and the received user OTP, and whether the server verification OTP generated from the self verification and the server verification OTP received from the authentication server 300 match. By comparing this, it is possible to verify the authenticity of the authentication server 300 communicating with itself (see S134 of FIG. 6).
  • FIG. 16 is a diagram of a seventh embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
  • the IoT device 100 generates a seed of the device authentication OTP (see S1000 of FIG. 16), and generates a device authentication OTP based on this (see S1002 of FIG. 16).
  • the IoT device 100 broadcasts the beacon ID and the generated device authentication OTP in a beacon message (see S1004 of FIG. 16).
  • the user app 200 may request verification of the device authentication OTP to the authentication server 300 [ S1010 of FIG. 16].
  • the authentication server 300 generates the device authentication OTP in the same manner as the device authentication OTP is generated in the IoT device 100, and authenticates the device authentication OTP generated by the device and the device received from the user app 200.
  • the authentication server 300 By comparing the agreement between the OTPs, it is possible to verify the authenticity of the IoT device broadcasting the beacon message (see S1014 of FIG. 16).
  • the authentication result may be transmitted to the user app 200 (see S1016 of FIG. 16). Accordingly, the user app 200 may check the authenticity of the IoT device.
  • the authentication server 300 may use the Seed received from the IoT device 100 according to step S1012 of FIG. 16. For example, when the challenge and response method is used as the device authentication OTP generation method, a challenge value, which is an operation condition, may be transmitted to the authentication server 300 through step S1012 of FIG. 16. Of course, other Seed values may be transmitted.
  • step S1012 of FIG. 16 may be omitted.
  • the beacon ID transmitted through S1004 of FIG. 16 is used as the seed of the device authentication OTP, and the device authentication OTP is generated by the time OTP method, step S1012 of FIG. 16 may be omitted.
  • the transmission of the device authentication OTP Seed to the authentication server 300 according to S1012 of FIG. 16 may be performed at any point in time after the step S1000 of FIG. 16 is executed.
  • FIG. 4 further introduction of the authentication process of the user side of FIG. 4, introduction of additional authentication of the IoT device through the authentication server of FIG. 5, and further introduction of the authentication process of the authentication server of FIG.
  • FIGS. 4, 5, and 6 may be introduced in the same or similar manner to the case of FIG. 2, 3, or 16.
  • FIGS. 7 to 12 have an NFC function. An authentication method and system assuming a case where an IoT device is installed in a store will be described.
  • FIG. 7 is a diagram of a first embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store.
  • FIG. 7 relates to an authentication method and system that may correspond to the embodiment of FIG. 1 described above, and illustrates an embodiment in which the IoT device 100 has an NFC function.
  • the IoT device 100 according to the present embodiment may be equipped with an NFC module and software for driving the same in order to have an NFC function (hereinafter, FIGS. 8 to 12 are also the same).
  • an OTP Seed for device authentication of the IoT device 100 is generated in the authentication server 300 and transmitted to the IoT device 100.
  • the authentication flow according to FIG. 7 will be described.
  • the description process of FIG. 7 the description of the same technical features as in the description of FIG. 1 will be omitted.
  • the authentication server 300 generates the device authentication OTP Seed (see S400 of FIG. 7), and requests generation of the device authentication OTP while transmitting the generated Seed to the IoT device 100 (S402 of FIG. 7).
  • the authentication server 300 itself generates the device authentication OTP using the Seed (see S404 of FIG. 7), and the IoT device 100 also generates the device authentication OTP using the received Seed.
  • the user app 200 when the user app 200 is driven [see S410 of FIG. 7], and performs an NFC tap on the IoT device 100 using the mobile device possessed by the user [see S412 of FIG. 7], the user A communication session via an NFC handshake may be established between the mobile device and the IoT device 100 (see S414 in FIG. 7).
  • the user app 200 is a device as the IoT device 100 and the authentication server 300, respectively. It may request to send an authentication OTP (see S418 and S422 of FIG. 7).
  • the user app 200 receives the device authentication OTP received from the IoT device 100.
  • authenticity of the IoT device 100 can be determined (verified) by comparing the agreement between the device authentication OTP received from the authentication server 300 (see S526 of FIG. 7).
  • FIG. 8 is a diagram of a second embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store.
  • FIG. 8 relates to an authentication method and system that may correspond to the above-described embodiment of FIG. 2, and illustrates an embodiment when the IoT device 100 has an NFC function.
  • the OTP Seed for device authentication of the IoT device 100 is generated by the IoT device 100 and transmitted to the authentication server 300.
  • the authentication flow according to FIG. 8 will be described. In the description process of FIG. 8, the description of the same technical features as in the description of FIG. 2 will be omitted.
  • the IoT device 100 generates a device authentication OTP Seed and generates the device authentication OTP using the device authentication OTP Seed (see S500 and S504 of FIG. 8). At this time, the generated Seed is transmitted to the authentication server 300 (see S502 of FIG. 8), and the authentication server 300 generates the device authentication OTP using the received Seed (see S506 of FIG. 8).
  • the user app 200 may request to transmit the device authentication OTP to the IoT device 100 and the authentication server 300, respectively (see S518 and S522 of FIG. 8).
  • the user app 200 receives the device authentication OTP received from the IoT device 100.
  • authenticity of the IoT device 100 can be determined (verified) by comparing the agreement between the device authentication OTP received from the authentication server 300 (see S526 of FIG. 8).
  • FIG. 9 is a diagram of a third embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store.
  • FIG. 9 relates to an authentication method and system that may correspond to the embodiment of FIG. 4 described above, and illustrates an embodiment in which the IoT device 100 has an NFC function.
  • FIG. 9 similar to the embodiment of FIG. 4, authentication of the user side is also performed after the device authentication process for the IoT device 100.
  • the authentication flow according to FIG. 9 will be described. In the description process of FIG. 9, the description of the same technical features as in the description of FIG. 4 will be omitted.
  • S400 to S426 of FIG. 9 correspond to the device authentication process of the IoT device 100, which is the same as in FIG. 7 described above.
  • the user app 200 When the device authentication for the IoT device 100 is completed through the above process, the user app 200 generates an authentication value (user OTP in this example) for authentication of the user side [see S428 of FIG. 9], and User authentication information may be transmitted to the authentication server 300 (see S430 of FIG. 9).
  • the authentication server 300 generates the authentication value for authentication of the user side in the same manner as the user app 200 generated the corresponding authentication value, and from the user authentication value and the user app generated by the user app 200 It is possible to authenticate the authenticity of the user side by comparing the match between the received user authentication value (see S432 in Fig. 9).
  • the authentication result may be transmitted to the IoT device 100 (see S434 of FIG. 9).
  • FIG. 10 is a diagram of a fourth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store.
  • FIG. 10 relates to an authentication method and system that may correspond to the embodiment of FIG. 5 described above, and illustrates an embodiment in which the IoT device 100 has an NFC function.
  • steps S407 and S409 of FIG. 10 are the same as in FIG. 9.
  • the device authentication process for the IoT device 100 is performed in the user app 200 and also in the authentication server 300.
  • S407 and S409 of FIG. 10 are steps related to cases in which device authentication for the IoT device 100 is performed by the authentication server 300.
  • FIG. 11 is a diagram of a fifth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store.
  • FIG. 11 relates to an authentication method and system that may correspond to the embodiment of FIG. 6 described above, and illustrates an embodiment in which the IoT device 100 has an NFC function.
  • FIG. 11 similar to the embodiment of FIG. 6, after the device authentication process and the user authentication process for the IoT device 100 are completed, the authentication for the authentication server is also performed.
  • the authentication flow according to FIG. 11 will be described.
  • S400 to S432 of FIG. 11 are the same as those of FIG. 10 described above as a description of the device authentication process of the IoT device 100.
  • a server authentication process is performed.
  • the server authentication process is based on S436, S438, and S440 of FIG. 11, which is essentially the same as described with reference to FIG. 6.
  • FIG. 12 is a diagram of a sixth embodiment for describing an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store.
  • the sixth embodiment is a flowchart of a method in which the authentication server 300 authenticates a user.
  • the authentication server 300 authenticates a user.
  • the user app 200 When the user app 200 is driven [see S600 of FIG. 12], the user app 200 generates a user OTP Seed and generates a user authentication value (user OTP in this example) using the generated Seed [FIG. 12. S602 of. Subsequently, when the NFC tap [see S604 of FIG. 12] and the NFC handshake [see S606 of FIG. 12] are made, the user app 200 transmits a corresponding seed to the IoT device 100 [see S608 of FIG. 12]. In addition, the user OTP and user identification information (user ID in this example) generated by the authentication server 300 may be transmitted (see S610 of FIG. 12).
  • the authentication server 300 itself generates a user OTP in the same manner as the user app 200 generated the OTP, and whether the user OTP generated from the user app 200 matches with the user OTP received from the user app 200. By comparing, the user OTP can be primary verified (see S612 of FIG. 12).
  • the IoT device 100 generates a user OTP by itself in the same manner as the user app 200 generates the OTP using the Seed [see S614 of FIG. 12], and generates the Seed.
  • the user OTP is transmitted to the authentication server 300 (see S616 of FIG. 12).
  • the authentication server 300 may secondly verify the user OTP by comparing the user OTP generated between the self-generated user OTP and the user OTP received from the IoT device 100 (see S618 of FIG. 12).
  • the authentication server 300 can authenticate the user side and the IoT device at the same time. That is, the authenticity of the user side may be authenticated through the first verification process of the user OTP described above, and the authenticity of the IoT device may be authenticated through the second verification process of the user OTP described above.
  • the second verification process of the user OTP is a process in which the authentication server 300 verifies the user OTP generated by the IoT device 100 by using the Seed received from the user app 200, accordingly, the IoT device 100. The authenticity of this can also be verified indirectly.
  • the user OTP is shown and described as being transmitted to the authentication server 300, but this is not necessarily the same. In other words, the transmission of the user OTP to the authentication server may be performed at any point in time after the OTP is generated according to S602 of FIG. 12.
  • FIG. 13 is a diagram of a first embodiment for explaining a method and a system for issuing a meal ticket in a mobile payment system when an IoT device is installed in a store.
  • the meal ticket issuing system of FIG. 13 may include an IoT device 100 having a beacon signal transmission function, a user app 200 installed on a user's mobile device, an authentication server 300, and a meal ticket management server 400.
  • the user app 200 may be connected to the IoT device 100 and the meal ticket management server 400 through wireless communication
  • the meal ticket management server 400 is wired with the IoT device 100 and the authentication server 300
  • the communication may be connected via wireless communication.
  • the IoT device 100 generates a device authentication OTP (see IoT OTP of FIG. 13, hereinafter, FIG. 14 and FIG. 15) to prove the authenticity of the device itself (FIG. 13).
  • the beacon ID and the generated device authentication OTP can be loaded in a beacon message to be broadcast to the outside (see S702 in FIG. 13).
  • the user app 200 can receive a beacon signal [see S706 of FIG. 13], thereby proving the authenticity of the user or the app.
  • Create a user OTP see S708 of FIG. 13).
  • the user app 200 requests meal ticket information to the meal ticket management server 400 (see S710 of FIG. 13).
  • the user app 200 receives user identification information (user ID in this example), self-generated user OTP, and IoT device information (ie, Beacon ID, IoT OTP) received through a meal ticket information request process. Together with the meal ticket management server 400 can be transmitted.
  • the food stamp management server 400 receiving the food stamp information request requests verification of the user and the corresponding IoT device to the authentication server 300 (see S712 of FIG. 13). To this end, the meal ticket management server 400 transmits the information (that is, user ID, user OTP, Beacon ID, IoT OTP) received from the user app 200 to the authentication server 300 through step S712 of FIG. 13. Can be.
  • the information that is, user ID, user OTP, Beacon ID, IoT OTP
  • the authentication server 300 identifies the user and the corresponding IoT device according to the received user ID and the beacon ID, and generates a shared OTP in advance (that is, the user app 200 and the IoT device 100 previously). In the same manner as in each method for generating an OTP in the) it is possible to create a user OTP and IoT OTP itself.
  • the authentication server 300 may verify the authenticity of the user and the IoT device by comparing the user OTP and IoT OTP generated by the self and the match between the user OTP and IoT OTP received from the meal ticket management server 400 [ S714 in FIG. 13], and the verification result is transmitted to the meal ticket management server 400 (see S716 in FIG. 13).
  • the food stamp management server 400 transmits the merchant information and the food stamp related information (in this example, food stamp ID, food stamp information, token value) provided by the merchant to the user app 200. (See S718 of FIG. 13).
  • the token value may be used as Seed information in the generation of the meal ticket OTP in the future.
  • the user app 200 may display the meal ticket information on the app screen based on the received information (see S720 of FIG. 13).
  • the user selects a meal ticket on the screen of the user app 200 [see S722 of FIG. 13], and taps the IoT device 100 [see S724 of FIG. 13]
  • the user app 200 receives the meal ticket OTP. Is generated (see S726 of FIG. 13).
  • the IoT 100 device operates in a beacon manner, the event will be normally processed when the tap to the IoT device is made within a specified effective distance between the user's mobile device and the IoT device.
  • the meal ticket OTP may use all or part of the information received through S718 of FIG. 7.
  • the food stamp OTP may be generated as a transaction-linked OTP.
  • transaction-related information such as the number of meal tickets and the amount may be further utilized as a seed of the OTP generation.
  • the user app 200 requests the use of a meal ticket to the meal ticket management server 400 (see S728 of FIG. 13).
  • a user ID, a meal ticket ID, a meal ticket OTP, and the like may be transmitted to the meal ticket management server 400.
  • the meal ticket management server 400 requests the meal ticket verification to the authentication server 300 (see S730 of FIG. 13).
  • information such as a meal ticket ID and a meal ticket OTP may be transmitted to the authentication server 300.
  • the authentication server 300 generates the meal ticket OTP based on the received information such as the meal ticket ID.
  • the authentication server 300 compares whether or not the meal ticket OTP generated from the meal ticket OTP received from the meal ticket management server 400 matches with each other, and thus is received from the meal ticket management server 400 (that is, generated by the user app 200). ) Authenticity (or validity) of the food stamp OTP is verified (see S732 of FIG. 13). The verification result of the meal ticket OTP is transmitted to the meal ticket management server 400 (see S734 of FIG. 13).
  • the food stamp management server 400 updates the food stamp usage history [see S736 of FIG. 13], and sends the food stamp use result to the IoT device 100 [see S738 of FIG. 13].
  • the meal ticket usage history may be transmitted to the user app 200 (see S742 of FIG. 13).
  • the IoT device 100 may output a success signal indicating that the use of the meal ticket is successful in a visual or / or audio manner (see S740 of FIG. 13).
  • processes S700 to S714 are procedures for device authentication and user authentication. Therefore, processes S700 to S714 of FIG. 13 may be replaced with the procedures of FIGS. 1 to 12 and 16 described above.
  • S700 to S714 processes of FIG. 13 are implemented to simultaneously perform device authentication and user authentication, the device authentication process is replaced with the device authentication process according to FIGS. 1 to 12 and 16, and the user authentication process is a food stamp OTP. Of course, it may be modified to be performed together during the verification process. This is the same in the case of FIGS. 14 and 15 which will be described later.
  • FIG. 14 is a diagram of a second embodiment for explaining a method and a system for issuing a meal ticket in a mobile payment system when an IoT device is installed in a store.
  • the meal ticket issuing system of FIG. 14 may include an IoT device 100 having a beacon signal transmission function, a user app 200 installed on a user's mobile device, an authentication server 300, and a meal ticket management server 400. .
  • IoT device 100 having a beacon signal transmission function
  • a user app 200 installed on a user's mobile device
  • an authentication server 300 a user's mobile device
  • a meal ticket management server 400 a meal ticket management server 400.
  • the IoT device 100 generates a device authentication OTP (see IoT OTP in FIG. 14) for verifying the authenticity of the device itself (see S800 in FIG. 14), and a beacon ID and the generated device.
  • the authentication OTP may be carried in the beacon message and broadcasted to the outside (see S802 of FIG. 14).
  • the user app 200 can receive a beacon signal [see S806 of FIG. 14], thereby proving the authenticity of the user or the app. Create a user OTP (see S808 in FIG. 14).
  • the user app 200 may generate a kind of serial number information (represented by the UUID in this example) for checking the number of attempts to use a meal ticket by the user (see S809 of FIG. 14).
  • Beacon signals are broadcast, so that the information can be hijacked by hackers, and if user OTPs are also hijacked by hackers, there is also the possibility that a meal ticket can be used by a hacker within the valid time of the OTP. . Therefore, in the embodiment of Figure 14 is to prevent this problem by generating additional information that can confirm the number of attempts to use a meal ticket.
  • the user app 200 requests meal ticket information to the meal ticket management server 400 (see S810 of FIG. 14).
  • the user app 200 may transmit a user ID, a self-generated user OTP, a beacon ID, an IoT OTP, and a self-generated UUID value together with the meal ticket management server 400 through a request for a meal ticket information.
  • the meal ticket management server 400 receiving the meal ticket information request verifies the UUID value of the number of attempts to use the meal ticket of the user (see S812 of FIG. 14), and stores the corresponding UUID value (see S814 of FIG. 14). At this time, the storage of the UUID value may be stored only during the valid time of the user OTP.
  • the meal ticket management server 400 requests verification of the corresponding user and the corresponding IoT device to the authentication server 300 (see S816 of FIG. 14). To this end, the meal ticket management server 400 transmits the information (that is, user ID, user OTP, Beacon ID, IoT OTP) received from the user app 200 to the authentication server 300 through step S816 of FIG. 14. Can be.
  • the authentication server 300 identifies the user and the corresponding IoT device according to the received user ID and the beacon ID, and generates a shared OTP in advance (that is, the user app 200 and the IoT device 100 previously). In the same manner as in each method for generating an OTP in the) it is possible to create a user OTP and IoT OTP itself.
  • the authentication server 300 may verify the authenticity of the user and the IoT device by comparing the user OTP and IoT OTP generated by the self and the match between the user OTP and IoT OTP received from the meal ticket management server 400 [ Referring to S818 of FIG. 14], the verification result is transmitted to the meal ticket management server 400 (see S820 of FIG. 14).
  • the food stamp management server 400 transmits the merchant information and the food stamp related information (in this example, food stamp ID, food stamp information, token value) provided by the merchant to the user app 200. (See S822 of FIG. 14).
  • the user app 200 may display the meal ticket information on the app screen based on the received information (see S824 of FIG. 14).
  • the user selects a meal ticket on the screen of the user app 200 (see S826 of FIG. 14), and taps the IoT device 100 (see S828 of FIG. 14).
  • the IoT 100 device operates in a beacon manner, the event will be normally processed when the tap to the IoT device is made within a specified effective distance between the user's mobile device and the IoT device.
  • the user app 200 requests the use of a meal ticket to the meal ticket management server 400 (see S830 of FIG. 14).
  • information such as a user ID, a meal ticket ID, a token value, and the like may be transmitted to the meal ticket management server 400.
  • the meal ticket management server 400 verifies the received token value [see S832 of FIG. 14], and if the verification is successful, updates the meal ticket usage history [see S834 of FIG. 14], and uses the meal ticket.
  • the result may be transmitted to the IoT device 100 [see S836 of FIG. 14], and the meal ticket usage history may be transmitted to the user app 200 (see S840 of FIG. 14).
  • the IoT device 100 may output a success signal indicating that the use of the meal ticket is successful in a visual or / and audio manner (see S838 of FIG. 14).
  • FIG. 14 illustrates a method in which a token value received through S822 in the process of requesting a meal ticket through S830 is transmitted to the meal ticket management server 400 as it is, a meal ticket OTP is generated and transmitted as shown in FIG. 7.
  • a verification method may be used.
  • the token value verification is performed by the food stamp management server 400 through S832, but this may also be replaced by a method of verifying the food stamp OTP in the authentication server 300 as shown in FIG.
  • FIG. 15 is a diagram of a third embodiment for explaining a method and a system for issuing a meal ticket in a mobile payment system when an IoT device is installed in a store.
  • the meal ticket issuing system of FIG. 15 may include an IoT device 100 having an NFC function, a user app 200 installed on a user's mobile device, an authentication server 300, and a meal ticket management server 400.
  • IoT device 100 having an NFC function
  • user app 200 installed on a user's mobile device
  • authentication server 300 an authentication server
  • meal ticket management server 400 a meal ticket management server 400.
  • the transmission signal, the success signal output step according to S928, is essentially the same as in the above-described embodiment of FIG. 13 or FIG.
  • step S904 of FIG. 15 illustrates a case of inputting a meal ticket price in a meal ticket selection process.
  • the user app 200 may confirm that the user ID, the user OTP, the meal ticket price, the meal ticket OTP, etc. are requested to use the meal ticket while transmitting to the IoT device 100.
  • the meal ticket price is not necessarily transmitted separately, of course, may be used only as Seed information for generating a meal ticket OTP.
  • the IoT device 100 that receives the meal ticket use request transmits the meal ticket use request to the meal ticket management server 400 (see S916 of FIG. 15).
  • the IoT device 100 may transmit information for device authentication (refer to IoT device ID and IoT OTP in the case of S916 of FIG. 15) to the meal ticket management server 400.
  • the meal ticket management server 400 may simultaneously request user authentication, device authentication, and meal ticket authentication to the authentication server 300 (see S918 of FIG. 15), and the authentication server 300 performs authentication on this. 15, the authentication result may be transmitted to the meal ticket management server 400.
  • the authentication method for a mobile payment system may be embodied as computer readable codes on a computer readable recording medium.
  • Computer-readable recording media include all kinds of recording media having data stored thereon that can be decrypted by a computer system. For example, there may be a read only memory (ROM), a random access memory (RAM), a magnetic tape, a magnetic disk, a flash memory, an optical data storage device, and the like.
  • ROM read only memory
  • RAM random access memory
  • the computer readable recording medium can also be distributed over computer systems connected over a computer network, stored and executed as readable code in a distributed fashion.

