KR100274389B1 - 일회용 패스워드 생성 및 이를 이용한 인증 시스템 - Google Patents

일회용 패스워드 생성 및 이를 이용한 인증 시스템 Download PDF

Info

Publication number
KR100274389B1
KR100274389B1 KR1019970073643A KR19970073643A KR100274389B1 KR 100274389 B1 KR100274389 B1 KR 100274389B1 KR 1019970073643 A KR1019970073643 A KR 1019970073643A KR 19970073643 A KR19970073643 A KR 19970073643A KR 100274389 B1 KR100274389 B1 KR 100274389B1
Authority
KR
South Korea
Prior art keywords
password
time
time password
integrated circuit
generated
Prior art date
Application number
KR1019970073643A
Other languages
English (en)
Other versions
KR19990053930A (ko
Inventor
박현수
Original Assignee
윤종용
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 윤종용, 삼성전자주식회사 filed Critical 윤종용
Priority to KR1019970073643A priority Critical patent/KR100274389B1/ko
Publication of KR19990053930A publication Critical patent/KR19990053930A/ko
Application granted granted Critical
Publication of KR100274389B1 publication Critical patent/KR100274389B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Abstract

본 발명은 전자 화폐의 잔액 및 거래 조회 기능과 일회용 패스워드 발생 기능이 있는 휴대형 단말기와 집적회로 카드를 이용한 일회용 패스워드 생성 및 이를 이용한 인증 시스템에 관한 것이다. 본 발명의 일 특징에 따른 일회용 패스워드 생성 장치의 운영 방법은 소정의 비밀키가 기록된 집적회로 카드가 입력된 경우에 상기 입력된 집적회로 카드에 저장된 데이터에 의거하여 일회용 패스워드를 생성하는 일회용 패스워드 생성 장치의 운영 방법에 있어서, 직전에 생성된 일회용 패스워드를 저장하는 단계; 상기 일회용 패스워드의 표시 명령이 존재하는 지를 판단하는 단계; 상기 일회용 패스워드의 표시 명령이 존재하는 경우에는 상기 일회용 패스워드의 생성 시점부터 표시 명령의 입력 시점까지의 경과 시간을 판단하는 단계; 및 상기 경과 시간이 소정의 기준 시간을 초과하지 않은 경우에는 상기 생성된 패스워드를 표시하고, 상기 경과 시간이 기준 시간을 초과한 경우에는 상기 생성된 패스워드를 표시하지 않는 단계를 구비하여 이루어진다.

Description

일회용 패스워드 생성 및 이를 이용한 인증 시스템
본 발명은 일회용 패스워드 생성 및 이를 이용한 인증 시스템에 관한 것으로, 특히 전자 화폐의 잔액 및 거래 조회 기능과 일회용 패스워드 발생 기능이 있는 휴대형 단말기와 집적회로 카드를 이용한 일회용 패스워드 생성 및 이를 이용한 인증 시스템에 관한 것이다.
컴퓨터와 통신의 발전 및 광범위한 전산망의 보급과 함께 메모리와 연산 기능을 갖는 집적회로(Integrated Circuit;이하, IC라고 함) 카드의 발전으로 다양한 응용 분야가 발생함으로써 사람들에게 많은 편리함을 제공하고 있다. 이러한 IC 카드를 응용한 전자 화폐는 전자 지갑 내의 잔액이나 거래 내역 등을 조회하는 기능을 구비하고 있는 바, 사용자는 이러한 전자 화폐를 이용하여 은행에 직접 가지 않고 자신의 계좌에 있는 돈을 관리할 수 있으며, 이외에도 자신의 집에서 컴퓨터를 이용한 원거리 접속으로 하고자 하는 많은 일을 할 수 있다.
한편, 서비스를 제공하는 은행이나 네트워크 서버 등의 서비스 제공자의 입장에서는 서비스를 원하는 사용자가 정당한 사용자인 지 또는 그가 정말 자신이 주장하는 사용자인 지를 확인하는 것이 필수적이다. 만약 이러한 사용자 인증 시스템이 취약하여 정당한 사용자를 가장한 공격이 성공하게 된다면 개인의 사생활 침해는 물론 정신적 및 물질적으로 엄청난 피해를 가져오게 된다. 특히 사용자가 원거리에서 서비스를 원하는 경우도 있는 바, 이런 경우를 대비하여 서비스 제공자는 사용자를 직접 만나지 않은 상황에서 사용자의 신분을 확실하게 확인할 수 있어야 한다.