Abstract

An authentication system is provided, comprising: a device authentication agent, which is installed in an Internet of Things (IoT) device in which a communication module is mounted, for generating first device authentication information for authentication of the IoT device; an authentication server, which is connected to the IoT device via wired or wireless communication, for generating second device authentication information for the authentication of the IoT device; and a mobile agent, which is installed in a user's mobile device and connected to the IoT device and the authentication server through wireless communication, for verifying the IoT device or the authenticity of a message that is determined to be received from the IoT device, on the basis of whether or not the first device authentication information sent from the IoT device matches the second device authentication information sent from the authentication server.

Description

모바일 기기를 이용하여 사물 인터넷 기기를 인증하는 방법 및 시스템Method and system for authenticating IoT devices using mobile devices
본 발명은 모바일 기기를 이용하여 IoT(Internet of Things) 기기를 인증하는 방법 및 시스템에 관한 것이다.The present invention relates to a method and system for authenticating an Internet of Things (IoT) device using a mobile device.
최근, 상점에서 고객이 결제를 수행하는데 있어서 카드를 사용하지 않고 고객의 스마트폰과 상점 내 위치한 IoT 기기와 클라우드 서비스를 이용하여 사용자의 스마트폰에서 안전하고 편리하게 결제 서비스가 이루어 질 수 있도록 하는 기술이 각광을 받고 있다.Recently, a technology that enables payment services to be securely and conveniently performed on a user's smartphone by using a customer's smartphone and IoT devices and cloud services located in the store without using a card in performing a payment at a store. I am in the limelight.
기존의 카드 거래는 상점(카드 가맹점)에서 고객이 카드를 제시하면 카드리더기와 고객의 카드를 이용하여 거래데이터를 생성하고 그 거래데이터를 카드 발급사에 전송한 후, 카드정보나 거래 내용에 이상이 없을 시 거래를 승인해주는 방식으로 실행되었다. 이는 사용자가 올바른 카드 소지자라는 전제 하에서, 등록된 상점 카드리더기를 통해서 고객의 IC카드로 암호화된 카드거래 정보가 생성되었고, 안전한 폐쇄망을 통해서 카드사로 정보가 중계되는 폐쇄적인 거래승인 구조이다.In the existing card transaction, when a customer presents a card at a store (card merchant), the card data is generated using the card reader and the customer's card, and the transaction data is transmitted to the card issuer. If not, it was executed in a way that approves the transaction. This is a closed transaction approval structure in which the card transaction information encrypted with the customer's IC card is generated through the registered store card reader under the premise that the user is the correct card holder, and the information is relayed to the card company through the secure closed network.
또한 스마트폰 등과 같은 모바일 기기와 NFC(Near-Field Communication)와 같은 무선데이터 통신기술이 EMV가 제정한 EMV network Tokenization 스팩과 결합되면서 애플페이나 삼성페이와 같은 모바일 사업자가 모바일에서 임시로 발급된 카드번호를 실제 카드번호로 전환시켜 신용카드 없이도 모바일 기기를 통해서 결제를 수행할 수 있게 되었다. In addition, mobile devices such as smartphones and wireless data communication technologies such as NFC (Near-Field Communication) are combined with the EMV network Tokenization specification established by EMV. By converting the number into an actual card number, payments can be made through mobile devices without a credit card.
그러나 위와 같은 카드 기반의 거래는 상점(가맹점)에 카드거래 수수료를 유발시키기 때문에 돈을 주어야 하는 사람과 받는 사람간에 낮은 비용으로 안전하게 결제를 대체할 수 있도록 하는 다양한 서비스들이 개발되고 있다.However, since the card-based transaction induces a card transaction fee to a store (merchant), various services are being developed to replace payment securely at low cost between the person who needs to give money and the recipient.
그럼에도 불구하고 종래의 대체 결제 기술들은 모바일 운영체제와 무관하게 모든 고객 스마트폰에서 사용될 수 있도록 스마트폰 화면을 기반으로 하는 QR 코드나 바코드 기반의 결제기술로서, 사용자가 거래를 위하여 바코드를 화면에 생성하면 상점의 POS(Point of Sales) 기기에서 해당 바코드 값을 읽게 하여 거래를 체결하는 방식이 주를 이루고 있다.Nevertheless, the conventional alternative payment technologies are QR code or barcode based payment technology based on the smartphone screen so that they can be used in all customer smartphones regardless of the mobile operating system. The main point is to close the transaction by having the store's Point of Sales (POS) device read the barcode value.
하지만 바코드 기반 결제는 바코드 발급에 따른 고객과 상점 간의 번잡한 코드값 인식 과정이 필요하고, 모바일 기기에서 발급된 바코드가 해커에 의해서 화면을 캡쳐당하는 경우 그 바코드가 발급 유효 시간 내에서 다른 곳에서 도용 될 수 있는 보안상의 허점을 갖고 있다.However, barcode-based payment requires complicated code value recognition process between customers and shops according to barcode issuance, and if barcodes from mobile devices are captured by hackers, the barcode is stolen elsewhere within the validity time of issuance. It has a security hole that can be.
따라서 상점이 고객과의 거래에서 고객의 모바일 기기를 이용하여 편리하면서도 보안성을 갖춘 지불 서비스가 수행될 수 있도록 하는 결제 기술이 필요하다. 또한 최근에 채용되고 있는 기술로서 IoT 기기를 활용하는 거래 및 결제 시스템에 있어서, 사용자의 진위는 물론 IoT 기기의 진위를 인증할 수 있어, 보다 안전한 모바일 거래 및 결제가 가능하도록 하는 신규의 방법이 요구된다.Therefore, there is a need for a payment technology that allows a store to perform a convenient and secure payment service using a customer's mobile device in a transaction with a customer. In addition, in a transaction and payment system using IoT devices as a recently adopted technology, a new method for authenticating the authenticity of the IoT device as well as the authenticity of the user is required, thereby enabling more secure mobile transaction and payment. do.
본 발명은 상점과 고객이 카드를 사용하지 않고 상품 거래 결제를 수행하는데 있어서 고객의 모바일 기기와 상점 내 위치한 IoT 기기 및 클라우드 서비스를 이용하여 안전하고 편리하게 결제 서비스를 진행할 수 있는 방법과, 안전한 결제를 위한 전제 조건으로서 결제 주체(고객)의 진위, 결제 객체(상점 내 결제 기기로서의 IoT 기기)의 진위를 모두 검증할 수 있는 인증 방법 및 시스템을 제공하기 위한 것이다.The present invention provides a method for securely and conveniently performing payment services using a mobile device of a customer, an IoT device located in a store, and a cloud service in a store and a customer to perform a product transaction payment without using a card, and secure payment. As a prerequisite for the present invention, an authentication method and a system capable of verifying the authenticity of a payment subject (customer) and the authenticity of a payment object (IoT device as a payment device in a store) are provided.
본 발명은 모바일 기기 및 인증 서버를 이용하여 IoT 기기의 진위 여부를 판별하기 위해 다양한 응용 분야에서 범용적으로 적용할 수 있는 인증 방법 및 시스템을 제공하기 위한 것이다.The present invention is to provide an authentication method and system that can be universally applied in various applications to determine the authenticity of IoT devices using a mobile device and an authentication server.
본 발명의 일 측면에 따르면, 통신 모듈이 탑재되는 IoT(Internet of Things) 기기에 설치되고, 해당 IoT 기기의 인증을 위한 제1 기기 인증 정보를 생성하는 기기 인증 에이전트; 상기 IoT 기기와 유선 또는 무선 통신을 통해 연결되고, 상기 IoT 기기의 인증을 위한 제2 기기 인증 정보를 생성하는 인증 서버; 및 사용자의 모바일 기기에 설치되고, 상기 IoT 기기 및 상기 인증 서버와 무선 통신을 통해 연결되며, 상기 IoT 기기로부터 전송된 상기 제1 기기 인증 정보와 상기 인증 서버로부터 전송된 상기 제2 기기 인증 정보 간의 일치 여부에 따라 상기 IoT 기기 또는 상기 IoT 기기로부터 수신된 것으로 판별되는 메시지의 진위 여부를 검증하는 모바일 에이전트를 포함하는 인증 시스템이 제공된다.According to an aspect of the present invention, a device authentication agent is installed in the Internet of Things (IoT) device on which the communication module is mounted, and generates first device authentication information for authentication of the corresponding IoT device; An authentication server connected to the IoT device through wired or wireless communication and generating second device authentication information for authentication of the IoT device; And installed in a user's mobile device and connected to the IoT device and the authentication server through wireless communication, and between the first device authentication information transmitted from the IoT device and the second device authentication information transmitted from the authentication server. An authentication system including a mobile agent for verifying the authenticity of a message determined to be received from the IoT device or the IoT device according to a match is provided.
일 실시예에서, 상기 인증 서버는, 기기 인증 정보의 생성을 위한 시드(Seed) 정보를 생성하고, 상기 시드 정보를 상기 기기 인증 에이전트로 전송하며, 상기 시드 정보와 사전 지정된 알고리즘을 이용하여 상기 제2 기기 인증 정보를 생성하고,In an embodiment, the authentication server generates seed information for generating device authentication information, transmits the seed information to the device authentication agent, and uses the seed information and a predetermined algorithm. 2 Create your device credentials,
상기 기기 인증 에이전트는, 상기 인증 서버로부터 수신한 시드 정보와 상기 사전 지정된 알고리즘을 이용하여 상기 제1 기기 인증 정보를 생성할 수 있다.The device authentication agent may generate the first device authentication information by using the seed information received from the authentication server and the predetermined algorithm.
일 실시예에서, 상기 기기 인증 에이전트는, 기기 인증 정보의 생성을 위한 시드(Seed) 정보를 생성하고, 상기 시드 정보를 상기 인증 서버로 전송하며, 상기 시드 정보와 사전 지정된 알고리즘을 이용하여 상기 제1 기기 인증 정보를 생성하고,In an embodiment, the device authentication agent generates seed information for generating device authentication information, transmits the seed information to the authentication server, and uses the seed information and a predetermined algorithm. 1 Create your device credentials,
상기 인증 서버는, 상기 기기 인증 에이전트로부터 수신한 시드 정보와 상기 사전 지정된 알고리즘을 이용하여 상기 제2 기기 인증 정보를 생성할 수 있다.The authentication server may generate the second device authentication information by using the seed information received from the device authentication agent and the predetermined algorithm.
일 실시예에서, 상기 모바일 에이전트는, 기기 인증 정보의 생성을 위한 시드(Seed) 정보를 생성하고, 생성된 시드 정보를 상기 인증 서버로 전송하며,In an embodiment, the mobile agent generates seed information for generating device authentication information, and transmits the generated seed information to the authentication server.
상기 인증 서버는, 상기 모바일 에이전트로부터 수신한 시드 정보와 사전 지정된 알고리즘을 이용하여 상기 제2 기기 인증 정보를 생성하고, 상기 수신한 시드 정보를 상기 기기 인증 에이전트로 전송하며,The authentication server generates the second device authentication information by using the seed information received from the mobile agent and a predetermined algorithm, and transmits the received seed information to the device authentication agent.
상기 기기 인증 에이전트는, 상기 인증 서버로부터 수신한 시드 정보와 사전 지정된 알고리즘을 이용하여 상기 제1 기기 인증 정보를 생성할 수 있다.The device authentication agent may generate the first device authentication information by using the seed information received from the authentication server and a predetermined algorithm.
일 실시예에서, 상기 통신 모듈은 비콘 통신 모듈이고,In one embodiment, the communication module is a beacon communication module,
상기 기기 인증 에이전트는, 해당 IoT 기기의 식별에 사용 가능한 식별 정보 및 상기 제1 기기 인증 정보를 비콘 메시지에 삽입하여 무선 브로드캐스팅(wireless broadcasting)할 수 있다.The device authentication agent may wirelessly broadcast by inserting identification information usable for identification of the corresponding IoT device and the first device authentication information into a beacon message.
여기서, 상기 제1 기기 인증 정보는, 상기 비콘 메시지에서 비콘 고유값인 UUID가 삽입되는 데이터 필드 영역에 뒤따르는 메이저(Major) 필드 및 마이너(Minor) 필드 중 적어도 하나에 삽입될 수 있다.Here, the first device authentication information may be inserted into at least one of a major field and a minor field that follow a data field region into which a UUID, which is a beacon unique value, is inserted in the beacon message.
또한 여기서, 상기 제1 기기 인증 정보가 상기 삽입될 데이터 필드 영역의 사이즈를 초과하는 경우, 상기 제1 기기 인증 정보는 해당 데이터 필드 영역의 사이즈를 초과하지 않는 값으로 변환 처리되어 상기 비콘 메시지에 삽입될 수 있다.Here, when the first device authentication information exceeds the size of the data field area to be inserted, the first device authentication information is converted into a value not exceeding the size of the corresponding data field area and inserted into the beacon message. Can be.
일 실시예에서, 상기 통신 모듈은 NFC(Near-Field Communication) 통신 모듈이고,In one embodiment, the communication module is a near-field communication (NFC) communication module,
상기 기기 인증 에이전트는, NFC 핸드쉐이크(Handshake)를 통해 상기 모바일 에이전트와의 통신 세션이 활성화됨에 따라, 상기 제1 기기 인증 정보를 상기 모바일 에이전트로 전송할 수 있다.The device authentication agent may transmit the first device authentication information to the mobile agent as the communication session with the mobile agent is activated through an NFC handshake.
일 실시예에서, 상기 제1 기기 인증 정보 및 상기 제2 기기 인증 정보가, 연산 조건으로서 시간을 이용하는 타임 OTP(One Time Password) 방식으로 생성되는 경우,In an embodiment, when the first device authentication information and the second device authentication information are generated by a time one time password (OTP) method using time as an operation condition,
상기 인증 서버는, 현 시점에 생성된 당기의 제2 기기 인증 정보와 그 이전에 생성했던 전기의 제2 기기 인증 정보를 모두 상기 모바일 에이전트로 전송하고,The authentication server transmits both current second device authentication information and current second device authentication information previously generated to the mobile agent.
상기 모바일 에이전트는, 상기 제1 기기 인증 정보가 상기 당기 및 전기의 제2 기기 인증 정보 중 어느 하나와 일치하는지 여부를 판별하여 상기 진위 여부를 검증할 수 있다.The mobile agent may verify whether the authenticity is determined by determining whether the first device authentication information matches any one of the current and second device authentication information.
일 실시예에서, 상기 기기 인증 에이전트는, 상기 제1 기기 인증 정보를 상기 인증 서버로 전송하고,In one embodiment, the device authentication agent sends the first device authentication information to the authentication server,
상기 인증 서버는, 상기 기기 인증 에이전트로부터 수신된 제1 기기 인증 정보와 자체 생성한 제2 기기 인증 정보 간의 일치 여부에 따라, 상기 진위 여부를 재차 검증할 수 있다.The authentication server may verify the authenticity again according to whether or not the first device authentication information received from the device authentication agent and the second device authentication information generated by the authentication server.
일 실시예에서, 상기 모바일 에이전트는, 사용자 인증을 위한 제1 사용자 인증 정보를 사전 지정된 알고리즘에 따라 생성하고, 해당 사용자의 식별에 활용 가능한 사용자 식별 정보와 상기 제1 사용자 인증 정보를 상기 인증 서버로 전송하고,In one embodiment, the mobile agent generates the first user authentication information for user authentication according to a predetermined algorithm, and the user identification information and the first user authentication information available for identification of the user to the authentication server Send,
상기 인증 서버는, 상기 모바일 에이전트로부터 수신한 사용자 식별 정보에 상응하여 상기 사전 지정된 알고리즘에 따라 제2 사용자 인증 정보를 자체 생성하고, 상기 수신된 제1 사용자 인증 정보와 상기 자체 생성한 제2 사용자 인증 정보 간의 일치 여부에 따라 해당 사용자의 진위 여부를 검증하며, 해당 사용자의 진위 여부에 관한 검증 결과를 상기 기기 인증 에이전트로 전송할 수 있다.The authentication server self-generates second user authentication information according to the predetermined algorithm according to the user identification information received from the mobile agent, and receives the received first user authentication information and the self-generated second user authentication. The authenticity of the user may be verified according to whether the information matches, and a verification result regarding the authenticity of the user may be transmitted to the device authentication agent.
일 실시예에서, 상기 인증 서버는, 상기 사용자 인증을 위한 사용자 인증 정보와 사전 지정된 알고리즘을 이용하여 제1 서버 검증 정보를 생성하고, 상기 제1 서버 검증 정보 및 상기 사용자 인증 정보를 상기 기기 인증 에이전트로 전송하며,In an embodiment, the authentication server may generate first server verification information by using the user authentication information for the user authentication and a predetermined algorithm, and generate the first server verification information and the user authentication information by the device authentication agent. To,
상기 기기 인증 에이전트는, 상기 인증 서버로부터 수신된 사용자 인증 정보와 상기 사전 지정된 알고리즘을 이용하여 제2 서버 검증 정보를 생성하고, 상기 인증 서버로부터 수신된 제1 서버 검증 정보와 상기 제2 서버 검증 정보 간의 일치 여부에 따라 상기 인증 서버의 진위 여부에 관한 검증을 수행할 수 있다.The device authentication agent generates second server verification information by using the user authentication information received from the authentication server and the predetermined algorithm, and the first server verification information and the second server verification information received from the authentication server. Verification of authenticity of the authentication server may be performed according to the agreement between the two servers.
본 발명의 다른 측면에 따르면, 사용자의 모바일 기기에 설치되고, 사전 지정된 인증 절차를 수행하는 인증 애플케이션 프로그램이 구동됨에 따라, 기기 간 상호 인증에 사용될 인증 정보 생성을 위한 시드(Seed) 정보를 생성하고, 상기 시드 정보 및 사전 지정된 알고리즘을 이용하여 제1 인증 정보를 생성하는 모바일 에이전트; 통신 모듈이 탑재되는 IoT(Internet of Things) 기기에 설치되고, 상기 모바일 에이전트와 무선 통신을 통해 연결되며, 상기 모바일 에이전트로부터 상기 시드 정보를 수신하고, 수신된 시드 정보 및 상기 사전 지정된 알고리즘을 이용하여 제2 인증 정보를 생성하는 기기 인증 에이전트; 및 상기 모바일 에이전트와 무선 통신을 통해 연결되고, 상기 IoT 기기와 유선 또는 무선 통신을 통해 연결되며, 상기 모바일 에이전트로부터 상기 시드 정보 및 상기 제1 인증 정보를 수신한 경우 상기 수신된 시드 정보 및 상기 사전 지정된 알고리즘을 이용하여 제3 인증 정보를 생성하고, 상기 기기 인증 에이전트로부터 상기 제2 인증 정보를 수신하며, 상기 수신된 제1 인증 정보와 상기 제3 인증 정보 간의 일치 여부 및 상기 수신된 제2 인증 정보와 상기 제3 인증 정보 간의 일치 여부를 중복 검증하는 인증 서버를 포함하는 인증 시스템이 제공된다.According to another aspect of the present invention, as the authentication application program installed in the user's mobile device and performing a predetermined authentication procedure is driven, seed information for generating authentication information to be used for mutual authentication between devices is generated. And a mobile agent generating first authentication information by using the seed information and a predetermined algorithm; Is installed in the Internet of Things (IoT) device equipped with a communication module, connected to the mobile agent via wireless communication, receiving the seed information from the mobile agent, using the received seed information and the predetermined algorithm A device authentication agent generating second authentication information; And when the seed information and the first authentication information are received from the mobile agent, the mobile device is connected to the mobile agent through wireless communication, and is connected to the IoT device via wired or wireless communication. Generate third authentication information using a specified algorithm, receive the second authentication information from the device authentication agent, match the received first authentication information with the third authentication information, and receive the second authentication information; There is provided an authentication system including an authentication server for double-verifying whether information matches the third authentication information.
본 발명의 실시예에 의하면, 상점과 고객이 카드를 사용하지 않고 결제를 수행하는데 있어서, 고객의 모바일 기기와 상점 내 위치한 IoT 기기와 클라우드 서비스를 이용하여 NFC 또는 Beacon을 지원하는 모든 모바일 기기에서 안전하고 편리한 결제 서비스가 이루어 질 수 있는 효과가 있다. 또한, 본 발명의 실시예에 의하면, 안전한 결제를 위한 전제 조건으로서 결제 주체(고객)의 진위, 결제 객체(상점 내 결제 기기로서의 IoT 기기)의 진위를 모두 검증할 수 있는 인증 방법 및 시스템을 제공할 수 있다.According to an embodiment of the present invention, when a store and a customer make a payment without using a card, all mobile devices supporting NFC or Beacon are secured by using the customer's mobile device, an IoT device located in the store, and a cloud service. And there is an effect that a convenient payment service can be made. In addition, according to an embodiment of the present invention, an authentication method and system that can verify both the authenticity of the payment subject (customer), the authenticity of the payment object (IoT device as a payment device in the store) as a prerequisite for secure payment. can do.
본 발명의 실시예에 의하면, 모바일 기기 및 인증 서버를 이용하여 IoT 기기의 진위 여부를 판별하기 위해 다양한 응용 분야에서 범용적으로 적용할 수 있는 인증 방법 및 시스템을 제공할 수 있다.According to an embodiment of the present invention, it is possible to provide an authentication method and system that can be universally applied in various application fields to determine the authenticity of an IoT device using a mobile device and an authentication server.
도 1은 비콘 메시지 송출 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제1 실시예의 도면.1 is a diagram of a first embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
도 2는 비콘 메시지 송출 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제2 실시예의 도면.2 is a diagram of a second embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
도 3은 비콘 메시지 송출 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제3 실시예의 도면.3 is a diagram of a third embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store;
도 4는 비콘 메시지 송출 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제4 실시예의 도면.4 is a diagram of a fourth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
도 5는 비콘 메시지 송출 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제5 실시예의 도면.FIG. 5 is a diagram of a fifth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store. FIG.
도 6은 비콘 메시지 송출 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제6 실시예의 도면.FIG. 6 is a diagram of a sixth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store; FIG.
도 7은 NFC 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제1 실시예의 도면.FIG. 7 is a diagram of a first embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store; FIG.
도 8은 NFC 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제2 실시예의 도면.FIG. 8 is a diagram of a second embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store; FIG.
도 9는 NFC 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제3 실시예의 도면.FIG. 9 is a diagram of a third embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store; FIG.
도 10은 NFC 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제4 실시예의 도면.10 is a diagram of a fourth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store;
도 11은 NFC 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제5 실시예의 도면.FIG. 11 is a diagram of a fifth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store; FIG.
도 12는 NFC 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제6 실시예의 도면.12 is a diagram of a sixth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store;
도 13은 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 식권 발급 방법 및 시스템을 설명하기 위한 제1 실시예의 도면.FIG. 13 is a diagram of a first embodiment for explaining a method and a system for issuing a meal ticket in a mobile payment system when an IoT device is installed in a store; FIG.
도 14은 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 식권 발급 방법 및 시스템을 설명하기 위한 제2 실시예의 도면.FIG. 14 is a diagram of a second embodiment for explaining a method and a system for issuing a meal ticket in a mobile payment system when an IoT device is installed in a store; FIG.
도 15는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 식권 발급 방법 및 시스템을 설명하기 위한 제3 실시예의 도면.FIG. 15 is a diagram of a third embodiment for explaining a method and a system for issuing a meal ticket in a mobile payment system when an IoT device is installed in a store; FIG.
도 16은 비콘 메시지 송출 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제7 실시예의 도면.FIG. 16 is a diagram of a seventh embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store; FIG.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.As the invention allows for various changes and numerous embodiments, particular embodiments will be illustrated in the drawings and described in detail in the written description. However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all transformations, equivalents, and substitutes included in the spirit and scope of the present invention.
본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.In describing the present invention, when it is determined that the detailed description of the related known technology may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. In addition, numerals (eg, first, second, etc.) used in the description process of the present specification are merely identification symbols for distinguishing one component from another component.
또한, 명세서 전체에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.In addition, throughout the specification, when one component is referred to as "connected" or "connected" with another component, the one component may be directly connected or directly connected to the other component, but in particular It is to be understood that, unless there is an opposite substrate, it may be connected or connected via another component in the middle.
또한, 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하나 이상의 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 조합으로 구현될 수 있음을 의미한다. 또한 통상 모바일 앱 개발자들이 표현하는 Push ID는 Push Token을 의미하며, 푸쉬 메시지 서비스는 구글이나 애플사 등과 같은 모바일 운영체제에서 앱 별로 제공하는 메시지 서비스를 의미한다.In addition, throughout the specification, when a part is said to "include" a certain component, it means that it may further include other components, without excluding the other components unless otherwise stated. In addition, the terms "unit", "module", and the like described in the specification mean a unit that processes at least one function or operation, which means that it may be implemented by one or more pieces of hardware or software or a combination of hardware and software. . In addition, Push ID, which is usually expressed by mobile app developers, means Push Token, and push message service means a message service provided for each app in a mobile operating system such as Google or Apple.
본 명세서에서는 모바일 결제 또는 모바일 상거래 케이스를 중심으로 본 발명의 각 실시예를 설명하지만, 이하 각 도면을 통해 설명할 인증 방법 및 시스템은 모바일 기기 및 인증 서버를 이용하여 각종 IoT 기기의 진위 여부를 판별하기 위해 다양한 응용 분야에서 범용적으로 적용할 수 있는 것임을 먼저 명확히 한다. In the present specification, each embodiment of the present invention will be described based on a mobile payment or a mobile commerce case, but an authentication method and system to be described below with reference to each drawing determines the authenticity of various IoT devices using a mobile device and an authentication server. To this end, it is first clarified that it can be applied universally in various applications.
다만, 본 발명이 모바일 결제 또는 상거래 케이스에 적용되는 경우를 가정한다면, 본 명세서 및 각 도면에서, 'IoT 기기(100)'는 상점 내에 설치되며, 고객의 모바일 기기(예를 들어, 스마트폰)와의 통신을 통해서 모바일 결제 또는 거래와 관련된 다양한 동작(operation)(예를 들어, 거래 승인 요청 등)을 수행하는 디바이스일 수 있다. 여기서, IoT 기기(100)는 상점 내 POS(Point of Sales) 단말기와 통신 연동되는 별도의 독립적 기기일 수도 있고, POS 단말기를 대체하거나 POS 단말기와 통합화된 기기로 구현될 수도 있다. 또한 여기서, IoT 기기(100)는 비콘(Beacon) 기능 또는 NFC(Near-Field Communication) 기능이 구현될 수 있도록 하는 하드웨어 또는/및 소프트웨어가 설치될 수 있다. 위와 같은 관점에서, 본 발명이 모바일 결제 또는 상거래 케이스에 적용되는 경우를 가정한다면, 본 명세서 및 각 도면에서 '사용자 앱(200)'은 고객 소지의 스마트폰 등과 같은 모바일 기기에 설치되어, 후술할 일련의 동작들을 수행하는 애플리케이션 프로그램(즉, 본 발명에서는 이를 모바일 에이전트라 명명함)을 지시할 수 있다. 또한, 본 명세서에서는 설명의 편의상 IoT 기기(100) 자체가 각 도면에서의 역할을 수행하는 것으로 설명하겠지만, 실제로는 해당 역할을 수행하는 소프트웨어 프로그램 또는 하드웨어 모듈(본 발명에서는 이를 기기 인증 에이전트라 명명함)이 IoT 기기에 설치 또는 탑재되어, 본 발명의 각 실시예에 따른 역할을 수행할 수도 있음은 물론이다.However, assuming that the present invention is applied to a mobile payment or a commerce case, in the present specification and in each drawing, the 'IoT device 100' is installed in a store, and the customer's mobile device (for example, a smartphone) The device may be a device that performs various operations (eg, a transaction approval request) related to a mobile payment or a transaction through communication with the mobile station. Here, the IoT device 100 may be a separate independent device that communicates with a Point of Sales (POS) terminal in a store, or may be implemented as a device that is integrated with a POS terminal or replaces a POS terminal. In this case, the IoT device 100 may be installed with hardware or / and software for enabling a beacon function or a near-field communication (NFC) function. In view of the above, assuming that the present invention is applied to a mobile payment or a commerce case, in the present specification and each drawing, the 'user app 200' is installed on a mobile device such as a smart phone owned by a customer, which will be described later. It can point to an application program that performs a series of actions (ie, termed mobile agent in the present invention). In addition, in the present specification, for convenience of description, the IoT device 100 itself will be described as performing a role in each drawing, but in reality, a software program or a hardware module performing the corresponding role (in the present invention, this is called a device authentication agent). ) May be installed or mounted in the IoT device, and thus may play a role according to each embodiment of the present invention.
또한, 본 명세서에서 IoT 기기의 인증이란, IoT 기기 자체의 진위 여부에 관한 인증은 물론, 해당 IoT 기기로부터 수신된 것으로 판별되는 메시지가 해커 등에 의해서 기기 ID 등이 도용됨으로써 위변조된 메시지인지 여부를 검증하는 경우까지를 포괄하는 개념임을 먼저 명확히 해둔다.In addition, in the present specification, the authentication of the IoT device, as well as authentication of the authenticity of the IoT device itself, as well as verifying whether the message that is determined to be received from the IoT device is a forgery message by a device ID or the like being stolen by a hacker or the like. First of all, make sure that the concept is comprehensive.
또한 이하 설명할 도 1 ~ 도 15의 흐름도에서의 각 단계에 관한 식별번호(즉, S100, S102, S104 등)는 각 단계를 구분 설명하기 위한 것일 뿐, 절차적 순서를 정의한 것은 아님을 명확히 해둔다. 논리적으로 어느 한 단계가 실행된 이후에야 다른 단계가 실행될 수 있는 경우가 아닌 이상, 각 단계는 그 식별번호의 선후와 상관없이 병렬적으로 또는 동시에 실행될 수도 있음은 물론이다. 경우에 따라서는 그 식별번호의 선후와 다른 순서로 각 단계가 실행될 수도 있음도 자명하다. 본 발명의 핵심적 기술 특징이 충분히 반영될 수 있는 한도에서, 각 단계의 순서 또한 다양한 변형이 가능할 것이기 때문이다. 다만, 이하에서는 설명의 집중 및 편의 상, 도면에 도시된 순서에 따라 각 단계를 설명하기로 한다.In addition, the identification numbers (i.e., S100, S102, S104, etc.) for each step in the flowcharts of FIGS. 1 to 15 to be described below are merely for explaining each step and do not define a procedural order. . Of course, each step may be executed in parallel or concurrently, regardless of whether the identification number is subsequent, unless logically one step can be executed after one step has been executed. In some cases, it is obvious that the steps may be executed in a different order than the preceding and subsequent identification numbers. As long as the key technical features of the present invention can be fully reflected, the order of each step may also be variously modified. However, hereinafter, for convenience and convenience of description, each step will be described in the order shown in the drawings.
이하, 첨부된 도면들을 참조하여 본 발명의 각각의 실시예들을 상세히 설명한다.Hereinafter, each embodiment of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 비콘 메시지 송출 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제1 실시예의 도면이다.1 is a diagram of a first embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
도 1을 참조하면, 상점 내에 위치하는 IoT 기기(100), 고객의 모바일 기기에 설치되는 사용자 앱(200), 인증 서버(300)를 포함하는 시스템이 개시된다. 이때, IoT 기기(100)와 사용자 앱(200) 간, 사용자 앱(200)과 인증 서버(300) 간은 무선 통신을 통해서 연결되고, IoT 기기(100)와 인증 서버(300) 간은 유선 또는 무선 통신을 통해서 연결될 수 있다. 이때, IoT 기기(100)는 비콘 메시지 송출 기능을 갖는 것으로 가정한다(도 2 ~ 도 6도 동일함).Referring to FIG. 1, a system including an IoT device 100 located in a store, a user app 200 installed on a mobile device of a customer, and an authentication server 300 is disclosed. At this time, the IoT device 100 and the user app 200, the user app 200 and the authentication server 300 is connected through wireless communication, the IoT device 100 and the authentication server 300 is wired or It can be connected via wireless communication. In this case, it is assumed that the IoT device 100 has a beacon message sending function (also in FIGS. 2 to 6).
이하, 도 1의 인증 흐름도를 설명한다. 도 1은 모바일 결제를 위한 전제로서 상점 내 위치하는 IoT 기기를 인증하는 과정을 나타낸다.Hereinafter, the authentication flowchart of FIG. 1 is demonstrated. 1 illustrates a process of authenticating an IoT device located in a store as a premise for mobile payment.
인증 서버(300)는 IoT 기기의 인증을 위한 시드(Seed) 정보로서 기기 인증 OTP Seed를 생성하고[도 1의 S100 참조], 생성된 Seed를 IoT 기기(100)로 전송하면서 IoT 기기(100)에게 기기 인증 OTP를 생성할 것을 요청한다[도 1의 S102 참조]. 또한, 인증 서버(300)는 생성된 Seed를 이용하여 기기 인증 OTP를 자체 생성한다[도 1의 S104 참조]. 위와 같은 기기 인증 OTP 생성 요청에 따라, IoT 기기(100)는 수신한 Seed에 기초하여 기기 인증 OTP를 생성한다[도 1의 S106 참조].The authentication server 300 generates the device authentication OTP Seed as seed information for authentication of the IoT device [see S100 of FIG. 1], and transmits the generated Seed to the IoT device 100 while the IoT device 100 Request to generate a device authentication OTP (see S102 in FIG. 1). In addition, the authentication server 300 itself generates the device authentication OTP using the generated Seed (see S104 in FIG. 1). In response to the device authentication OTP generation request as described above, the IoT device 100 generates the device authentication OTP based on the received Seed (see S106 of FIG. 1).
이때, 인증 서버(300)와 IoT 기기(100)는 사전에 공통된 기기 인증 OTP의 생성 조건, 생성 방식 또는 알고리즘을 공유할 수 있다. 일반적으로 OTP 생성 방식에는 타임 OTP 방식과 챌린지 앤드 리스폰스(Challenge & Response) 방식이 존재한다. 여기서, 타임 OTP 방식은 연산 조건으로서 생성 시간을 이용하여 OTP를 생성하는 방식이다. 이에 의할 때, OTP는 결정된 특정 OTP 생성키에 연산 조건인 생성 시간을 곱한 값을 특정 해시 함수에 따라 암호화한 값으로 생성될 수 있다. 그리고 챌린지 앤드 리스폰스 방식은 연산 조건으로서 시도 횟수를 이용하여 OTP를 생성하는 방식이다. 이에 의할 때, OTP는 결정된 특정 OTP 생성키에 연산 조건인 시도 횟수를 곱한 값을 특정 해시 함수(hash function)에 따라 암호화한 값으로 생성될 수 있다. 따라서, 타임 OTP 방식에 의할 때, 해당 OTP 값의 유효시간(예를 들어, 60초)이 경과할 때마다 새로운 OTP 값이 생성되게 된다. 반면, 챌린지 앤드 리스폰스 방식에 의할 때, 시도 횟수가 동일하다면 시간과는 무관하게 동일한 OTP 값이 유지되게 될 것이다.In this case, the authentication server 300 and the IoT device 100 may share a generation condition, a generation method, or an algorithm of a device authentication OTP common in advance. In general, OTP generation methods include a time OTP method and a challenge & response method. Here, the time OTP method is a method of generating the OTP using the generation time as an operation condition. Accordingly, the OTP may be generated as an encrypted value according to a specific hash function by multiplying the determined specific OTP generation key by the generation time which is an operation condition. The challenge and response method is a method of generating an OTP using the number of attempts as an operation condition. Accordingly, the OTP may be generated as an encrypted value according to a specific hash function by multiplying the determined specific OTP generation key by the number of attempts, which is an operation condition. Therefore, according to the time OTP method, a new OTP value is generated whenever the valid time (for example, 60 seconds) of the corresponding OTP value elapses. On the other hand, in the challenge and response method, if the number of attempts is the same, the same OTP value will be maintained regardless of time.
또한 이때, 인증 서버(300)와 IoT 기기(100)는 OTP 생성을 위한 키 값 중 일부를 상호 간 미리 공유할 수 있다. 예를 들어, 기기 인증 OTP를 생성할 때, 해당 IoT 기기의 ID(즉, IoT ID) 혹은 IoT 기기의 키(key) 값 등을 상호 간 미리 공유해둘 수 있다. 따라서, 인증 서버(300)는 서로 공유해둔 키 값을 제외한 키 값(예를 들어, 가변값인 난수 등) 또는/및 연산 조건(예를 들어, 챌린지 앤드 리스폰스 방식이 이용되는 경우에는 시도 값(챌린지 값))을 Seed로 IoT 기기(100)로 전송할 수 있다.In this case, the authentication server 300 and the IoT device 100 may share some of the key values for generating the OTP in advance. For example, when generating a device authentication OTP, the ID (ie IoT ID) of the corresponding IoT device or the key value of the IoT device may be shared in advance. Accordingly, the authentication server 300 may determine key values (for example, random numbers that are variable values, etc.) except for key values shared with each other, and / or operation conditions (for example, when a challenge and response method is used, an attempt value ( Challenge value)) may be transmitted to the IoT device 100 as a Seed.
상술한 바와 같은 이유로, 도 1의 S104 및 도 1의 S106에서 생성되는 기기 인증 OTP는 서로 동일한 값이 될 것이다.For the same reason as described above, the device authentication OTP generated in S104 of FIG. 1 and S106 of FIG. 1 will be the same value.
이에 따라, IoT 기기(100)는 비콘 ID와 도 1의 S106에서 생성한 기기 인증 OTP를 비콘 메시지에 실어 외부로 무선 송출(브로드캐스팅)한다[도 1의 S110 참조]. 이때, 비콘 ID는 비콘 신호를 송출하는 IoT 기기를 식별하기 위한 정보이며, 기기 인증 OTP는 해당 IoT 기기의 진위를 판별하는데 사용하기 위한 정보이다.Accordingly, the IoT device 100 wirelessly transmits (broadcasts) the beacon ID and the device authentication OTP generated in S106 of FIG. 1 to the beacon message (see S110 in FIG. 1). At this time, the beacon ID is information for identifying the IoT device that transmits the beacon signal, device authentication OTP is information for use in determining the authenticity of the IoT device.
통상적으로 비콘은 작동 방식에 따라서, 비콘의 UUID 값과 일치하는 UUID 값이 비콘 메시지에 실린 경우에만 해당 UUID의 비콘의 메이저(Major) 필드와 마이너(Minor) 필드 값을 읽어 들일 수 있도록 작동되거나(iOS의 경우), 비콘 주파수로 들어오는 모든 비콘 UUID 중 자신의 UUID만 필터하여 사용하는 방식으로 작동된다(안드로이드 OS의 경우). 또한 통상적으로 비콘은 해당 비콘에 따라 제공하는 서비스를 식별하기 위한 고유의 UUID 값 하나 이상을 선택하여 서비스 고유값으로 사용하고, 메이저/마이너 필드를 건물명 또는 지정 위치로 사용해왔다. 그러나 이렇게 사용하는 경우, 비콘 스캐너로 비콘값을 읽어들이고, 현장에 있는 것처럼 동일 비콘값을 발생시키는 비콘을 생성하여 이를 모바일 앱을 통해서 읽어들이면, 해당 비콘 위치에 방문하지 않은 사용자라 하더라도 해당 위치에 방문한 것처럼 조작할 수 있는 문제점이 있다. 왜냐하면, 비콘은 공개된 주파수를 이용하기 때문에 일반적인 모바일 기기에서 이를 스캔하면 값을 불러들일 수 있기 때문이다. 따라서 비콘을 금융거래나 방문 위치 검증 또는 방문한 장비(차량, 로봇 등) 확인과 같이 좀 더 정교한 영역에 사용하기 위해서는 비콘 주파수가 2차 제공자에 의해서 조작되지 않았음을 입증할 수 있어야 한다.Typically, depending on how the beacon works, the beacon will be enabled to read the major and minor field values of the beacons of that UUID only if a UUID value that matches the UUID value of the beacon is present in the beacon message ( For iOS), it works by filtering and using only your own UUID out of all beacon UUIDs coming in on the beacon frequency (Android OS). In addition, beacons typically select one or more unique UUID values for identifying services provided according to the beacons, and use them as service unique values, and use major / minor fields as building names or designated locations. However, in this case, if you read the beacons with a beacon scanner and generate beacons that generate the same beacons as if they are in the field and read them through the mobile app, even if the user has not visited the beacons There is a problem that you can manipulate as you have visited. Because beacons use open frequencies, scanning them on a typical mobile device can retrieve their values. Therefore, in order to use beacons in more sophisticated areas, such as financial transactions, verifying the location of visits, or identifying visited equipment (vehicles, robots, etc.), it must be possible to prove that the beacon frequencies have not been manipulated by the secondary provider.
이러한 문제를 해결하기 위하여, 본 발명의 실시예에서는, 동일 서비스의 비콘 UUID 값을 하나 또는 20개 이하로 사용하도록 권장되는 경우에 있어서, UUID를 서비스 고유 식별자로 사용되되, 메이저 필드를 장비 식별자(즉, Beacon ID), 마이너 필드를 인증값(즉, 기기 인증 OTP)으로 구성하여 사용할 수 있다.In order to solve this problem, in an embodiment of the present invention, when it is recommended to use one or 20 beacon UUID values of the same service, UUID is used as a service unique identifier, and a major field is used as an equipment identifier ( That is, a Beacon ID) and a minor field may be configured as an authentication value (that is, device authentication OTP).
이때, 비콘 메시지는 비콘 방식(예를 들어, iBeacon, Eddystone 등) 마다 사용 가능한 데이터필드의 길이가 각기 다르지만, 일반적으로는 NFC와는 달리 전달할 수 있는 정보가 제한적이므로, 기기 인증값을 비콘 메시지에 삽입하는 방식으로는 아래와 같은 방식이 이용될 수 있다. 아래의 설명에서는 비콘 메시지 상에 메이저 필드 2 Byte와 마이너 필드 2 Byte로 구성되는 경우를 가정하여 설명하기로 한다.In this case, the beacon message has a different length of data field available for each beacon method (for example, iBeacon, Eddystone, etc.). In general, unlike the NFC, since the information that can be transmitted is limited, the device authentication value is inserted into the beacon message. The following method may be used as the method. In the following description, a case in which a major field 2 bytes and a minor field 2 bytes are configured on a beacon message will be described.
시스템 구성에 따라서 하나의 서비스에 장비가 1대라면 하나의 UUID 뒤의 메이저(Major) 및 마이너(Minor)의 4 Byte 전체를 기기 인증값으로 사용할 수도 있을 것이지만, 동일 서비스에 여러 장비가 인증되어야 한다면 하나의 서비스 UUID 뒤에 메이저 필드 2 Byte를 장비 식별값으로 사용하고 마이너 필드 2 Byte를 기기 인증값으로 사용할 수 있다.Depending on the system configuration, if there is one device in one service, the entire 4 bytes of major and minor behind one UUID may be used as the device authentication value. After one service UUID, a major field of 2 bytes can be used as a device identification value, and a minor field of 2 bytes can be used as a device authentication value.
이 경우, 4 Byte 전체를 핵사 스트링(Hexa string)으로 구성하면 65,536으로 기기 인증값을 표현할 수 도 있고, 마이너 필드의 2 Byte만을 기기 인증값 삽입에 이용하는 경우라면 그 2 Byte를 Bit로 표현하였을 때의 2의 16승인 65,536으로 기기 인증값을 표현할 수 있다. 또한 경우에 따라서, 생성된 기기 인증값이 65,536을 초과하는 경우에는 기기 인증값이 65,536를 초과하지 않는 값으로 변환하거나, 또는 기기 인증값을 생성할 때 65,536 이하의 인증값으로 생성되도록 처리할 수도 있다. 이때, 서비스 구성에 따라 사용되는 비콘이 65,000개가 넘는 경우 최대 20개까지 UUID 값을 추가로 설정하여 비콘의 갯수를 늘려갈 수 있음도 물론이다.In this case, if the entire 4 bytes are composed of Hexa string, the device authentication value can be expressed as 65,536. If only 2 bytes of the minor field are used to insert the device authentication value, the 2 bytes are expressed as a bit. The authentication value of the device can be expressed as 65,536, which is the 16th approval of 2. In some cases, when the generated device authentication value exceeds 65,536, the device authentication value may be converted to a value that does not exceed 65,536, or when the device authentication value is generated, an authentication value of 65,536 or less may be processed. have. In this case, if more than 65,000 beacons are used according to the service configuration, the number of beacons can be increased by additionally setting up to 20 UUID values.
도 1의 S110에서 송출되는 비콘 신호는 저전력 구동되어 특정 위치 범위 내에서만 타 기기에 의해 유효하게 검출되도록 신호 세기가 조절될 수도 있다. 이하, 도 1의 S110에서 송출되는 비콘 신호는 해당 IoT 기기가 설치된 상점 내에서만 유효하게 검출되도록 신호 세기가 조절되는 것으로 가정하기로 한다.The beacon signal transmitted from S110 of FIG. 1 may be low power driven, and the signal strength may be adjusted to be effectively detected by another device only within a specific position range. Hereinafter, it is assumed that the beacon signal transmitted from S110 of FIG. 1 is adjusted to have a signal strength so that the beacon signal is effectively detected only in a store where the corresponding IoT device is installed.
이에 따라, 해당 상점 내로 진입한 사용자(고객)이 자신이 소지한 모바일 기기에 설치된 사용자 앱(200)을 구동하게 되면[도 1의 S112 참조], IoT 기기(100)가 해당 시점에 송출한 비콘 신호를 수신할 수 있다[도 1의 S114 참조]. 도 1에서는 고객이 직접 앱을 구동하는 경우를 예시하였지만, 소정 위치 범위 내에 진입하여 비콘 신호를 수신함에 따라 앱이 자동으로 구동되도록 구현될 수도 있음은 물론이다.Accordingly, when a user (customer) entering the store drives the user app 200 installed in the mobile device possessed by him (see S112 of FIG. 1), the beacons transmitted by the IoT device 100 at the corresponding time point. A signal can be received (see S114 in FIG. 1). Although FIG. 1 illustrates a case in which the customer directly runs the app, the app may be automatically driven as the app enters a predetermined position range and receives a beacon signal.
IoT 기기(100)가 송출한 비콘 신호가 수신되면, 사용자 앱(200)은 해당 IoT 기기의 진위를 판별하기 위한 용도로서 인증 서버(300)로 기기 인증 OTP를 전송해줄 것을 요청한다[도 1의 S116 참조]. 이에 따라 인증 서버(300)는 앞선 자체 생성해둔 기기 인증 OTP를 사용자 앱(200)으로 전송할 수 있다[도 1의 S118 참조].When the beacon signal transmitted by the IoT device 100 is received, the user app 200 requests to transmit the device authentication OTP to the authentication server 300 for the purpose of determining the authenticity of the corresponding IoT device [Fig. 1]. See S116]. Accordingly, the authentication server 300 may transmit the device authentication OTP previously created to the user app 200 (see S118 of FIG. 1).
이때, 앞서 생성해둔 기기 인증 OTP가 타임 OTP 방식으로 생성된 값인 경우라면, 도 1의 S110에 따라 사용자 앱(200)에서 수신한 기기 인증 OTP 값과 도 1의 S118에 따라 사용자 앱(200)에서 수신한 기기 인증 OTP 값이 상이할 수 있다. 도 1의 S110에 따른 사용자 앱(200)에서의 기기 인증 OTP 값의 수신 시점과 도 1의 S118에 따른 사용자 앱(200)에서의 기기 인증 OTP 값의 수신 시점이 상이해지는 이유로, 경우에 따라 유효시간을 달리하는 전기의 OTP 값과 당기의 OTP 값이 수신될 수도 있기 때문이다. 따라서, 위와 같은 경우를 고려하여, 인증 서버(300)는 도 1의 S118에서 이전 시점에 생성해둔 기기 인증 OTP(즉, 전기 OTP)와 현재 생성된 기기 인증 OTP(즉, 당기 OTP)를 모두 사용자 앱(200)으로 전송해줄 수도 있다.In this case, if the device authentication OTP generated above is a value generated by the time OTP method, the device authentication OTP value received by the user app 200 according to S110 of FIG. 1 and the user app 200 according to S118 of FIG. 1. The received device authentication OTP value may be different. Valid when the reception time of the device authentication OTP value in the user app 200 according to S110 of FIG. 1 and the reception time of the device authentication OTP value in the user app 200 according to S118 of FIG. This is because the OTP value of the electricity of varying time and the OTP value of the current period may be received. Therefore, in consideration of the above case, the authentication server 300 is a user of both the device authentication OTP (that is, electric OTP) and the currently generated device authentication OTP (that is, current OTP) created in the previous point in S118 of FIG. You can also send to the app (200).