사용자의 신분을 확인하는 데에는 그 사용자만이 알고 있는 것, 그 사용자만이 소유하고 있는 것, 그 사용자만의 신체적 특징이나 습관 등 그 사용자 고유의 것이 이용될 수 있다. 이 중에서 가장 기본적이고 일반적인 것은 사용자만이 알고 있는 번호 또는 문자로 이루어진 패스워드(Password)를 이용하는 것이다. 패스워드 방식에서는 서비스를 제공받기 원하는 사용자가 처음에 자신만이 알고 있는 패스워드를 선정하여 서비스 제공자 측에 등록을 하여야 하는데, 이러한 패스워드로는 대개 몇 자리의 숫자나 문자가 사용된다. 이렇게 등록이 된 상태에서 사용자가 신분 인증을 받기를 원하는 경우에는 자신이 기억하고 있는 패스워드를 서비스 제공자에게 전달하게 되는데, 서비스 제공자는 이렇게 전달된 패스워드를 사용자 명의로 등록된 패스워드와 비교하여 사용자 인증을 하게 된다.
한편, 전술한 바와 같이 고정된 패스워드 방식에서는 타인이 사용자의 패스워드를 도용하는 경우에 이를 확인할 수 있는 뾰족한 방안이 없기 때문에 보다 안전한 신분 인증의 방안으로 사용자가 신분 인증을 받고자 할 때마다 다른 패스워드를 사용하도록 된 소위 일회용 패스워드를 이용한 인증 시스템이 제안되어 있다. 이러한 일회용 패스워드 인증 시스템을 사용하여 신분 인증을 하기 위해서는 사용자에게 일회용 패스워드를 생성할 수 있는 단말기(이하, 간단하게 패스워드 단말기라고 한다)가 주어져야 한다. 이 시스템에 따르면 그 사용자만이 알고 있는 패스워드와 그 사용자만이 소유하고 있는 패스워드 단말기가 동시에 갖추어져 있어야만 인증이 가능하기 때문에 보안 수준을 높일 수가 있다.
한편, 패스워드를 사람이 암기하는 대신에 IC 카드에 저장시켜 두고 사용하도록 된 일회용 패스워드 인증 시스템도 제안되어 있다. 이 시스템에서는 사용자가 패스워드 단말기에 IC 카드를 삽입한 상태에서 일회용 패스워드 생성 및 사용자 인증을 위한 데이터를 입력시키면 패스워드 단말기가 일회용 패스워드를 생성하여 자체의 표시부에 표시하게 된다.
그런데, 서비스 제공자 중에는 자동 예금/지급기(Automatic Teller Machine, 이하 ATM이라고 한다)나 현금 지급기(Cash Dispenser, 이하 CD라고 한다)와 같이 패스워드 이외에 또 다른 데이터를 필요로 하는 것도 있는 바, 이러한 서비스 단말기를 이용하는 경우에 사용자는 부득이 일회용 패스워드의 생성을 위해 패스워드 단말기에 삽입하였던 IC 카드를 인출해서 서비스 단말기에 삽입해야 한다. 그러나, 종래의 패스워드 단말기에서는 IC 카드가 인출되는 즉시 표시부에 표시된 패스워드가 지워지기 때문에 사용자는 전술한 바와 같이 생성된 일회용 패스워드를 암기하거나 메모하여 두었다가 이를 키조작 등의 방법으로 서비스 단말기에 입력해야 하는데, 이러한 암기나 메모 과정이 사용자에게 매우 번거롭다는 문제점이 있었다.
한편, 보안 수준을 높이기 위하여 방편으로 시각을 변수로 사용하여 패스워드를 생성하는 패스워드 단말기 시스템도 제안되어 있다. 이러한 시스템에 있어서는 사용자가 인증을 받고자 하는 시점에 패스워드 단말기에서는 자체 시각 정보에 의해 일회용 패스워드를 생성시켜서 서비스 제공자에 제공하게 되고, 서비스 제공자도 역시 자체 시각 정보에 의해 인증용 패스워드를 생성시킨 후에 이렇게 생성된 패스워드를 패스워드 단말기에서 제공된 패스워드와 비교한 결과에 따라 사용자 인증을 수행하게 된다. 그러나, 이러한 시스템에 있어서는 패스워드 단말기와 서비스 제공자 사이의 시간 정보가 정확하게 일치, 즉 동기화되어 있지 않은 경우에는 단말기에서 생성시킨 패스워드와 서비스 제공자가 생성시킨 패스워드가 다르게 되어 사용자 인증에 실패하게 되고, 결과적으로 사용자는 원하는 서비스를 제 때에 받지 못하는 문제점이 있었다. 나아가, 단지 시각 정보만을 변수로 하여 패스워드를 생성하는 종래의 방식에 따르면 패스워드의 해독이 비교적 용이하기 때문에 이를 도용 당할 위험성이 상존한다는 문제점이 있었다.