이에 따라, 사용자 앱(200)은 도 1의 S110을 통해 IoT 기기(100)로부터 수신한 비콘 메시지 내에 실린 기기 인증 OTP 값과 도 1의 S118을 통해 인증 서버(300)로부터 수신한 기기 인증 OTP 값 간의 일치 여부를 확인함으로써, 이를 통해 비콘 메시지를 송출한 IoT 기기(100)가 상점 내의 거래를 수행하는 진정한 기기인지 여부(즉, IoT 기기의 진위 여부 또는 위변조 여부)를 검증할 수 있다[도 1의 S120 참조].Accordingly, the user app 200 receives the device authentication OTP value contained in the beacon message received from the IoT device 100 through S110 of FIG. 1 and the device authentication OTP value received from the authentication server 300 through S118 of FIG. 1. By checking whether there is a match between the two, it is possible to verify whether the IoT device 100 that sent the beacon message is a true device that performs a transaction in the store (that is, whether the IoT device is authentic or forged) [FIG. 1. S120].
도 2는 비콘 메시지 송출 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제2 실시예의 도면이다. 이하, 도 2의 인증 흐름도를 설명한다. 도 2 또한 모바일 결제를 위한 전제로서 상점 내 위치하는 IoT 기기를 인증하는 과정을 나타낸다. 도 2의 설명 과정에서 도 1에서와 동일한 개념의 단계들인 경우에는 앞선 설명에서와 중복되는 설명은 생략하기로 한다.2 is a diagram of a second embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store. Hereinafter, the authentication flowchart of FIG. 2 is demonstrated. 2 also illustrates a process of authenticating an IoT device located in a store as a premise for mobile payment. In the description process of FIG. 2, in the case of steps having the same concept as in FIG. 1, the description overlapping with the description above will be omitted.
앞선 도 1에서는 기기 인증 OTP의 시드(Seed) 정보를 인증 서버(300)에서 생성하여 IoT 기기(100)로 전달하는 방식이었다면, 도 2에서는 IoT 기기(100)의 진위 여부를 판별하기 위한 기기 인증 OTP의 시드 정보를 IoT 기기(100)에서 자체 생성하는 방식에 의한다는 데에 핵심적 차이가 있다.In FIG. 1, if the seed information of the device authentication OTP is generated by the authentication server 300 and transmitted to the IoT device 100, in FIG. 2, device authentication for determining the authenticity of the IoT device 100 is performed. There is a key difference in that the seed information of the OTP is generated by the IoT device 100 itself.
즉, IoT 기기(100)는 최초 기기 인증 OTP를 생성하기 위한 Seed를 생성하고[도 2의 S200 참조], 생성한 Seed를 인증 서버(300)로 전송함과 아울러 기기 인증 OTP를 생성할 것을 요청한다[도 2의 S202 참조]. 이때, IoT 기기(100)는 생성한 Seed를 이용하여 기기 인증 OTP를 자체 생성하고[도 2의 S204 참조], 인증 서버(300) 또한 수신한 Seed를 이용하여 기기 인증 OTP를 생성한다[도 2의 S206 참조].That is, the IoT device 100 generates a seed for generating an initial device authentication OTP (see S200 of FIG. 2), transmits the generated seed to the authentication server 300, and requests to generate a device authentication OTP. (Refer to S202 of FIG. 2). At this time, the IoT device 100 generates a device authentication OTP by using the generated Seed (see S204 of FIG. 2), and the authentication server 300 also generates a device authentication OTP using the received Seed [FIG. 2. See S206].
이에 따라, IoT 기기(100)는 비콘 ID와 도 2의 S204에서 생성한 기기 인증 OTP를 비콘 메시지에 실어 외부로 무선 송출(브로드캐스팅)한다[도 2의 S210 참조]. 이때, 비콘 ID는 비콘 신호를 송출하는 IoT 기기를 식별하기 위한 정보이며, 기기 인증 OTP는 해당 IoT 기기의 진위를 판별하는데 사용하기 위한 정보임은 앞서도 설명한 바이다. 또한, 기기 인증 OTP를 비콘 메시지의 데이터필드 내에 삽입하는 방식도 앞서 설명한 바와 동일할 수 있다. 또한, 도 2의 S210에서 송출되는 비콘 신호는 해당 IoT 기기가 설치된 상점 내에서만 유효하게 검출되도록 신호 세기가 조절되는 것으로 가정함도 동일하다.Accordingly, the IoT device 100 wirelessly sends (broadcasts) the beacon ID and the device authentication OTP generated in S204 of FIG. 2 to the beacon message (see S210 of FIG. 2). In this case, the beacon ID is information for identifying an IoT device that transmits a beacon signal, and the device authentication OTP is information for use in determining the authenticity of the IoT device. In addition, the method of inserting the device authentication OTP into the data field of the beacon message may be the same as described above. In addition, it is also assumed that the beacon signal transmitted from S210 of FIG. 2 is adjusted so that the signal strength is effectively detected only in the store where the corresponding IoT device is installed.
이에 따라, 해당 상점 내로 진입한 사용자(고객)이 자신이 소지한 모바일 기기에 설치된 사용자 앱(200)을 구동하게 되면[도 2의 S212 참조], IoT 기기(100)가 해당 시점에 송출한 비콘 신호를 수신할 수 있다[도 2의 S214 참조].Accordingly, when a user (customer) entering the store is driving a user app 200 installed in the mobile device possessed by him (see S212 of FIG. 2), the IoT device 100 transmits a beacon at that time. A signal can be received (see S214 of FIG. 2).
IoT 기기(100)가 송출한 비콘 신호가 수신되면, 사용자 앱(200)은 해당 IoT 기기의 진위를 판별하기 위한 용도로서 인증 서버(300)로 기기 인증 OTP를 전송해줄 것을 요청한다[도 2의 S216 참조]. 이에 따라 인증 서버(300)는 앞선 자체 생성해둔 기기 인증 OTP를 사용자 앱(200)으로 전송할 수 있다[도 2의 S218 참조]. 앞서도 설명한 바이지만, 이때, 기기 인증 OTP가 타임 OTP 방식으로 생성된 값이라면, 인증 서버(300)는 도 2의 S218에서 이전 시점에 생성해둔 기기 인증 OTP(즉, 전기 OTP)와 현재 생성된 기기 인증 OTP(즉, 당기 OTP)를 모두 사용자 앱(200)으로 전송해줄 수 있다.When the beacon signal transmitted by the IoT device 100 is received, the user app 200 requests to transmit the device authentication OTP to the authentication server 300 for the purpose of determining the authenticity of the corresponding IoT device (FIG. 2). S216]. Accordingly, the authentication server 300 may transmit the device authentication OTP previously created to the user app 200 (see S218 of FIG. 2). As described above, in this case, if the device authentication OTP is a value generated by the time OTP method, the authentication server 300 is the device authentication OTP (that is, electric OTP) and the currently generated device created at a previous time in S218 of FIG. The authentication OTP (that is, the current OTP) can all be sent to the user app 200.
이에 따라, 사용자 앱(200)은 도 2의 S210을 통해 IoT 기기(100)로부터 수신한 비콘 메시지 내에 실린 기기 인증 OTP 값과 도 2의 S218을 통해 인증 서버(300)로부터 수신한 기기 인증 OTP 값 간의 일치 여부를 확인함으로써, 이를 통해 비콘 메시지를 송출한 IoT 기기(100)의 진위 여부 또는 위변조 여부를 검증할 수 있다[도 2의 S220 참조].Accordingly, the user app 200 receives the device authentication OTP value included in the beacon message received from the IoT device 100 through S210 of FIG. 2 and the device authentication OTP value received from the authentication server 300 through S218 of FIG. 2. By checking whether there is a match, it is possible to verify the authenticity or forgery of the IoT device 100 that transmitted the beacon message through this (see S220 of FIG. 2).
도 3은 비콘 메시지 송출 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제3 실시예의 도면이다. 이하, 도 3의 인증 흐름도를 설명한다. 도 3 또한 모바일 결제를 위한 전제로서 상점 내 위치하는 IoT 기기를 인증하는 과정을 나타낸다. 도 3의 설명 과정에서 앞선 도면들의 설명에서와 동일한 개념의 단계들인 경우에는 그 중복되는 설명은 생략하기로 한다.3 is a diagram of a third embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store. Hereinafter, the authentication flowchart of FIG. 3 is demonstrated. 3 also illustrates a process of authenticating an IoT device located in a store as a premise for mobile payment. In the description process of FIG. 3, in the case of steps having the same concept as in the description of the preceding drawings, the overlapping description will be omitted.
앞선 도 1에서는 기기 인증 OTP의 시드(Seed) 정보를 인증 서버(300)에서 생성하여 IoT 기기(100)로 전달하는 방식이고, 도 2에서는 IoT 기기(100)의 진위 여부를 판별하기 위한 기기 인증 OTP의 시드 정보를 IoT 기기(100)에서 자체 생성하는 방식이었다면, 도 3의 경우 기기 인증 OTP를 생성할 시드 정보를 사용자 앱(200)에서 생성하여 전달하는 방식 또는 사용자 앱(200)에서 최초 기기 인증 OTP의 생성을 요청하는 방식이라는 점에서 앞선 도 1 및 도 2와 핵심적 차이가 있다.In FIG. 1, the seed information of the device authentication OTP is generated by the authentication server 300 and transmitted to the IoT device 100. In FIG. 2, device authentication for determining the authenticity of the IoT device 100 is performed. If the seed information of the OTP was generated by the IoT device 100 itself, in the case of FIG. 3, the seed information for generating the device authentication OTP is generated and delivered by the user app 200 or the first device in the user app 200. There is a key difference from FIG. 1 and FIG. 2 in that it is a method of requesting generation of an authentication OTP.
예를 들어, 상점 내에 진입한 사용자가 자신이 소지한 모바일 기기에 설치된 사용자 앱(200)을 구동함에 따라[도 3의 S300 참조], 사용자 앱(200)은 기기 인증 OTP Seed를 생성하고[도 3의 S302 참조], 생성한 Seed를 인증 서버(300)로 전송함과 아울러 기기 인증 OTP를 생성할 것을 요청한다[도 3의 S304 참조]. 물론 시스템 설계 방식에 따라, IoT 기기(100)가 지속적으로 브로드캐스팅하는 비콘 신호가 수신됨과 동시에 사용자 앱(200)이 자동 구동되면서 위 과정이 실행될 수도 있음은 물론이다.For example, as a user entering the store runs a user app 200 installed on a mobile device possessed by him (see S300 of FIG. 3), the user app 200 generates a device authentication OTP Seed [FIG. S302 of FIG. 3], and transmits the generated Seed to the authentication server 300, and requests to generate a device authentication OTP (see S304 of FIG. 3). Of course, according to the system design method, the above process may be executed while the user app 200 is automatically driven at the same time as the beacon signal continuously broadcast by the IoT device 100 is received.
사용자 앱(200)으로부터 Seed가 수신되면, 인증 서버(300)는 해당 Seed를 IoT 기기(100)에 전송하고[도 3의 S306 참조], 해당 Seed를 이용하여 기기 인증 OTP를 생성하며[도 3의 S308 참조], 생성한 기기 인증 OTP를 사용자 앱(200)으로 전송할 수 있다[도 3의 S310 참조]. 또한, IoT 기기(100)는 수신한 Seed를 이용하여 기기 인증 OTP를 생성할 수 있다. 여기서, 인증 서버(300) 및 IoT 기기(100)는 상호 간 기기 인증 OTP의 생성 방식 등을 사전에 공유해둘 수 있음은 앞서 설명한 바이다.When the Seed is received from the user app 200, the authentication server 300 transmits the Seed to the IoT device 100 [see S306 of FIG. 3], and generates a device authentication OTP using the Seed [FIG. 3. S308 of the present disclosure), the generated device authentication OTP may be transmitted to the user app 200 (see S310 of FIG. 3). In addition, the IoT device 100 may generate a device authentication OTP using the received seed. Here, as described above, the authentication server 300 and the IoT device 100 may share a method of generating device authentication OTP with each other in advance.
IoT 기기(100)는 비콘 ID와 도 3의 S312에서 생성한 기기 인증 OTP를 비콘 메시지에 실어 외부로 무선 송출(브로드캐스팅)한다[도 3의 S314 참조]. 이에 따라, 사용자 앱(200)은 도 3의 S310에서 수신한 기기 인증 OTP와 도 3의 S314에서 수신한 기기 인증 OTP 간의 일치 여부를 비교함으로써, 비콘 메시지를 송출한 IoT 기기(100)의 진위 여부 또는 위변조 여부를 검증할 수 있다[도 3의 S316 참조].The IoT device 100 wirelessly transmits (broadcasts) the beacon ID and the device authentication OTP generated in S312 of FIG. 3 to the beacon message (see S314 in FIG. 3). Accordingly, the user app 200 compares the match between the device authentication OTP received in S310 of FIG. 3 and the device authentication OTP received in S314 of FIG. 3, thereby checking whether the IoT device 100 that transmitted the beacon message is authentic. Or it can be verified whether the forgery (see S316 of Figure 3).
이상에서는 사용자 앱(200)이 기기 인증 OTP를 생성할 Seed를 인증 서버(300)로 전송하고 인증 서버(300)가 해당 Seed를 IoT 기기(100)에 다시 전송하는 케이스를 중심으로 설명하였지만, 이외의 다른 변형례로 존재할 수 있음은 물론이다. 예를 들어, 사용자 앱(200)은 Seed를 별도로 생성하지 않고 도 3의 S304 단계를 통해서 기기 인증 OTP 생성 요청만을 인증 서버(300)로 할 수도 있다. 이 경우, 인증 서버(300)는 자신이 기기 인증 OTP를 생성할 때 사용하였던 키값 또는 연산 조건을 Seed로 하여 도 3의 S306 단계를 통해서 IoT 기기(100)로 전송할 수도 있을 것이다. 일 예로, 인증 서버(300)는 기기 인증 OTP를 챌린지 앤드 리스폰스 방식으로 생성하는 경우, 연산 조건인 챌린지 값을 Seed로 IoT 기기(100)로 전송할 수 있다.In the above, the case where the user app 200 transmits the Seed to generate the device authentication OTP to the authentication server 300 and the authentication server 300 transmits the Seed back to the IoT device 100 are described. Of course, it can exist in other variations of. For example, the user app 200 may use only the device authentication OTP generation request as the authentication server 300 through step S304 of FIG. 3 without separately generating a seed. In this case, the authentication server 300 may transmit to the IoT device 100 through the step S306 of FIG. 3 using the Seed as a key value or an operation condition used when the device generates the device authentication OTP. As an example, when the authentication server 300 generates the device authentication OTP in a challenge and response method, the authentication server 300 may transmit a challenge value, which is an operation condition, to the IoT device 100 as a seed.
도 4는 비콘 메시지 송출 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제4 실시예의 도면이다.4 is a diagram of a fourth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message transmission function is installed in a store.
여기서, 도 4는 사용자 측(즉, 사용자 앱(200))에서 IoT 기기(100)를 검증한 후, 인증 서버(300)가 사용자 측을 검증하는 인증 흐름도이다. 이에 따라, 도 4의 S100 ~ S120까지의 단계는 앞서 도 1에서 설명한 바와 동일하다. 도 4의 S100 ~ S120까지의 단계에 따른 사용자 측에서 IoT 기기를 검증하는 과정이 완료되면, 도 4의 S122 ~ S218까지의 단계에 따른 인증 서버가 사용자 측을 검증하는 과정이 실행된다.Here, FIG. 4 is an authentication flowchart in which the authentication server 300 verifies the user side after verifying the IoT device 100 on the user side (that is, the user app 200). Accordingly, steps S100 to S120 of FIG. 4 are the same as described above with reference to FIG. 1. When the process of verifying the IoT device at the user side according to the steps S100 to S120 of FIG. 4 is completed, the process of verifying the user side is performed by the authentication server according to the steps S122 to S218 of FIG. 4.
IoT 기기 검증이 완료되면, 사용자 앱(200)은 사용자 인증을 위한 인증값(즉, 자신이 진정한 사용자임을 증명하기 위한 값으로서, 본 예에서는 사용자 OTP)을 생성하고[도 4의 S122 참조], 사용자 인증 정보를 인증 서버(300)로 전송한다[도 4의 S124 참조]. 이때, 사용자 인증 정보로는 해당 사용자를 식별할 수 있는 식별 정보(본 예에서는 사용자 ID)와 사용자 OTP가 인증 서버(300)로 전송될 수 있다. 여기서, 사용자 식별 정보는 본 예에서의 사용자 ID 이외에도 모바일 기기 식별값, 모바일 기기 전화번호, USIM 값, 앱 ID 등도 이용될 수 있음은 물론이다.When the IoT device verification is completed, the user app 200 generates an authentication value for user authentication (that is, a value for proving that the user is a true user, in this example, a user OTP) (see S122 of FIG. 4), The user authentication information is transmitted to the authentication server 300 (see S124 of FIG. 4). In this case, as the user authentication information, identification information (user ID in this example) and user OTP capable of identifying the user may be transmitted to the authentication server 300. Here, the user identification information may be used in addition to the user ID in this example, the mobile device identification value, mobile device phone number, USIM value, app ID, and the like.
이에 따라, 인증 서버(300)에서는 사용자 OTP를 전송해온 해당 사용자를 식별하고, 사전에 공유된 OTP 생성 방식 또는/및 연산 조건에 따라 사용자 OTP를 자체 생성하고, 자체 생성한 사용자 OTP와 수신된 사용자 OTP 간의 일치 여부를 비교함으로써, 사용자 측의 진위 여부 또는 위변조 여부를 검증한다[도 4의 S126 참조]. 이후, 인증 서버(300)는 도 4의 S126에 따른 사용자 인증 결과를 IoT 기기(100)로 전송할 수 있다[도 4의 S128 참조].Accordingly, the authentication server 300 identifies the user who has transmitted the user OTP, generates a user OTP according to a pre-shared OTP generation method and / or operation condition, and generates the user OTP by itself and the received user. By comparing the agreement between the OTPs, the authenticity or forgery of the user side is verified (see S126 of FIG. 4). Thereafter, the authentication server 300 may transmit the user authentication result according to S126 of FIG. 4 to the IoT device 100 (see S128 of FIG. 4).
도 5는 비콘 메시지 송출 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제5 실시예의 도면이다.5 is a diagram of a fifth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
여기서, 도 5는 앞서 설명한 도 4의 인증 흐름도에서, 도 5의 S107 및 S109 단계에 따른 IoT 기기 인증 과정이 추가된 것이다. 즉, 앞선 도 1 및 도 4에 의할 때, IoT 기기의 인증은 사용자 측(즉, 사용자 앱(200))에 의해서 수행되었지만, 도 5에서는 IoT 기기의 인증이 인증 서버(300)에서도 병행 수행됨으로써, 보다 신뢰성 높은 IoT 기기 인증이 가능한 효과가 있다. 즉, 도 5의 S106 단계에서 IoT 기기(100)가 자체 생성한 기기 인증 OTP는 인증 서버(300)로도 전송되며[도 5의 S107 참조], 이에 따라 인증 서버(300)는 도 5의 S104 단계에서 자체 생성해둔 기기 인증 OTP와 IoT 기기(100)로부터 수신한 기기 인증 OTP 간의 일치 여부를 비교함으로써, IoT 기기의 진위 또는 위변조 여부를 재검증할 수 있다.Here, FIG. 5 illustrates the IoT device authentication process according to steps S107 and S109 of FIG. 5 in the authentication flowchart of FIG. 4 described above. That is, according to the foregoing FIGS. 1 and 4, the authentication of the IoT device is performed by the user side (that is, the user app 200), but in FIG. 5, the authentication of the IoT device is performed in parallel in the authentication server 300. As a result, more reliable IoT device authentication is possible. That is, in step S106 of FIG. 5, the device authentication OTP generated by the IoT device 100 is also transmitted to the authentication server 300 [see S107 of FIG. 5], and accordingly, the authentication server 300 performs step S104 of FIG. 5. By comparing the match between the device authentication OTP generated by itself and the device authentication OTP received from the IoT device 100, it is possible to re-verify the authenticity or forgery of the IoT device.
도 6은 비콘 메시지 송출 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제6 실시예의 도면이다.6 is a diagram of a sixth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
여기서, 도 6의 S100 ~ S126은 앞선 도 5에서와 동일한 절차에 의한다. 이에 추가하여, 도 6에서는, IoT 기기의 인증 및 사용자 측의 인증 과정과 함께, 인증 서버(300)의 인증도 수행된다는 점에서 기술적 특징이 있다. 인증 서버(300)의 인증은 도 6의 S130, S132, S134를 통해 수행될 수 있다.Here, S100 to S126 of FIG. 6 are based on the same procedure as in FIG. 5. In addition, in FIG. 6, in addition to the authentication process of the IoT device and the authentication process of the user side, there is a technical feature in that authentication of the authentication server 300 is also performed. Authentication of the authentication server 300 may be performed through S130, S132, S134 of FIG.
즉, 도 6의 S100 ~ S126을 통한 IoT 기기의 인증(사용자 측 및 인증 서버 측에서 병행 인증)과 사용자 측의 인증이 완료되면, 인증 서버(300)는 자신이 진정한 인증 서버임(즉, 위변조된 인증 서버가 아님)을 증명하기 위한 인증값(본 예에서는 서버 검증 OTP)을 생성할 수 있다[도 6의 S130 참조]. 이때, 서버 인증값은 다양한 방식에 의해 생성될 수 있음은 물론이나, 본 예에서는 IoT 기기와 상호 간 공유되는 IoT key 값과 사용자 OTP를 이용하여 서버 검증 OTP를 생성하고 있다.That is, when authentication of the IoT device (parallel authentication at the user side and the authentication server side) and the user side authentication are completed through S100 to S126 of FIG. 6, the authentication server 300 is itself a true authentication server (that is, forgery and alteration). An authentication value (in this example, the server verification OTP) for proving that the authentication server is not an authorized server may be generated (see S130 of FIG. 6). At this time, the server authentication value may be generated by various methods, but in this example, the server verification OTP is generated using the IoT key value and the user OTP shared with the IoT devices.
이후, 인증 서버(300)는 생성된 서버 검증 OTP와 사용자 OTP를 IoT 기기(100)에 전송하면서 서버 검증을 요청할 수 있다[도 6의 S132 참조]. 이 경우, IoT 기기(100)는 자신의 IoT key값과 수신된 사용자 OTP를 이용하여 서버 검증 OTP를 생성하고, 자체 생성한 서버 검증 OTP와 인증 서버(300)로부터 수신한 서버 검증 OTP 간의 일치 여부를 비교함으로써, 자신과 통신하고 있는 인증 서버(300)의 진위 여부를 검증할 수 있다[도 6의 S134 참조].Thereafter, the authentication server 300 may request server verification while transmitting the generated server verification OTP and the user OTP to the IoT device 100 (see S132 of FIG. 6). In this case, the IoT device 100 generates a server verification OTP using its IoT key value and the received user OTP, and whether the server verification OTP generated from the self verification and the server verification OTP received from the authentication server 300 match. By comparing this, it is possible to verify the authenticity of the authentication server 300 communicating with itself (see S134 of FIG. 6).
도 16은 비콘 메시지 송출 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제7 실시예의 도면이다.FIG. 16 is a diagram of a seventh embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having a beacon message sending function is installed in a store.
도 16을 참조하면, IoT 기기(100)는 기기 인증 OTP의 Seed를 생성하고[도 16의 S1000 참조], 이에 기반하여 기기 인증 OTP를 생성한다[도 16의 S1002 참조]. 그리고 IoT 기기(100)는 비콘 ID와 생성한 기기 인증 OTP를 비콘 메시지에 실어 브로드캐스팅한다[도 16의 S1004 참조].Referring to FIG. 16, the IoT device 100 generates a seed of the device authentication OTP (see S1000 of FIG. 16), and generates a device authentication OTP based on this (see S1002 of FIG. 16). The IoT device 100 broadcasts the beacon ID and the generated device authentication OTP in a beacon message (see S1004 of FIG. 16).
사용자 앱(200)의 구동에 따라 브로드캐스팅된 비콘 신호가 수신되면[도 16의 S1006 및 S1008 참조], 사용자 앱(200)은 기기 인증 OTP에 관한 검증을 인증 서버(300)로 요청할 수 있다[도 16의 S1010 참조].When the broadcast beacon signal is received according to the driving of the user app 200 (see S1006 and S1008 of FIG. 16), the user app 200 may request verification of the device authentication OTP to the authentication server 300 [ S1010 of FIG. 16].
이 경우, 인증 서버(300)는 IoT 기기(100)에서 기기 인증 OTP를 생성했던 방식과 동일한 방식으로 기기 인증 OTP를 생성하고, 자체 생성한 기기 인증 OTP와 사용자 앱(200)으로부터 수신한 기기 인증 OTP 간의 일치 여부를 비교함으로써, 비콘 메시지를 브로드캐스팅한 IoT 기기의 진위 여부를 검증할 수 있다[도 16의 S1014 참조]. 이때의 인증 결과는 사용자 앱(200)으로 전송될 수 있다[도 16의 S1016 참조]. 이에 따라 사용자 앱(200)은 해당 IoT 기기의 진위 여부를 확인할 수 있다.In this case, the authentication server 300 generates the device authentication OTP in the same manner as the device authentication OTP is generated in the IoT device 100, and authenticates the device authentication OTP generated by the device and the device received from the user app 200. By comparing the agreement between the OTPs, it is possible to verify the authenticity of the IoT device broadcasting the beacon message (see S1014 of FIG. 16). At this time, the authentication result may be transmitted to the user app 200 (see S1016 of FIG. 16). Accordingly, the user app 200 may check the authenticity of the IoT device.
전술한 도 16의 S1014 단계를 통해서 기기 인증 OTP를 생성함에 있어서, 인증 서버(300)는 도 16의 S1012 단계에 따라서 IoT 기기(100)로부터 수신된 Seed를 이용할 수도 있다. 일 예로, 기기 인증 OTP 생성 방식으로서 챌린지 앤드 리스폰스 방식을 이용하는 경우, 도 16의 S1012 단계를 통해서 연산 조건인 챌린지 값이 인증 서버(300)로 전송될 수 있을 것이다. 물론, 다른 Seed 값이 전송될 수도 있음은 자명하다.In generating the device authentication OTP through step S1014 of FIG. 16, the authentication server 300 may use the Seed received from the IoT device 100 according to step S1012 of FIG. 16. For example, when the challenge and response method is used as the device authentication OTP generation method, a challenge value, which is an operation condition, may be transmitted to the authentication server 300 through step S1012 of FIG. 16. Of course, other Seed values may be transmitted.