또한, 패스워드 단말기에 내장된 메모리에 기능 초기화 프로그램을 직접 입력하는 방식에 의해 패스워드 단말기를 초기화시키기 때문에 패스워드 단말기의 등록에 장시간이 소요되고, 이후에 패스워드 단말기에 기능을 추가하는 것이 어렵다고 하는 문제점이 있었다.
본 발명은 전술한 문제점을 해결하기 위하여 창출된 것으로서, 사용자 인증을 위한 일회용 패스워드 이외에 집적회로 카드 내의 다른 사용자 정보를 필요로 하는 서비스 단말기에서 서비스를 제공받고자 할 때 집적회로 카드가 없이도 직전에 생성된 패스워드를 표시할 수 있도록 된 일회용 패스워드 생성 장치 및 그 운영 방법을 제공하는데 그 목적이 있다.
본 발명의 다른 목적은 일회용 패스워드 단말기의 기능 초기화를 용이하게 수행할 수 있도록 된 집적회로 카드 형태의 기능 초기화 카드를 제공하는데 있다.
본 발명의 다른 목적은 시각 정보를 파라미터로 하여 일회용 패스워드를 생성하는 일회용 패스워드 인증 시스템에서 일회용 패스워드에 시각 정보를 포함시킴으로써 패스워드 단말기와 인증 서버 사이의 시간을 동기화시킬 수 있도록 한 일회용 패스워드 인증 시스템의 운영 방법을 제공하는데 있다.
본 발명의 또 다른 목적은 비밀키나 시각 정보 이외에 다른 여러 파라미터를 삽입하여 패스워드를 생성함으로써 일회용 패스워드의 해독 및 도용이 어렵게 한 일회용 패스워드 인증 시스템의 운영 방법을 제공하는데 있다.
본 발명의 일 특징에 따른 일회용 패스워드 생성 장치는 소정의 비밀키가 기록된 집적회로 카드가 입력된 경우에 상기 입력된 집적회로 카드에 저장된 데이터에 의거하여 일회용 패스워드를 생성한 후에 이를 표시부를 통하여 표시하는 일회용 패스워드 생성 장치에 있어서, 직전에 생성된 일회용 패스워드를 저장하는 저장부; 상기 생성된 일회용 패스워드의 표시를 명령하는 키입력부 및 상기 키입력부로부터 상기 일회용 패스워드의 표시 명령이 입력되는 경우에 상기 명령 입력 시점부터 소정의 시간 동안 상기 저장부에 저장된 일회용 패스워드를 상기 표시부를 통하여 표시한 후에 소거하는 패스워드표시 결정부를 구비한 것을 특징으로 한다.
본 발명의 다른 특징에 따른 기능 초기화 카드는 일회용 패스워드 생성 장치에 특정 기능을 가지고 있음을 확인시키기 위한 고유 번호를 저장하고 있는 고유 번호 저장부; 상기 일회용 패스워드 생성 장치에서 암호의 생성에 사용되는 제반 파라미터를 저장하고 있는 파라미터 저장부; 및 상기 일회용 패스워드 생성 장치에 특정 서비스를 제공하는데 필요한 프로그램코드를 저장하는 프로그램코드 저장부를 구비한 집적회로 카드로 이루어져서, 사용자 등록 시에 상기 고유 번호 저장부, 상기 파라미터 저장부 및 상기 프로그램 코드 저장부에 저장된 내용을 다운로드시켜 상기 일회용 패스워드 생성 장치의 기능을 초기화시킨다.
본 발명의 다른 특징에 따른 일회용 패스워드 생성 장치의 운영 방법은 소정의 비밀키가 기록된 집적회로 카드가 입력된 경우에 상기 입력된 집적회로 카드에 저장된 데이터에 의거하여 일회용 패스워드를 생성하는 일회용 패스워드 생성 장치의 운영 방법에 있어서, 직전에 생성된 일회용 패스워드를 저장하는 단계; 상기 일회용 패스워드의 표시 명령이 존재하는 지를 판단하는 단계; 상기 일회용 패스워드의 표시 명령이 존재하는 경우에는 상기 일회용 패스워드의 생성 시점부터 표시 명령의 입력 시점까지의 경과 시간을 판단하는 단계; 및 상기 경과 시간이 소정의 기준 시간을 초과하지 않은 경우에는 상기 생성된 패스워드를 표시하고, 상기 경과 시간이 기준 시간을 초과한 경우에는 상기 생성된 패스워드를 표시하지 않는 단계를 구비한 것을 특징으로 한다.