다만, 경우에 따라서 도 16의 S1012 단계는 생략될 수도 있다. 예를 들어, 기기 인증 OTP의 Seed로서 도 16의 S1004를 통해 전송되는 비콘 ID가 이용되고 타임 OTP 방식으로 기기 인증 OTP를 생성하는 등의 경우라면, 도 16의 S1012 단계는 생략되어도 무방하다. 또한 도 16의 S1012에 따른 인증 서버(300)로의 기기 인증 OTP Seed의 전송은 도 16의 S1000 단계가 실행된 이후의 시점이라면 어느 시점이라도 이루어져도 무방함은 물론이다.However, in some cases, step S1012 of FIG. 16 may be omitted. For example, if the beacon ID transmitted through S1004 of FIG. 16 is used as the seed of the device authentication OTP, and the device authentication OTP is generated by the time OTP method, step S1012 of FIG. 16 may be omitted. In addition, the transmission of the device authentication OTP Seed to the authentication server 300 according to S1012 of FIG. 16 may be performed at any point in time after the step S1000 of FIG. 16 is executed.
이상에서는 도 1의 케이스를 기준으로, 도 4의 사용자 측의 인증 과정의 추가 도입, 도 5의 인증 서버를 통한 IoT 기기의 추가 인증의 도입, 도 6의 인증 서버에 관한 인증 과정의 추가 도입을 설명하였다. 다만, 도면을 통해 명확히 도시하지는 않았지만, 위 도 4, 도 5, 도 6의 기술적 내용은, 도 2, 도 3, 또는 도 16의 케이스에도 동일 또는 유사한 방식으로 도입될 수도 있을 것임은 물론이다.In the above, based on the case of FIG. 1, further introduction of the authentication process of the user side of FIG. 4, introduction of additional authentication of the IoT device through the authentication server of FIG. 5, and further introduction of the authentication process of the authentication server of FIG. Explained. Although not clearly illustrated through the drawings, the technical contents of FIGS. 4, 5, and 6 may be introduced in the same or similar manner to the case of FIG. 2, 3, or 16.
이상에서는 도 1 ~ 6 및 도 16을 참조하여, 비콘 신호 송출 기능을 갖는 IoT 기기가 상점에 설치된 경우를 가정한 인증 방법 및 시스템에 관하여 설명하였는 바, 이하 도 7 ~ 도 12에서는 NFC 기능을 갖는 IoT 기기가 상점 내에 설치된 경우를 가정한 인증 방법 및 시스템에 관하여 설명하기로 한다.In the above, with reference to FIGS. 1 to 6 and 16, an authentication method and system assuming a case where an IoT device having a beacon signal transmission function is installed in a store has been described. Hereinafter, FIGS. 7 to 12 have an NFC function. An authentication method and system assuming a case where an IoT device is installed in a store will be described.
도 7은 NFC 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제1 실시예의 도면이다.7 is a diagram of a first embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store.
여기서, 도 7은 앞서 설명한 도 1의 실시예와 대응될 수 있는 인증 방법 및 시스템에 관한 것으로서, IoT 기기(100)가 NFC 기능을 갖는 경우의 실시예를 나타낸다. 이를 위해, 본 실시예에서의 IoT 기기(100)는 NFC 기능을 갖기 위해서 NFC 모듈 및 이의 구동을 위한 소프트웨어가 탑재될 수 있다(이하, 도 8 ~ 도 12도 동일함).Here, FIG. 7 relates to an authentication method and system that may correspond to the embodiment of FIG. 1 described above, and illustrates an embodiment in which the IoT device 100 has an NFC function. To this end, the IoT device 100 according to the present embodiment may be equipped with an NFC module and software for driving the same in order to have an NFC function (hereinafter, FIGS. 8 to 12 are also the same).
도 7을 참조하면, 도 1의 실시예에서와 유사하게, IoT 기기(100)의 기기 인증을 위한 OTP Seed가 인증 서버(300)에서 생성되어 IoT 기기(100)로 전송되게 된다. 이하, 도 7에 따른 인증 흐름을 설명하면 다음과 같다. 도 7의 설명 과정에서 앞선 도 1의 설명에서와 동일한 기술적 특징에 대한 내용은 중복되는 설명을 생략하기로 한다.Referring to FIG. 7, similar to the embodiment of FIG. 1, an OTP Seed for device authentication of the IoT device 100 is generated in the authentication server 300 and transmitted to the IoT device 100. Hereinafter, the authentication flow according to FIG. 7 will be described. In the description process of FIG. 7, the description of the same technical features as in the description of FIG. 1 will be omitted.
먼저, 인증 서버(300)는 기기 인증 OTP Seed를 생성하고[도 7의 S400 참조], 생성된 Seed를 IoT 기기(100)로 전송하면서 기기 인증 OTP의 생성을 요청한다[도 7의 S402]. 이와 함께 인증 서버(300)는 해당 Seed를 이용하여 기기 인증 OTP를 자체 생성하고[도 7의 S404 참조], IoT 기기(100) 또한 수신한 Seed를 이용하여 기기 인증 OTP를 생성한다.First, the authentication server 300 generates the device authentication OTP Seed (see S400 of FIG. 7), and requests generation of the device authentication OTP while transmitting the generated Seed to the IoT device 100 (S402 of FIG. 7). In addition, the authentication server 300 itself generates the device authentication OTP using the Seed (see S404 of FIG. 7), and the IoT device 100 also generates the device authentication OTP using the received Seed.
이후, 사용자 앱(200)이 구동되고[도 7의 S410 참조], 사용자에 의해 자신이 소지한 모바일 기기를 이용하여 IoT 기기(100)에 NFC 탭을 수행하면[도 7의 S412 참조], 사용자의 모바일 기기와 IoT 기기(100) 간에는 NFC 핸드쉐이크(Handshake)를 통한 통신 세션이 설정될 수 있다[도 7의 S414 참조].Subsequently, when the user app 200 is driven [see S410 of FIG. 7], and performs an NFC tap on the IoT device 100 using the mobile device possessed by the user [see S412 of FIG. 7], the user A communication session via an NFC handshake may be established between the mobile device and the IoT device 100 (see S414 in FIG. 7).
이때, 사용자가 직접 또는 사용자 앱(200)이 자동으로 기기 인증 OTP 요청을 선택함에 따라[도 7의 S416 참조], 사용자 앱(200)은 IoT 기기(100)와 인증 서버(300)로 각각 기기 인증 OTP를 전송해줄 것을 요청할 수 있다[도 7의 S418 및 S422 참조]. 이에 대한 응답으로서 IoT 기기(100)와 인증 서버(300)로부터 각각 기기 인증 OTP가 전송되면[도 7의 S420 및 S424 참조], 사용자 앱(200)은 IoT 기기(100)로부터 수신된 기기 인증 OTP와 인증 서버(300)로부터 수신된 기기 인증 OTP 간의 일치 여부를 비교함으로써, IoT 기기(100)의 진위 여부를 판별(검증)할 수 있다[도 7의 S526 참조].In this case, as the user directly or the user app 200 automatically selects the device authentication OTP request (see S416 of FIG. 7), the user app 200 is a device as the IoT device 100 and the authentication server 300, respectively. It may request to send an authentication OTP (see S418 and S422 of FIG. 7). In response to this, when the device authentication OTP is transmitted from the IoT device 100 and the authentication server 300 (see S420 and S424 of FIG. 7), the user app 200 receives the device authentication OTP received from the IoT device 100. And authenticity of the IoT device 100 can be determined (verified) by comparing the agreement between the device authentication OTP received from the authentication server 300 (see S526 of FIG. 7).
도 8은 NFC 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제2 실시예의 도면이다.8 is a diagram of a second embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store.
여기서, 도 8은 앞서 설명한 도 2의 실시예와 대응될 수 있는 인증 방법 및 시스템에 관한 것으로서, IoT 기기(100)가 NFC 기능을 갖는 경우의 실시예를 나타낸다. 도 8을 참조하면, 도 2의 실시예에서와 유사하게, IoT 기기(100)의 기기 인증을 위한 OTP Seed가 IoT 기기(100)에서 자체 생성되어 인증 서버(300)로 전송되게 된다. 이하, 도 8에 따른 인증 흐름을 설명하면 다음과 같다. 도 8의 설명 과정에서 앞선 도 2의 설명에서와 동일한 기술적 특징에 대한 내용은 중복되는 설명을 생략하기로 한다.Here, FIG. 8 relates to an authentication method and system that may correspond to the above-described embodiment of FIG. 2, and illustrates an embodiment when the IoT device 100 has an NFC function. Referring to FIG. 8, similar to the embodiment of FIG. 2, the OTP Seed for device authentication of the IoT device 100 is generated by the IoT device 100 and transmitted to the authentication server 300. Hereinafter, the authentication flow according to FIG. 8 will be described. In the description process of FIG. 8, the description of the same technical features as in the description of FIG. 2 will be omitted.
IoT 기기(100)는 기기 인증 OTP Seed를 생성하고 이를 이용하여 기기 인증 OTP를 생성한다[도 8의 S500 및 S504 참조]. 이때, 생성된 Seed는 인증 서버(300)로 전송되고[도 8의 S502 참조], 인증 서버(300)는 수신한 Seed를 이용하여 기기 인증 OTP를 생성한다[도 8의 S506 참조].The IoT device 100 generates a device authentication OTP Seed and generates the device authentication OTP using the device authentication OTP Seed (see S500 and S504 of FIG. 8). At this time, the generated Seed is transmitted to the authentication server 300 (see S502 of FIG. 8), and the authentication server 300 generates the device authentication OTP using the received Seed (see S506 of FIG. 8).
이후, 사용자 앱(200)의 구동[도 8의 S510 참조], NFC 탭[도 8의 S512 참조], NFC 핸드쉐이크[도 8의 S514 참조], 기기 인증 OTP 요청의 선택[도 8의 S516 참조]이 이루어지면, 사용자 앱(200)은 IoT 기기(100)와 인증 서버(300)로 각각 기기 인증 OTP를 전송해줄 것을 요청할 수 있다[도 8의 S518 및 S522 참조]. 이에 대한 응답으로서 IoT 기기(100)와 인증 서버(300)로부터 각각 기기 인증 OTP가 전송되면[도 8의 S520 및 S524 참조], 사용자 앱(200)은 IoT 기기(100)로부터 수신된 기기 인증 OTP와 인증 서버(300)로부터 수신된 기기 인증 OTP 간의 일치 여부를 비교함으로써, IoT 기기(100)의 진위 여부를 판별(검증)할 수 있다[도 8의 S526 참조].Subsequently, driving of the user app 200 [see S510 of FIG. 8], NFC tap [see S512 of FIG. 8], NFC handshake [see S514 of FIG. 8], selection of the device authentication OTP request [see S516 of FIG. 8]. ], The user app 200 may request to transmit the device authentication OTP to the IoT device 100 and the authentication server 300, respectively (see S518 and S522 of FIG. 8). In response to this, when the device authentication OTP is transmitted from the IoT device 100 and the authentication server 300 (see S520 and S524 of FIG. 8), the user app 200 receives the device authentication OTP received from the IoT device 100. And authenticity of the IoT device 100 can be determined (verified) by comparing the agreement between the device authentication OTP received from the authentication server 300 (see S526 of FIG. 8).
본 명세서에서는 IoT 기기(100)가 NFC 기능을 탑재한 케이스에 있어서, 앞서 설명한 도 3에 대응되는 실시예에 관한 도면을 별도로 도시하지는 않았지만, 도 3에서 설명한 기술적 방식과 유사한 방식이 적용될 수 있음은 물론이다.In the present specification, in the case in which the IoT device 100 is equipped with the NFC function, although not separately illustrated in the drawings corresponding to the above-described embodiment, the method similar to the technical method described in FIG. 3 may be applied. Of course.
도 9는 NFC 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제3 실시예의 도면이다.FIG. 9 is a diagram of a third embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store.
여기서, 도 9는 앞서 설명한 도 4의 실시예와 대응될 수 있는 인증 방법 및 시스템에 관한 것으로서, IoT 기기(100)가 NFC 기능을 갖는 경우의 실시예를 나타낸다. 도 9를 참조하면, 도 4의 실시예에서와 유사하게, IoT 기기(100)에 관한 기기 인증 과정 이후에 사용자 측의 인증도 수행된다. 이하, 도 9에 따른 인증 흐름을 설명하면 다음과 같다. 도 9의 설명 과정에서 앞선 도 4의 설명에서와 동일한 기술적 특징에 대한 내용은 중복되는 설명을 생략하기로 한다.Here, FIG. 9 relates to an authentication method and system that may correspond to the embodiment of FIG. 4 described above, and illustrates an embodiment in which the IoT device 100 has an NFC function. Referring to FIG. 9, similar to the embodiment of FIG. 4, authentication of the user side is also performed after the device authentication process for the IoT device 100. Hereinafter, the authentication flow according to FIG. 9 will be described. In the description process of FIG. 9, the description of the same technical features as in the description of FIG. 4 will be omitted.
도 9의 S400 ~ S426까지는 IoT 기기(100)의 기기 인증 과정에 관한 내용으로서 앞서 설명한 도 7에서와 동일하다. 위 과정을 통해서 IoT 기기(100)에 관한 기기 인증이 완료되면, 사용자 앱(200)은 사용자 측의 인증을 위한 인증값(본 예에서는 사용자 OTP)을 생성하고[도 9의 S428 참조], 그 사용자 인증 정보를 인증 서버(300)로 전송할 수 있다[도 9의 S430 참조].S400 to S426 of FIG. 9 correspond to the device authentication process of the IoT device 100, which is the same as in FIG. 7 described above. When the device authentication for the IoT device 100 is completed through the above process, the user app 200 generates an authentication value (user OTP in this example) for authentication of the user side [see S428 of FIG. 9], and User authentication information may be transmitted to the authentication server 300 (see S430 of FIG. 9).
이에 따라 인증 서버(300)는 사용자 측의 인증을 위한 인증값을 사용자 앱(200)이 해당 인증값을 생성한 방식과 동일한 방식으로 생성하고, 자체 생성한 사용자 인증값과 사용자 앱(200)으로부터 수신한 사용자 인증값 간의 일치 여부를 비교함으로써 사용자 측의 진위 여부를 인증할 수 있다[도 9의 S432 참조]. 해당 인증 결과는 IoT 기기(100)로 전송될 수 있다[도 9의 S434 참조].Accordingly, the authentication server 300 generates the authentication value for authentication of the user side in the same manner as the user app 200 generated the corresponding authentication value, and from the user authentication value and the user app generated by the user app 200 It is possible to authenticate the authenticity of the user side by comparing the match between the received user authentication value (see S432 in Fig. 9). The authentication result may be transmitted to the IoT device 100 (see S434 of FIG. 9).
도 10은 NFC 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제4 실시예의 도면이다.FIG. 10 is a diagram of a fourth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store.
여기서, 도 10은 앞서 설명한 도 5의 실시예와 대응될 수 있는 인증 방법 및 시스템에 관한 것으로서, IoT 기기(100)가 NFC 기능을 갖는 경우의 실시예를 나타낸다. 도 10을 참조하면, 도 10의 S407 및 S409 단계를 제외한 모든 과정이 도 9에서와 동일하다. 다만, 도 5의 실시예에서와 유사하게, IoT 기기(100)에 관한 기기 인증 과정이 사용자 앱(200)에서 수행됨과 함께 인증 서버(300)에서도 수행된다. 여기서, 도 10의 S407 및 S409는 IoT 기기(100)에 관한 기기 인증을 인증 서버(300)에서 수행하는 케이스에 관한 단계들이다.Here, FIG. 10 relates to an authentication method and system that may correspond to the embodiment of FIG. 5 described above, and illustrates an embodiment in which the IoT device 100 has an NFC function. Referring to FIG. 10, all processes except for steps S407 and S409 of FIG. 10 are the same as in FIG. 9. However, similar to the embodiment of FIG. 5, the device authentication process for the IoT device 100 is performed in the user app 200 and also in the authentication server 300. Here, S407 and S409 of FIG. 10 are steps related to cases in which device authentication for the IoT device 100 is performed by the authentication server 300.
도 11은 NFC 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제5 실시예의 도면이다.FIG. 11 is a diagram of a fifth embodiment for explaining an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store.
여기서, 도 11은 앞서 설명한 도 6의 실시예와 대응될 수 있는 인증 방법 및 시스템에 관한 것으로서, IoT 기기(100)가 NFC 기능을 갖는 경우의 실시예를 나타낸다. 도 11을 참조하면, 도 6의 실시예에서와 유사하게, IoT 기기(100)에 관한 기기 인증 과정 및 사용자 인증 과정이 완료된 이후에 인증 서버에 관한 인증도 수행된다. 이하, 도 11에 따른 인증 흐름을 설명하면 다음과 같다.Here, FIG. 11 relates to an authentication method and system that may correspond to the embodiment of FIG. 6 described above, and illustrates an embodiment in which the IoT device 100 has an NFC function. Referring to FIG. 11, similar to the embodiment of FIG. 6, after the device authentication process and the user authentication process for the IoT device 100 are completed, the authentication for the authentication server is also performed. Hereinafter, the authentication flow according to FIG. 11 will be described.
도 11의 S400 ~ S432까지는 IoT 기기(100)의 기기 인증 과정에 관한 내용으로서 앞서 설명한 도 10에서와 동일하다. 위 과정을 통해서 IoT 기기(100)에 관한 기기 인증 및 사용자 인증이 완료되면, 서버 인증 과정이 수행된다. 서버 인증 과정은 도 11의 S436, S438, S440에 의하며, 이는 본질적으로 도 6에서 설명한 내용과 동일하다.S400 to S432 of FIG. 11 are the same as those of FIG. 10 described above as a description of the device authentication process of the IoT device 100. When the device authentication and user authentication for the IoT device 100 is completed through the above process, a server authentication process is performed. The server authentication process is based on S436, S438, and S440 of FIG. 11, which is essentially the same as described with reference to FIG. 6.
도 12는 NFC 기능을 갖는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 인증 방법 및 시스템을 설명하기 위한 제6 실시예의 도면이다. 여기서, 제6 실시예는 인증 서버(300)가 사용자를 인증하는 방식에 관한 흐름도이다. 이하, 이에 관하여 구체적으로 설명하면 다음과 같다.12 is a diagram of a sixth embodiment for describing an authentication method and system in a mobile payment system when an IoT device having an NFC function is installed in a store. Here, the sixth embodiment is a flowchart of a method in which the authentication server 300 authenticates a user. Hereinafter, this will be described in detail.
사용자 앱(200)이 구동되면[도 12의 S600 참조], 사용자 앱(200)은 사용자 OTP Seed를 생성하고 생성된 Seed를 이용하여 사용자 인증값(본 예에서는 사용자 OTP)을 생성한다[도 12의 S602 참조]. 이후, NFC 탭[도 12의 S604 참조], NFC 핸드쉐이크[도 12의 S606 참조]가 이루어지면, 사용자 앱(200)은 IoT 기기(100)로 해당 Seed를 전송하고[도 12의 S608 참조], 인증 서버(300)로 생성한 사용자 OTP 및 사용자 식별 정보(본 예에서는 사용자 ID)를 전송할 수 있다[도 12의 S610 참조].When the user app 200 is driven [see S600 of FIG. 12], the user app 200 generates a user OTP Seed and generates a user authentication value (user OTP in this example) using the generated Seed [FIG. 12. S602 of. Subsequently, when the NFC tap [see S604 of FIG. 12] and the NFC handshake [see S606 of FIG. 12] are made, the user app 200 transmits a corresponding seed to the IoT device 100 [see S608 of FIG. 12]. In addition, the user OTP and user identification information (user ID in this example) generated by the authentication server 300 may be transmitted (see S610 of FIG. 12).
이에 따라, 인증 서버(300)는 사용자 앱(200)이 OTP를 생성한 방식과 동일한 방식으로 사용자 OTP를 자체 생성하고, 자체 생성한 사용자 OTP와 사용자 앱(200)으로부터 수신한 사용자 OTP 간의 일치 여부를 비교함으로써, 사용자 OTP를 1차 검증할 수 있다[도 12의 S612 참조].Accordingly, the authentication server 300 itself generates a user OTP in the same manner as the user app 200 generated the OTP, and whether the user OTP generated from the user app 200 matches with the user OTP received from the user app 200. By comparing, the user OTP can be primary verified (see S612 of FIG. 12).
또한, Seed가 수신됨에 따라, IoT 기기(100)는 그 Seed를 이용하여 사용자 앱(200)이 OTP를 생성한 방식과 동일 방식으로 사용자 OTP를 자체 생성하고[도 12의 S614 참조], 생성한 사용자 OTP를 인증 서버(300)로 전송한다[도 12의 S616 참조].In addition, as the Seed is received, the IoT device 100 generates a user OTP by itself in the same manner as the user app 200 generates the OTP using the Seed [see S614 of FIG. 12], and generates the Seed. The user OTP is transmitted to the authentication server 300 (see S616 of FIG. 12).
이에 따라, 인증 서버(300)는 자체 생성한 사용자 OTP와 IoT 기기(100)로부터 수신된 사용자 OTP 간의 일치 여부를 비교함으로써, 사용자 OTP를 2차 검증할 수 있다[도 12의 S618 참조].Accordingly, the authentication server 300 may secondly verify the user OTP by comparing the user OTP generated between the self-generated user OTP and the user OTP received from the IoT device 100 (see S618 of FIG. 12).
상술한 과정을 통해서, 인증 서버(300)는 사용자 측과 IoT 기기를 동시에 인증할 수 있게 된다. 즉, 전술한 사용자 OTP의 1차 검증 과정을 통해서 사용자 측의 진위 여부를 인증할 수 있고, 전술한 사용자 OTP의 2차 검증 과정을 통해서 IoT 기기의 진위 여부를 인증할 수 있다. 사용자 OTP의 2차 검증 과정은 사용자 앱(200)으로부터 수신된 Seed를 이용하여 IoT 기기(100)가 생성한 사용자 OTP를 인증 서버(300)가 검증하는 과정인 바, 이에 의하면 IoT 기기(100)의 진위 여부 또한 간접적으로 검증할 수 있기 때문이다.Through the above-described process, the authentication server 300 can authenticate the user side and the IoT device at the same time. That is, the authenticity of the user side may be authenticated through the first verification process of the user OTP described above, and the authenticity of the IoT device may be authenticated through the second verification process of the user OTP described above. The second verification process of the user OTP is a process in which the authentication server 300 verifies the user OTP generated by the IoT device 100 by using the Seed received from the user app 200, accordingly, the IoT device 100. The authenticity of this can also be verified indirectly.
이상에서는 NFC 탭 및 NFC 핸드쉐이크가 이루어진 이후에, 사용자 OTP가 인증 서버(300)로 전송되는 것과 같이 도시 및 설명하였지만, 이는 반드시 위와 같을 필요는 없다. 즉, 사용자 OTP의 인증 서버로의 전송은 도 12의 S602에 따라 OTP가 생성된 이후의 시점이라면 어느 시점이라도 이루어질 수 있음은 물론이다.In the above, after the NFC tap and the NFC handshake is made, the user OTP is shown and described as being transmitted to the authentication server 300, but this is not necessarily the same. In other words, the transmission of the user OTP to the authentication server may be performed at any point in time after the OTP is generated according to S602 of FIG. 12.
도 13은 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 식권 발급 방법 및 시스템을 설명하기 위한 제1 실시예의 도면이다.FIG. 13 is a diagram of a first embodiment for explaining a method and a system for issuing a meal ticket in a mobile payment system when an IoT device is installed in a store.
도 13의 식권 발급 시스템은, 비콘 신호 송출 기능을 갖는 IoT 기기(100), 사용자의 모바일 기기에 설치되는 사용자 앱(200), 인증 서버(300), 식권 관리 서버(400)를 포함할 수 있다. 이때, 사용자 앱(200)은 IoT 기기(100) 및 식권 관리 서버(400)은 무선 통신을 통해 통신 연결될 수 있고, 식권 관리 서버(400)는 IoT 기기(100) 및 인증 서버(300)와 유선 또는 무선 통신을 통해 통신 연결될 수 있다.The meal ticket issuing system of FIG. 13 may include an IoT device 100 having a beacon signal transmission function, a user app 200 installed on a user's mobile device, an authentication server 300, and a meal ticket management server 400. . In this case, the user app 200 may be connected to the IoT device 100 and the meal ticket management server 400 through wireless communication, the meal ticket management server 400 is wired with the IoT device 100 and the authentication server 300 Alternatively, the communication may be connected via wireless communication.
도 13을 참조할 때, IoT 기기(100)는 기기 자체의 진위 여부를 증명하기 위한 기기 인증 OTP(도 13의 IoT OTP 참조, 이하, 도 14 및 도 15도 동일함)를 생성하고[도 13의 S700 참조], 비콘 ID와 생성한 기기 인증 OTP를 비콘 메시지에 실어 외부로 브로드캐스팅할 수 있다[도 13의 S702 참조].Referring to FIG. 13, the IoT device 100 generates a device authentication OTP (see IoT OTP of FIG. 13, hereinafter, FIG. 14 and FIG. 15) to prove the authenticity of the device itself (FIG. 13). S700], the beacon ID and the generated device authentication OTP can be loaded in a beacon message to be broadcast to the outside (see S702 in FIG. 13).
사용자 앱(200)이 구동됨에 따라[도 13의 S704 참조], 사용자 앱(200)은 비콘 신호를 수신할 수 있고[도 13의 S706 참조], 이에 따라 사용자 또는 해당 앱의 진위 여부를 증명하기 위한 사용자 OTP를 생성할 수 있다[도 13의 S708 참조].As the user app 200 is driven [see S704 of FIG. 13], the user app 200 can receive a beacon signal [see S706 of FIG. 13], thereby proving the authenticity of the user or the app. Create a user OTP (see S708 of FIG. 13).
이후, 사용자 앱(200)은 식권 관리 서버(400)로 식권 정보를 요청한다[도 13의 S710 참조]. 이때, 사용자 앱(200)은 식권 정보 요청 과정을 통해서 사용자 식별 정보(본 예에서는 사용자 ID), 자체 생성한 사용자 OTP, 비콘 신호를 통해 수신한 IoT 기기 정보(즉, Beacon ID, IoT OTP)를 함께 식권 관리 서버(400)로 전송할 수 있다.Thereafter, the user app 200 requests meal ticket information to the meal ticket management server 400 (see S710 of FIG. 13). In this case, the user app 200 receives user identification information (user ID in this example), self-generated user OTP, and IoT device information (ie, Beacon ID, IoT OTP) received through a meal ticket information request process. Together with the meal ticket management server 400 can be transmitted.
식권 정보 요청을 수신한 식권 관리 서버(400)는 인증 서버(300)로 해당 사용자 및 해당 IoT 기기의 검증을 요청한다[도 13의 S712 참조]. 이를 위해, 식권 관리 서버(400)는 도 13의 S712 단계를 통해서, 사용자 앱(200)으로부터 수신한 정보(즉, 사용자 ID, 사용자 OTP, Beacon ID, IoT OTP)를 인증 서버(300)로 전송할 수 있다.The food stamp management server 400 receiving the food stamp information request requests verification of the user and the corresponding IoT device to the authentication server 300 (see S712 of FIG. 13). To this end, the meal ticket management server 400 transmits the information (that is, user ID, user OTP, Beacon ID, IoT OTP) received from the user app 200 to the authentication server 300 through step S712 of FIG. 13. Can be.
이에 따라, 인증 서버(300)는 수신한 사용자 ID 및 Beacon ID에 따라 해당 사용자 및 해당 IoT 기기를 식별하고, 사전에 공유된 OTP 생성 방식(즉, 앞서 사용자 앱(200)과 IoT 기기(100)에서 OTP를 생성한 각각의 방식과 동일한 방식)을 이용하여 사용자 OTP 및 IoT OTP를 자체 생성할 수 있다. 인증 서버(300)는 자체 생성한 사용자 OTP 및 IoT OTP와 식권 관리 서버(400)로부터 수신한 사용자 OTP 및 IoT OTP 간의 일치 여부를 비교함으로써, 해당 사용자 및 IoT 기기의 진위 여부를 검증할 수 있고[도 13의 S714 참조], 그 검증 결과를 식권 관리 서버(400)로 전송한다[도 13의 S716 참조].Accordingly, the authentication server 300 identifies the user and the corresponding IoT device according to the received user ID and the beacon ID, and generates a shared OTP in advance (that is, the user app 200 and the IoT device 100 previously). In the same manner as in each method for generating an OTP in the) it is possible to create a user OTP and IoT OTP itself. The authentication server 300 may verify the authenticity of the user and the IoT device by comparing the user OTP and IoT OTP generated by the self and the match between the user OTP and IoT OTP received from the meal ticket management server 400 [ S714 in FIG. 13], and the verification result is transmitted to the meal ticket management server 400 (see S716 in FIG. 13).
수신된 검증 결과가 인증 성공인 경우, 식권 관리 서버(400)는 사용자 앱(200)으로 가맹점 정보 및 해당 가맹점이 제공하는 식권 관련 정보(본 예에서는 식권 ID, 식권 정보, 토큰값)를 전송한다[도 13의 S718 참조]. 여기서, 토큰값은 향후 식권 OTP의 생성시의 Seed 정보로 활용될 수 있다.When the received verification result is the authentication success, the food stamp management server 400 transmits the merchant information and the food stamp related information (in this example, food stamp ID, food stamp information, token value) provided by the merchant to the user app 200. (See S718 of FIG. 13). Here, the token value may be used as Seed information in the generation of the meal ticket OTP in the future.
가맹점 정보 및 식권 관련 정보가 수신되면, 사용자 앱(200)은 그 수신된 정보에 기반하여 앱 화면을 통해 식권 정보를 표시할 수 있다[도 13의 S720 참조]. 사용자는 사용자 앱(200)의 화면 상에서 식권을 선택하고[도 13의 S722 참조], IoT 기기(100)에 탭(tap)을 하면[도 13의 S724 참조], 사용자 앱(200)은 식권 OTP를 생성한다[도 13의 S726 참조]. 이때, IoT(100) 기기는 비콘 방식으로 작동하므로, IoT 기기로의 탭은 사용자의 모바일 기기와 IoT 기기 간이 지정된 유효 거리 내에서 이루어질 때에 해당 이벤트가 정상적으로 처리되게 될 것이다. 또한 이때, 식권 OTP는 앞선 도 7의 S718을 통해 수신된 정보의 전부 또는 일부가 이용될 수 있다. 또한 식권 OTP는 거래 연동 OTP로 생성될 수도 있으며, 이러한 경우, 식권 매수, 금액 등의 거래 관련 정보도 OTP 생성의 Seed로서 더 활용될 수도 있을 것이다.When the affiliate store information and the meal ticket related information are received, the user app 200 may display the meal ticket information on the app screen based on the received information (see S720 of FIG. 13). When the user selects a meal ticket on the screen of the user app 200 [see S722 of FIG. 13], and taps the IoT device 100 [see S724 of FIG. 13], the user app 200 receives the meal ticket OTP. Is generated (see S726 of FIG. 13). At this time, since the IoT 100 device operates in a beacon manner, the event will be normally processed when the tap to the IoT device is made within a specified effective distance between the user's mobile device and the IoT device. In this case, the meal ticket OTP may use all or part of the information received through S718 of FIG. 7. In addition, the food stamp OTP may be generated as a transaction-linked OTP. In this case, transaction-related information such as the number of meal tickets and the amount may be further utilized as a seed of the OTP generation.
이후, 사용자 앱(200)은 식권 관리 서버(400)로 식권 사용을 요청한다[도 13의 S728 참조]. 이러한 식권 사용 요청 과정에서 사용자 ID, 식권 ID, 식권 OTP 등이 정보가 식권 관리 서버(400)로 함께 전송될 수 있다. Thereafter, the user app 200 requests the use of a meal ticket to the meal ticket management server 400 (see S728 of FIG. 13). In the meal ticket use request process, a user ID, a meal ticket ID, a meal ticket OTP, and the like may be transmitted to the meal ticket management server 400.
식권 사용 요청이 수신되면, 식권 관리 서버(400)는 인증 서버(300)로 식권 검증을 요청한다[도 13의 S730 참조]. 이러한 식권 검증 요청 과정에서 식권 ID, 식권 OTP 등의 정보가 인증 서버(300)로 함께 전송될 수 있다.When the meal ticket use request is received, the meal ticket management server 400 requests the meal ticket verification to the authentication server 300 (see S730 of FIG. 13). During the meal ticket verification request, information such as a meal ticket ID and a meal ticket OTP may be transmitted to the authentication server 300.
이에 따라, 인증 서버(300)는 수신된 식권 ID 등의 정보에 기초하여 식권 OTP를 자체 생성한다. 인증 서버(300)는 자체 생성한 식권 OTP와 식권 관리 서버(400)로부터 수신된 식권 OTP 간의 일치 여부를 비교함으로써, 식권 관리 서버(400)로부터 수신된(즉, 사용자 앱(200)에서 생성한) 식권 OTP의 진위 여부(혹은 유효성 여부)를 검증한다[도 13의 S732 참조]. 이러한 식권 OTP의 검증 결과는 식권 관리 서버(400)로 전송된다[도 13의 S734 참조].Accordingly, the authentication server 300 generates the meal ticket OTP based on the received information such as the meal ticket ID. The authentication server 300 compares whether or not the meal ticket OTP generated from the meal ticket OTP received from the meal ticket management server 400 matches with each other, and thus is received from the meal ticket management server 400 (that is, generated by the user app 200). ) Authenticity (or validity) of the food stamp OTP is verified (see S732 of FIG. 13). The verification result of the meal ticket OTP is transmitted to the meal ticket management server 400 (see S734 of FIG. 13).
식권 OTP 검증 결과가 검증 성공인 경우, 식권 관리 서버(400)는 식권 사용 내역을 갱신하고[도 13의 S736 참조], 식권 사용 결과를 IoT 기기(100)로 전송하며[도 13의 S738 참조], 식권 사용 내역을 사용자 앱(200)으로 전송할 수 있다[도 13의 S742 참조]. 이때, IoT 기기(100)는 식권 사용이 성공되었음을 알리는 성공 신호를 시각적 또는/및 청각적 방식으로 출력할 수 있다[도 13의 S740 참조].If the food stamp OTP verification result is the verification success, the food stamp management server 400 updates the food stamp usage history [see S736 of FIG. 13], and sends the food stamp use result to the IoT device 100 [see S738 of FIG. 13]. The meal ticket usage history may be transmitted to the user app 200 (see S742 of FIG. 13). In this case, the IoT device 100 may output a success signal indicating that the use of the meal ticket is successful in a visual or / or audio manner (see S740 of FIG. 13).
상술한 도 13에서, S700 ~ S714 과정은 기기 인증 및 사용자 인증을 위한 절차들이다. 따라서, 도 13의 S700 ~ S714 과정은 앞서 설명한 도 1 ~ 도 12, 도 16의 절차들로 대체될 수도 있을 것임은 물론이다. 또한, 도 13의 S700 ~ S714 과정은 기기 인증과 사용자 인증을 동시에 수행하도록 구현되고 있지만, 기기 인증 과정은 도 1 ~ 도 12, 도 16에 따른 기기 인증 과정으로 대체하고, 사용자 인증 과정은 식권 OTP의 검증 과정에서 함께 이루어지도록 변형될 수도 있을 것임은 물론이다. 이는 이후 설명할 도 14 및 도 15의 경우에도 동일하다.In FIG. 13 described above, processes S700 to S714 are procedures for device authentication and user authentication. Therefore, processes S700 to S714 of FIG. 13 may be replaced with the procedures of FIGS. 1 to 12 and 16 described above. In addition, although S700 to S714 processes of FIG. 13 are implemented to simultaneously perform device authentication and user authentication, the device authentication process is replaced with the device authentication process according to FIGS. 1 to 12 and 16, and the user authentication process is a food stamp OTP. Of course, it may be modified to be performed together during the verification process. This is the same in the case of FIGS. 14 and 15 which will be described later.
도 14은 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 식권 발급 방법 및 시스템을 설명하기 위한 제2 실시예의 도면이다. 도 14의 식권 발급 시스템은, 비콘 신호 송출 기능을 갖는 IoT 기기(100), 사용자의 모바일 기기에 설치되는 사용자 앱(200), 인증 서버(300), 식권 관리 서버(400)를 포함할 수 있다. 도 14의 설명 과정에서 앞선 도 13에서와 중복될 수 있는 내용에 관한 설명은 생략하기로 한다.FIG. 14 is a diagram of a second embodiment for explaining a method and a system for issuing a meal ticket in a mobile payment system when an IoT device is installed in a store. The meal ticket issuing system of FIG. 14 may include an IoT device 100 having a beacon signal transmission function, a user app 200 installed on a user's mobile device, an authentication server 300, and a meal ticket management server 400. . In the description process of FIG. 14, descriptions of contents that may overlap with those of FIG. 13 will be omitted.
도 14를 참조할 때, IoT 기기(100)는 기기 자체의 진위 여부를 증명하기 위한 기기 인증 OTP(도 14의 IoT OTP 참조)를 생성하고[도 14의 S800 참조], 비콘 ID와 생성한 기기 인증 OTP를 비콘 메시지에 실어 외부로 브로드캐스팅할 수 있다[도 14의 S802 참조].Referring to FIG. 14, the IoT device 100 generates a device authentication OTP (see IoT OTP in FIG. 14) for verifying the authenticity of the device itself (see S800 in FIG. 14), and a beacon ID and the generated device. The authentication OTP may be carried in the beacon message and broadcasted to the outside (see S802 of FIG. 14).
사용자 앱(200)이 구동됨에 따라[도 14의 S804 참조], 사용자 앱(200)은 비콘 신호를 수신할 수 있고[도 14의 S806 참조], 이에 따라 사용자 또는 해당 앱의 진위 여부를 증명하기 위한 사용자 OTP를 생성할 수 있다[도 14의 S808 참조].As the user app 200 is driven [see S804 of FIG. 14], the user app 200 can receive a beacon signal [see S806 of FIG. 14], thereby proving the authenticity of the user or the app. Create a user OTP (see S808 in FIG. 14).
또한 이때, 사용자 앱(200)은 해당 사용자에 의한 식권 사용 시도 횟수를 확인하기 위한 일종의 일련번호 정보(본 예에서는 UUID로 표현함)를 생성할 수 있다[도 14의 S809 참조]. 비콘 신호는 브로드캐스팅되는 것으로서 해당 정보가 해커에 의해 탈취될 수도 있고, 또한 사용자 OTP 또한 해커에 의해 탈취되는 경우, 해당 OTP의 유효 시간 내에서 해커에 의해 중복되어 식권이 사용될 수 있는 가능성도 존재한다. 따라서, 도 14의 실시예에서는 식권 사용 시도 횟수를 확인할 수 있는 정보를 추가 생성하여 이와 같은 문제를 예방하고자 하는 것이다.In addition, at this time, the user app 200 may generate a kind of serial number information (represented by the UUID in this example) for checking the number of attempts to use a meal ticket by the user (see S809 of FIG. 14). Beacon signals are broadcast, so that the information can be hijacked by hackers, and if user OTPs are also hijacked by hackers, there is also the possibility that a meal ticket can be used by a hacker within the valid time of the OTP. . Therefore, in the embodiment of Figure 14 is to prevent this problem by generating additional information that can confirm the number of attempts to use a meal ticket.
이후, 사용자 앱(200)은 식권 관리 서버(400)로 식권 정보를 요청한다[도 14의 S810 참조]. 이때, 사용자 앱(200)은 식권 정보 요청 과정을 통해서 사용자 ID, 자체 생성한 사용자 OTP, Beacon ID, IoT OTP, 자체 생성한 UUID 값을 함께 식권 관리 서버(400)로 전송할 수 있다.Thereafter, the user app 200 requests meal ticket information to the meal ticket management server 400 (see S810 of FIG. 14). In this case, the user app 200 may transmit a user ID, a self-generated user OTP, a beacon ID, an IoT OTP, and a self-generated UUID value together with the meal ticket management server 400 through a request for a meal ticket information.
식권 정보 요청을 수신한 식권 관리 서버(400)는 해당 사용자의 식권 사용 시도 횟수에 관한 UUID 값을 검증하고[도 14의 S812 참조], 해당 UUID 값을 저장한다[도 14의 S814 참조]. 이때, UUID 값의 저장은 사용자 OTP의 유효 시간 동안만 저장될 수 있다. 또한 식권 관리 서버(400)는 인증 서버(300)로 해당 사용자 및 해당 IoT 기기의 검증을 요청한다[도 14의 S816 참조]. 이를 위해, 식권 관리 서버(400)는 도 14의 S816 단계를 통해서, 사용자 앱(200)으로부터 수신한 정보(즉, 사용자 ID, 사용자 OTP, Beacon ID, IoT OTP)를 인증 서버(300)로 전송할 수 있다.The meal ticket management server 400 receiving the meal ticket information request verifies the UUID value of the number of attempts to use the meal ticket of the user (see S812 of FIG. 14), and stores the corresponding UUID value (see S814 of FIG. 14). At this time, the storage of the UUID value may be stored only during the valid time of the user OTP. In addition, the meal ticket management server 400 requests verification of the corresponding user and the corresponding IoT device to the authentication server 300 (see S816 of FIG. 14). To this end, the meal ticket management server 400 transmits the information (that is, user ID, user OTP, Beacon ID, IoT OTP) received from the user app 200 to the authentication server 300 through step S816 of FIG. 14. Can be.
이에 따라, 인증 서버(300)는 수신한 사용자 ID 및 Beacon ID에 따라 해당 사용자 및 해당 IoT 기기를 식별하고, 사전에 공유된 OTP 생성 방식(즉, 앞서 사용자 앱(200)과 IoT 기기(100)에서 OTP를 생성한 각각의 방식과 동일한 방식)을 이용하여 사용자 OTP 및 IoT OTP를 자체 생성할 수 있다. 인증 서버(300)는 자체 생성한 사용자 OTP 및 IoT OTP와 식권 관리 서버(400)로부터 수신한 사용자 OTP 및 IoT OTP 간의 일치 여부를 비교함으로써, 해당 사용자 및 IoT 기기의 진위 여부를 검증할 수 있고[도 14의 S818 참조], 그 검증 결과를 식권 관리 서버(400)로 전송한다[도 14의 S820 참조].Accordingly, the authentication server 300 identifies the user and the corresponding IoT device according to the received user ID and the beacon ID, and generates a shared OTP in advance (that is, the user app 200 and the IoT device 100 previously). In the same manner as in each method for generating an OTP in the) it is possible to create a user OTP and IoT OTP itself. The authentication server 300 may verify the authenticity of the user and the IoT device by comparing the user OTP and IoT OTP generated by the self and the match between the user OTP and IoT OTP received from the meal ticket management server 400 [ Referring to S818 of FIG. 14], the verification result is transmitted to the meal ticket management server 400 (see S820 of FIG. 14).
수신된 검증 결과가 인증 성공인 경우, 식권 관리 서버(400)는 사용자 앱(200)으로 가맹점 정보 및 해당 가맹점이 제공하는 식권 관련 정보(본 예에서는 식권 ID, 식권 정보, 토큰값)를 전송한다[도 14의 S822 참조].When the received verification result is the authentication success, the food stamp management server 400 transmits the merchant information and the food stamp related information (in this example, food stamp ID, food stamp information, token value) provided by the merchant to the user app 200. (See S822 of FIG. 14).
가맹점 정보 및 식권 관련 정보가 수신되면, 사용자 앱(200)은 그 수신된 정보에 기반하여 앱 화면을 통해 식권 정보를 표시할 수 있다[도 14의 S824 참조]. 사용자는 사용자 앱(200)의 화면 상에서 식권을 선택하고[도 14의 S826 참조], IoT 기기(100)에 탭(tap)을 한다[도 14의 S828 참조]. 이때, IoT(100) 기기는 비콘 방식으로 작동하므로, IoT 기기로의 탭은 사용자의 모바일 기기와 IoT 기기 간이 지정된 유효 거리 내에서 이루어질 때에 해당 이벤트가 정상적으로 처리되게 될 것이다.When affiliated store information and meal ticket related information are received, the user app 200 may display the meal ticket information on the app screen based on the received information (see S824 of FIG. 14). The user selects a meal ticket on the screen of the user app 200 (see S826 of FIG. 14), and taps the IoT device 100 (see S828 of FIG. 14). At this time, since the IoT 100 device operates in a beacon manner, the event will be normally processed when the tap to the IoT device is made within a specified effective distance between the user's mobile device and the IoT device.
이후, 사용자 앱(200)은 식권 관리 서버(400)로 식권 사용을 요청한다[도 14의 S830 참조]. 이러한 식권 사용 요청 과정에서 사용자 ID, 식권 ID, 토큰값 등의 정보가 식권 관리 서버(400)로 함께 전송될 수 있다.Thereafter, the user app 200 requests the use of a meal ticket to the meal ticket management server 400 (see S830 of FIG. 14). During the meal ticket use request, information such as a user ID, a meal ticket ID, a token value, and the like may be transmitted to the meal ticket management server 400.
식권 사용 요청이 수신되면, 식권 관리 서버(400)는 수신된 토큰값을 검증하고[도 14의 S832 참조], 검증이 성공한 경우, 식권 사용 내역을 갱신하고[도 14의 S834 참조], 식권 사용 결과를 IoT 기기(100)로 전송하며[도 14의 S836 참조], 식권 사용 내역을 사용자 앱(200)으로 전송할 수 있다[도 14의 S840 참조]. 이때, IoT 기기(100)는 식권 사용이 성공되었음을 알리는 성공 신호를 시각적 또는/및 청각적 방식으로 출력할 수 있다[도 14의 S838 참조].When the meal ticket use request is received, the meal ticket management server 400 verifies the received token value [see S832 of FIG. 14], and if the verification is successful, updates the meal ticket usage history [see S834 of FIG. 14], and uses the meal ticket. The result may be transmitted to the IoT device 100 [see S836 of FIG. 14], and the meal ticket usage history may be transmitted to the user app 200 (see S840 of FIG. 14). In this case, the IoT device 100 may output a success signal indicating that the use of the meal ticket is successful in a visual or / and audio manner (see S838 of FIG. 14).
도 14에서는 S830을 통한 식권 사용 요청 과정에서 S822를 통해 수신한 토큰값이 그대로 식권 관리 서버(400)로 전송되는 방식을 예시하고 있지만, 도 7에서와 같이 식권 OTP를 생성하여 전송하고 식권 OTP를 검증하는 방식이 이용될 수도 있음은 물론이다. 또한 도 14에서는 S832를 통해 토큰값 검증을 식권 관리 서버(400)가 수행하고 있지만, 이 또한 도 7에서와 같이 식권 OTP를 인증 서버(300)에서 검증하는 방식으로 대체할 수도 있을 것이다.Although FIG. 14 illustrates a method in which a token value received through S822 in the process of requesting a meal ticket through S830 is transmitted to the meal ticket management server 400 as it is, a meal ticket OTP is generated and transmitted as shown in FIG. 7. Of course, a verification method may be used. In addition, in FIG. 14, the token value verification is performed by the food stamp management server 400 through S832, but this may also be replaced by a method of verifying the food stamp OTP in the authentication server 300 as shown in FIG.
도 15는 IoT 기기가 상점 내에 설치된 경우의 모바일 결제 시스템에서의 식권 발급 방법 및 시스템을 설명하기 위한 제3 실시예의 도면이다.FIG. 15 is a diagram of a third embodiment for explaining a method and a system for issuing a meal ticket in a mobile payment system when an IoT device is installed in a store.
도 15의 식권 발급 시스템은, NFC 기능을 갖는 IoT 기기(100), 사용자의 모바일 기기에 설치되는 사용자 앱(200), 인증 서버(300), 식권 관리 서버(400)를 포함할 수 있다. 도 15의 설명 과정에서 앞선 도 13 및 도 14에서와 중복될 수 있는 내용에 관한 설명은 생략하기로 한다.The meal ticket issuing system of FIG. 15 may include an IoT device 100 having an NFC function, a user app 200 installed on a user's mobile device, an authentication server 300, and a meal ticket management server 400. In the description process of FIG. 15, descriptions of contents overlapping with those of FIGS. 13 and 14 will be omitted.
도 15를 참조할 때, S900에 따른 IoT OTP의 생성 단계, S902에 따른 앱 구동 단계, S906에 따른 IoT 기기의 탭 단계, S910에 따른 식권 사용 선택 단계, S912에 따른 사용자 OTP의 생성 및 식권 OTP의 생성 단계, S918에 따른 사용자 및 IoT 기기의 검증 요청 단계, S920에 따른 사용자 및 IoT 기기의 검증 단계, S922에 따른 검증 결과 전송 단계, S924에 따른 식권 사용 내역 갱신 단계, S926에 따른 식권 사용 결과 전송 단계, S928에 따른 성공 신호 출력 단계는 본질적으로 전술한 도 13 또는 도 14의 실시예에서와 동일하다.Referring to FIG. 15, a step of generating an IoT OTP according to S900, an app driving step according to S902, a tap step of an IoT device according to S906, a selection step of using a meal ticket according to S910, a generation of a user OTP according to S912, and a meal ticket OTP Generation step, verification request step of user and IoT device according to S918, verification step of user and IoT device according to S920, transmission of verification result according to S922, update of meal ticket usage history according to S924, meal ticket use result according to S926 The transmission signal, the success signal output step according to S928, is essentially the same as in the above-described embodiment of FIG. 13 or FIG.
다만, NFC(Near-Field Communication) 기술은, S908의 NFC 핸드쉐이크 동작을 통해서 기기 간 양방향 통신이 가능하므로, 식권 관련 정보는 IoT 기기(100)로부터 사용자 앱(200)으로 직접 전달될 수 있다. 따라서 식권 관련 정보들은 IoT 기기(100)로부터 직접 전달되어 사용자 앱(200)의 화면을 통해 표시될 수 있고, 이에 따라 사용자는 식권 선택을 할 수 있다. 일 예로, 도 15의 S904 단계는 식권 선택 과정에서 식권 가격을 입력하는 케이스를 예시한 것이다.However, since NFC (Near-Field Communication) technology enables bidirectional communication between devices through the NFC handshake operation of S908, the food stamp-related information may be directly transmitted from the IoT device 100 to the user app 200. Therefore, the food stamp related information may be directly transmitted from the IoT device 100 to be displayed through the screen of the user app 200, and thus the user may select a food stamp. For example, step S904 of FIG. 15 illustrates a case of inputting a meal ticket price in a meal ticket selection process.
또한 NFC 기술을 통한 양방향 통신을 활용하면, 사용자 앱(200)으로부터 IoT 기기(100)로 직접 식권 사용 요청을 진행할 수 있다. 도 15의 S912를 참조할 때, 사용자 앱(200)은 사용자 ID, 사용자 OTP, 식권 가격, 식권 OTP 등을 IoT 기기(100)로 전송하면서 식권 사용 요청하고 있음을 확인할 수 있다. 여기서, 식권 가격은 반드시 별도로 전송될 필요는 없으며, 식권 OTP를 생성하는 Seed 정보로서만 활용될 수도 있음을 물론이다.In addition, by utilizing the two-way communication through the NFC technology, it is possible to proceed with the meal ticket use request directly from the user app 200 to the IoT device (100). Referring to S912 of FIG. 15, the user app 200 may confirm that the user ID, the user OTP, the meal ticket price, the meal ticket OTP, etc. are requested to use the meal ticket while transmitting to the IoT device 100. Here, the meal ticket price is not necessarily transmitted separately, of course, may be used only as Seed information for generating a meal ticket OTP.
본 발명의 실시예에 의할 때, 식권 사용 요청을 수신한 IoT 기기(100)는 식권 관리 서버(400)로 그 식권 사용 요청을 전달한다[도 15의 S916 참조]. 이때, IoT 기기(100)는 기기 인증을 위한 정보(도 15의 S916의 경우, IoT 기기 ID, IoT OTP 참조)를 식권 관리 서버(400)로 함께 전달할 수 있다. 이에 따라, 식권 관리 서버(400)는 사용자 인증, 기기 인증, 식권 인증을 동시에 인증 서버(300)로 요청할 수 있으며[도 15의 S918 참조], 인증 서버(300)는 이에 관한 인증을 수행하고[도 15의 S920 참조], 그 인증 결과를 식권 관리 서버(400)로 전송할 수 있다.According to the embodiment of the present invention, the IoT device 100 that receives the meal ticket use request transmits the meal ticket use request to the meal ticket management server 400 (see S916 of FIG. 15). In this case, the IoT device 100 may transmit information for device authentication (refer to IoT device ID and IoT OTP in the case of S916 of FIG. 15) to the meal ticket management server 400. Accordingly, the meal ticket management server 400 may simultaneously request user authentication, device authentication, and meal ticket authentication to the authentication server 300 (see S918 of FIG. 15), and the authentication server 300 performs authentication on this. 15, the authentication result may be transmitted to the meal ticket management server 400.
상술한 본 발명의 실시예에 따른 모바일 결제 시스템을 위한 인증 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. The authentication method for a mobile payment system according to the embodiment of the present invention described above may be embodied as computer readable codes on a computer readable recording medium. Computer-readable recording media include all kinds of recording media having data stored thereon that can be decrypted by a computer system. For example, there may be a read only memory (ROM), a random access memory (RAM), a magnetic tape, a magnetic disk, a flash memory, an optical data storage device, and the like. The computer readable recording medium can also be distributed over computer systems connected over a computer network, stored and executed as readable code in a distributed fashion.
이상에서는 본 발명의 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 쉽게 이해할 수 있을 것이다.Although the above has been described with reference to embodiments of the present invention, those skilled in the art may variously modify the present invention without departing from the spirit and scope of the present invention as set forth in the claims below. And can be changed easily.

Claims (13)

  1. 인증 시스템으로서,As an authentication system,
    통신 모듈이 탑재되는 IoT(Internet of Things) 기기에 설치되고, 해당 IoT 기기의 인증을 위한 제1 기기 인증 정보를 생성하는 기기 인증 에이전트;A device authentication agent installed in an Internet of Things (IoT) device on which the communication module is mounted and generating first device authentication information for authentication of the corresponding IoT device;
    상기 IoT 기기와 유선 또는 무선 통신을 통해 연결되고, 상기 IoT 기기의 인증을 위한 제2 기기 인증 정보를 생성하는 인증 서버; 및An authentication server connected to the IoT device through wired or wireless communication and generating second device authentication information for authentication of the IoT device; And
    사용자의 모바일 기기에 설치되고, 상기 IoT 기기 및 상기 인증 서버와 무선 통신을 통해 연결되며, 상기 IoT 기기로부터 전송된 상기 제1 기기 인증 정보와 상기 인증 서버로부터 전송된 상기 제2 기기 인증 정보 간의 일치 여부에 따라 상기 IoT 기기 또는 상기 IoT 기기로부터 수신된 것으로 판별되는 메시지의 진위 여부를 검증하는 모바일 에이전트Installed in the user's mobile device, connected via wireless communication with the IoT device and the authentication server, the match between the first device authentication information sent from the IoT device and the second device authentication information sent from the authentication server A mobile agent that verifies the authenticity of the message determined to be received from the IoT device or the IoT device depending on whether
    를 포함하는 인증 시스템.Authentication system comprising a.
  2. 제1항에 있어서,The method of claim 1,
    상기 인증 서버는, 기기 인증 정보의 생성을 위한 시드(Seed) 정보를 생성하고, 상기 시드 정보를 상기 기기 인증 에이전트로 전송하며, 상기 시드 정보와 사전 지정된 알고리즘을 이용하여 상기 제2 기기 인증 정보를 생성하고,The authentication server generates seed information for generating device authentication information, transmits the seed information to the device authentication agent, and transmits the second device authentication information using the seed information and a predetermined algorithm. Create,
    상기 기기 인증 에이전트는, 상기 인증 서버로부터 수신한 시드 정보와 상기 사전 지정된 알고리즘을 이용하여 상기 제1 기기 인증 정보를 생성하는, 인증 시스템.And the device authentication agent generates the first device authentication information by using the seed information received from the authentication server and the predetermined algorithm.
  3. 제1항에 있어서,The method of claim 1,
    상기 기기 인증 에이전트는, 기기 인증 정보의 생성을 위한 시드(Seed) 정보를 생성하고, 상기 시드 정보를 상기 인증 서버로 전송하며, 상기 시드 정보와 사전 지정된 알고리즘을 이용하여 상기 제1 기기 인증 정보를 생성하고,The device authentication agent generates seed information for generating device authentication information, transmits the seed information to the authentication server, and transmits the first device authentication information using the seed information and a predetermined algorithm. Create,
    상기 인증 서버는, 상기 기기 인증 에이전트로부터 수신한 시드 정보와 상기 사전 지정된 알고리즘을 이용하여 상기 제2 기기 인증 정보를 생성하는, 인증 시스템.And the authentication server generates the second device authentication information by using the seed information received from the device authentication agent and the predetermined algorithm.
  4. 제1항에 있어서,The method of claim 1,
    상기 모바일 에이전트는, 기기 인증 정보의 생성을 위한 시드(Seed) 정보를 생성하고, 생성된 시드 정보를 상기 인증 서버로 전송하며,The mobile agent generates seed information for generating device authentication information, and transmits the generated seed information to the authentication server.
    상기 인증 서버는, 상기 모바일 에이전트로부터 수신한 시드 정보와 사전 지정된 알고리즘을 이용하여 상기 제2 기기 인증 정보를 생성하고, 상기 수신한 시드 정보를 상기 기기 인증 에이전트로 전송하며,The authentication server generates the second device authentication information by using the seed information received from the mobile agent and a predetermined algorithm, and transmits the received seed information to the device authentication agent.
    상기 기기 인증 에이전트는, 상기 인증 서버로부터 수신한 시드 정보와 사전 지정된 알고리즘을 이용하여 상기 제1 기기 인증 정보를 생성하는, 인증 시스템.And the device authentication agent generates the first device authentication information by using the seed information received from the authentication server and a predetermined algorithm.
  5. 제1항에 있어서,The method of claim 1,
    상기 통신 모듈은 비콘 통신 모듈이고,The communication module is a beacon communication module,
    상기 기기 인증 에이전트는, 해당 IoT 기기의 식별에 사용 가능한 식별 정보 및 상기 제1 기기 인증 정보를 비콘 메시지에 삽입하여 무선 브로드캐스팅(wireless broadcasting)하는, 인증 시스템.The device authentication agent is wireless broadcasting by inserting identification information usable for identification of the IoT device and the first device authentication information into a beacon message.
  6. 제5항에 있어서,The method of claim 5,
    상기 제1 기기 인증 정보는, 상기 비콘 메시지에서 비콘 고유값인 UUID가 삽입되는 데이터 필드 영역에 뒤따르는 메이저(Major) 필드 및 마이너(Minor) 필드 중 적어도 하나에 삽입되는, 인증 시스템.And the first device authentication information is inserted into at least one of a major field and a minor field following a data field region into which a UUID, which is a beacon unique value, is inserted in the beacon message.
  7. 제6항에 있어서,The method of claim 6,
    상기 제1 기기 인증 정보가 상기 삽입될 데이터 필드 영역의 사이즈를 초과하는 경우, 상기 제1 기기 인증 정보는 해당 데이터 필드 영역의 사이즈를 초과하지 않는 값으로 변환 처리되어 상기 비콘 메시지에 삽입되는, 인증 시스템.When the first device authentication information exceeds the size of the data field area to be inserted, the first device authentication information is converted into a value not exceeding the size of the corresponding data field area and inserted into the beacon message. system.
  8. 제1항에 있어서,The method of claim 1,
    상기 통신 모듈은 NFC(Near-Field Communication) 통신 모듈이고,The communication module is a near-field communication (NFC) communication module,
    상기 기기 인증 에이전트는, NFC 핸드쉐이크(Handshake)를 통해 상기 모바일 에이전트와의 통신 세션이 활성화됨에 따라, 상기 제1 기기 인증 정보를 상기 모바일 에이전트로 전송하는, 인증 시스템.And the device authentication agent transmits the first device authentication information to the mobile agent as a communication session with the mobile agent is activated through an NFC handshake.
  9. 제1항에 있어서,The method of claim 1,
    상기 제1 기기 인증 정보 및 상기 제2 기기 인증 정보가, 연산 조건으로서 시간을 이용하는 타임 OTP(One Time Password) 방식으로 생성되는 경우,When the first device authentication information and the second device authentication information is generated by a time OTP (One Time Password) method using time as an operation condition,
    상기 인증 서버는, 현 시점에 생성된 당기의 제2 기기 인증 정보와 그 이전에 생성했던 전기의 제2 기기 인증 정보를 모두 상기 모바일 에이전트로 전송하고,The authentication server transmits both current second device authentication information and current second device authentication information previously generated to the mobile agent.
    상기 모바일 에이전트는, 상기 제1 기기 인증 정보가 상기 당기 및 전기의 제2 기기 인증 정보 중 어느 하나와 일치하는지 여부를 판별하여 상기 진위 여부를 검증하는, 인증 시스템.And the mobile agent verifies whether the authenticity is true by determining whether the first device authentication information matches any one of the current and second device authentication information.
  10. 제1항에 있어서,The method of claim 1,
    상기 기기 인증 에이전트는, 상기 제1 기기 인증 정보를 상기 인증 서버로 전송하고,The device authentication agent sends the first device authentication information to the authentication server,
    상기 인증 서버는, 상기 기기 인증 에이전트로부터 수신된 제1 기기 인증 정보와 자체 생성한 제2 기기 인증 정보 간의 일치 여부에 따라, 상기 진위 여부를 재차 검증하는, 인증 시스템.And the authentication server verifies the authenticity again according to whether or not the first device authentication information received from the device authentication agent matches the second device authentication information generated by the device.
  11. 제1항에 있어서,The method of claim 1,
    상기 모바일 에이전트는, 사용자 인증을 위한 제1 사용자 인증 정보를 사전 지정된 알고리즘에 따라 생성하고, 해당 사용자의 식별에 활용 가능한 사용자 식별 정보와 상기 제1 사용자 인증 정보를 상기 인증 서버로 전송하고,The mobile agent generates the first user authentication information for user authentication according to a predetermined algorithm, and transmits the user identification information and the first user authentication information available for identification of the user to the authentication server,
    상기 인증 서버는, 상기 모바일 에이전트로부터 수신한 사용자 식별 정보에 상응하여 상기 사전 지정된 알고리즘에 따라 제2 사용자 인증 정보를 자체 생성하고, 상기 수신된 제1 사용자 인증 정보와 상기 자체 생성한 제2 사용자 인증 정보 간의 일치 여부에 따라 해당 사용자의 진위 여부를 검증하며, 해당 사용자의 진위 여부에 관한 검증 결과를 상기 기기 인증 에이전트로 전송하는, 인증 시스템.The authentication server self-generates second user authentication information according to the predetermined algorithm according to the user identification information received from the mobile agent, and receives the received first user authentication information and the self-generated second user authentication. Verifying the authenticity of the user according to whether the information matches, and transmitting a verification result regarding the authenticity of the user to the device authentication agent.
  12. 제11항에 있어서,The method of claim 11,
    상기 인증 서버는, 상기 사용자 인증을 위한 사용자 인증 정보와 사전 지정된 알고리즘을 이용하여 제1 서버 검증 정보를 생성하고, 상기 제1 서버 검증 정보 및 상기 사용자 인증 정보를 상기 기기 인증 에이전트로 전송하며,The authentication server generates first server verification information by using user authentication information for the user authentication and a predetermined algorithm, and transmits the first server verification information and the user authentication information to the device authentication agent.
    상기 기기 인증 에이전트는, 상기 인증 서버로부터 수신된 사용자 인증 정보와 상기 사전 지정된 알고리즘을 이용하여 제2 서버 검증 정보를 생성하고, 상기 인증 서버로부터 수신된 제1 서버 검증 정보와 상기 제2 서버 검증 정보 간의 일치 여부에 따라 상기 인증 서버의 진위 여부에 관한 검증을 수행하는, 인증 시스템.The device authentication agent generates second server verification information by using the user authentication information received from the authentication server and the predetermined algorithm, and the first server verification information and the second server verification information received from the authentication server. And verifying the authenticity of the authentication server according to whether or not there is a match.
  13. 인증 시스템으로서,As an authentication system,
    사용자의 모바일 기기에 설치되고, 사전 지정된 인증 절차를 수행하는 인증 애플케이션 프로그램이 구동됨에 따라, 기기 간 상호 인증에 사용될 인증 정보 생성을 위한 시드(Seed) 정보를 생성하고, 상기 시드 정보 및 사전 지정된 알고리즘을 이용하여 제1 인증 정보를 생성하는 모바일 에이전트;As the authentication application program installed in the user's mobile device and performing a predetermined authentication procedure is driven, seed information for generating authentication information to be used for mutual authentication between devices is generated, and the seed information and the predetermined information are generated. A mobile agent generating first authentication information using an algorithm;
    통신 모듈이 탑재되는 IoT(Internet of Things) 기기에 설치되고, 상기 모바일 에이전트와 무선 통신을 통해 연결되며, 상기 모바일 에이전트로부터 상기 시드 정보를 수신하고, 수신된 시드 정보 및 상기 사전 지정된 알고리즘을 이용하여 제2 인증 정보를 생성하는 기기 인증 에이전트; 및Is installed in the Internet of Things (IoT) device equipped with a communication module, connected to the mobile agent via wireless communication, receiving the seed information from the mobile agent, using the received seed information and the predetermined algorithm A device authentication agent generating second authentication information; And
    상기 모바일 에이전트와 무선 통신을 통해 연결되고, 상기 IoT 기기와 유선 또는 무선 통신을 통해 연결되며, 상기 모바일 에이전트로부터 상기 시드 정보 및 상기 제1 인증 정보를 수신한 경우 상기 수신된 시드 정보 및 상기 사전 지정된 알고리즘을 이용하여 제3 인증 정보를 생성하고, 상기 기기 인증 에이전트로부터 상기 제2 인증 정보를 수신하며, 상기 수신된 제1 인증 정보와 상기 제3 인증 정보 간의 일치 여부 및 상기 수신된 제2 인증 정보와 상기 제3 인증 정보 간의 일치 여부를 중복 검증하는 인증 서버The seed information and the pre-specified information when the seed information and the first authentication information are received from the mobile agent, and the mobile device is connected to the mobile device through a wired or wireless communication. Generate third authentication information by using an algorithm, receive the second authentication information from the device authentication agent, match the received first authentication information with the third authentication information, and receive the received second authentication information Authentication server for double checking whether the third authentication information matches with the third authentication information
    를 포함하는 인증 시스템.Authentication system comprising a.
PCT/KR2017/003740 2016-04-06 2017-04-05 Method and system for authenticating internet of things device by using mobile device WO2017176051A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US15/801,518 US10789591B2 (en) 2016-04-06 2017-11-02 Method and system for authenticating IoT device using mobile device
US17/006,267 US20200394657A1 (en) 2016-04-06 2020-08-28 Method and system for authenticating iot device using mobile device

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20160042552 2016-04-06
KR10-2016-0042552 2016-04-06

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US15/801,518 Continuation-In-Part US10789591B2 (en) 2016-04-06 2017-11-02 Method and system for authenticating IoT device using mobile device

Publications (1)

Publication Number Publication Date
WO2017176051A1 true WO2017176051A1 (en) 2017-10-12

Family

ID=60000609

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2017/003740 WO2017176051A1 (en) 2016-04-06 2017-04-05 Method and system for authenticating internet of things device by using mobile device

Country Status (2)

Country Link
KR (1) KR101801323B1 (en)
WO (1) WO2017176051A1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109756336A (en) * 2017-11-03 2019-05-14 中国移动通信有限公司研究院 A kind of authentication method, V2X computing system and V2X calculate node
CN114124451A (en) * 2021-10-15 2022-03-01 杭州安恒信息技术股份有限公司 Internet of things equipment data processing method and system and computer storage medium
EP4016922A1 (en) 2020-12-17 2022-06-22 Telefónica Cybersecurity & Cloud Tech, S.L.U. A method for providing identity and authentication to a data-generation device and a data-generation device
CN115065703A (en) * 2022-06-17 2022-09-16 京东方科技集团股份有限公司 Internet of things system, authentication and communication method thereof and related equipment
US20240106896A1 (en) * 2022-09-23 2024-03-28 T-Mobile Innovations Llc Iot device one tap activation

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102400580B1 (en) * 2018-01-22 2022-05-23 삼성전자주식회사 Electronic device for performing an authentication of another electronic device and method of operating the same
KR102114113B1 (en) * 2018-06-22 2020-05-22 엔에이치엔 주식회사 User terminals performing short range wireless communication and client server coupled to the same
KR20200000739A (en) * 2018-06-25 2020-01-03 삼성전자주식회사 User terminal device, electronic devie and method for controlling thereof
KR102525654B1 (en) * 2020-02-04 2023-04-25 (주)이스톰 Crossover service authentication method and platform therefor

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100128798A (en) * 2009-05-29 2010-12-08 연세대학교 산학협력단 Point-to-point communication method in a wireless sensor network and methods of driving coordinators and communication devices in the wireless sensor network
KR20150033569A (en) * 2013-09-23 2015-04-01 삼성전자주식회사 Security management method and apparatus in a home network system
KR20150083013A (en) * 2014-01-08 2015-07-16 (주)매직에코 System for internet of things
JP2015133684A (en) * 2014-01-09 2015-07-23 エムエックストラン インコーポレイテッド authentication server, authentication method, and computer program product
KR20150119598A (en) * 2014-04-16 2015-10-26 주식회사 에이에스티소프트 Security system and method for internet of things

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101551148B1 (en) 2015-04-22 2015-09-07 김만이 Method and system for managing history of credit-card payment

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100128798A (en) * 2009-05-29 2010-12-08 연세대학교 산학협력단 Point-to-point communication method in a wireless sensor network and methods of driving coordinators and communication devices in the wireless sensor network
KR20150033569A (en) * 2013-09-23 2015-04-01 삼성전자주식회사 Security management method and apparatus in a home network system
KR20150083013A (en) * 2014-01-08 2015-07-16 (주)매직에코 System for internet of things
JP2015133684A (en) * 2014-01-09 2015-07-23 エムエックストラン インコーポレイテッド authentication server, authentication method, and computer program product
KR20150119598A (en) * 2014-04-16 2015-10-26 주식회사 에이에스티소프트 Security system and method for internet of things

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109756336A (en) * 2017-11-03 2019-05-14 中国移动通信有限公司研究院 A kind of authentication method, V2X computing system and V2X calculate node
CN109756336B (en) * 2017-11-03 2021-09-10 中国移动通信有限公司研究院 Authentication method, V2X computing system and V2X computing node
EP4016922A1 (en) 2020-12-17 2022-06-22 Telefónica Cybersecurity & Cloud Tech, S.L.U. A method for providing identity and authentication to a data-generation device and a data-generation device
CN114124451A (en) * 2021-10-15 2022-03-01 杭州安恒信息技术股份有限公司 Internet of things equipment data processing method and system and computer storage medium
CN114124451B (en) * 2021-10-15 2023-08-22 杭州安恒信息技术股份有限公司 Data processing method and system for Internet of things equipment and computer storage medium
CN115065703A (en) * 2022-06-17 2022-09-16 京东方科技集团股份有限公司 Internet of things system, authentication and communication method thereof and related equipment
US20240106896A1 (en) * 2022-09-23 2024-03-28 T-Mobile Innovations Llc Iot device one tap activation

Also Published As

Publication number Publication date
KR20170114990A (en) 2017-10-16
KR101801323B1 (en) 2017-11-24

Similar Documents

Publication Publication Date Title
WO2017176051A1 (en) Method and system for authenticating internet of things device by using mobile device
WO2014030836A1 (en) Method and system for authenticating transaction request from device
WO2017222183A1 (en) Method for processing transaction approval and card issuer server
WO2017022917A1 (en) Certificate issuing system based on block chain
WO2018208105A1 (en) Blockchain-based method for making payment for internet of things device, and server, service providing terminal, and user electronic wallet using same
WO2015093734A1 (en) System and method for authentication using quick response code
WO2017104899A1 (en) Block chain-based certificate authentication system and authentication method using same
WO2017065389A1 (en) Accredited certificate issuance system based on block chain and accredited certificate issuance method based on block chain using same, and accredited certificate authentication system based on block chain and accredited certificate authentication method based on block chain using same
WO2018008800A1 (en) Accredited certificate authentication system based on blockchain, and accredited certificate authentication method based on blockchain, using same
WO2012128466A1 (en) Method of controlling system and mobile device for processing payment data
WO2016122035A1 (en) Card payment system and payment method for enabling pre-transaction confirmation
WO2019107907A1 (en) Electronic device for controlling electronic payment and method therefor
WO2013168861A1 (en) Payment intermediating system and payment intermediating method
WO2017200291A1 (en) Method and apparatus for payment using beacon
WO2014171680A1 (en) Mobile terminal, security server and payment method thereof
WO2020091525A1 (en) Payment method using biometric authentication and electronic device therefor
WO2022010088A1 (en) Electronic device supporting mobile payment, operating method thereof, and storage medium thereof
WO2017188488A1 (en) Mobile phone prepaid card service system, clone card storage device thereof, and service method
WO2020111499A1 (en) Method, apparatus, and system for transmitting and receiving information by using qr code
WO2013039304A1 (en) Method of registering a membership for an electronic payment, system for same, and apparatus and terminal thereof
WO2015182838A2 (en) Payment service system, device and method for same
WO2020149500A1 (en) Method and apparatus for registering shared key
WO2019177408A1 (en) System and electronic device for performing offline payment by using online authentication
WO2020184815A1 (en) One time password-based mobile automatic payment method and system using same
WO2016182308A1 (en) Non-contact-type mobile payment device using bluetooth communication, payment data processing method of mobile payment device, mobile payment system comprising non-contact-type mobile payment device using bluetooth communication, and recording medium having program recorded thereon

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17779351

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 17779351

Country of ref document: EP

Kind code of ref document: A1