본 발명의 다른 특징에 따른 일회용 패스워드 인증 시스템의 운영 방법은 일회용 패스워드의 생성에 사용되는 비밀키와 소정의 난수를 저장하고 있는 집적 회로 카드; 내부에 동기용 실시간 회로부를 가지며 상기 집적회로 카드를 입력으로 하여 일회용 패스워드를 생성하는 패스워드 단말기; 및 상기 집적회로 카드에 저장된 값과 동일한 비밀키와 난수, 상기 패스워드 단말기에 동기된 실시간 값을 저장하고 있으며 상기 패스워드 단말기에서 생성된 일회용 패스워드를 인증 하는 인증 서버를 포함하여 이루어진 일회용 패스워드 인증 시스템의 운영 방법에 있어서, 상기 집적회로 카드가 입력된 경우에 최초 입력인 지를 판단하는 단계; 상기 판단 단계에서 최초 입력인 경우에는 상기 집적회로 카드에 저장된 난수를 독출하여 저장한 후에 상기 집적회로 카드에 저장된 난수를 삭제하는 서비스 초기화를 수행하는 단계; 상기 판단 단계에서 최초 입력이 아닌 경우에는 상기 집적회로 카드에서 비밀키를 독출하고, 이렇게 독출된 비밀키와 상기 저장된 난수와 실시간 값을 파라미터로 하여 일회용 패스워드를 생성하는 단계; 및 상기 생성된 패스워드를 상기 인증 서버에 제공하여 검증 받는 단계를 포함하여 이루어진 것을 특징으로 한다.
전술한 구성에서, 암호화에 사용되는 파라미터로는 일회용 패스워드의 생성 회수가 추가로 삽입될 수 있으며, 암호화 기법으로는 대칭키 알고리즘과 해쉬 함수 알고리즘이 사용될 수 있다. 또한 검증용으로 생성된 일회용 패스워드에는 상기 카운터 값과 실시간 값을 삽입함으로써 패스워드 단말기와 인증 서버가 동기화되지 않음으로 인해 발생하는 인증 실패를 감소시킬 수 있다.
도 1은 본 발명에 따른 IC 카드를 이용한 일회용 패스워드 생성 장치의 기능적인 구성을 보인 블록도,
도 2는 도 1에서 패스워드 단말기 내의 패스워드 생성부의 기능적인 구성을 보인 블록도,
도 3은 본 발명에 따른 패스워드 단말기의 기능을 초기화시키는 카드의 기능적인 구성을 보인 블록도,
도 4는 본 발명에서 일회용 패스워드를 생성하기 까지의 전체 과정을 설명하기 위한 플로우차트,
도 5는 도 4에서 IC 카드의 서비스 초기화 과정을 설명하기 위한 플로우차트,
도 6은 도 4에서 일회용 패스워드 생성 과정을 설명하기 위한 플로우차트,
도 7은 본 발명에 따라 생성된 일회용 패스워드의 검증 과정을 설명하기 위한 플로우차트,
도 8은 일회용 패스워드 이외에 다른 사용자 정보도 요구하는 서비스 단말기에서의 인증 방법을 설명하기 위한 플로우차트,
도 9는 도 8에서 생성된 일회용 패스워드를 패스워드 단말기에 표시하는 과정을 설명하기 위한 플로우차트이다.
*** 도면의 주요 부분에 대한 부호의 설명 ***
100: IC 카드, 110: 카드접근키 저장부,
120: 카드접근 검사부, 130: 공개 영역,
140: 비밀 영역, 200: 패스워드 단말기,
202: 카드 입력부, 204: 난수 입력부,
206: 난수 변경부, 208: 카운터 저장부,
210: 카운터 변경부, 212: 키입력부,
214: 표시부, 216: RTC 회로부,
218: 조회부, 220: 패스워드 생성부,
221: 대칭키 암호부, 222: 해쉬 함수부,
223: 자릿수 변환부, 224: 카운터 삽입기,
225: 패스워드 비트열, 226: RTC 삽입기,
227: 자릿수 변환기, 230: 패스워드 저장부,
232: 시간 비교부, 234: 패스워드표시 결정부,
300: 기능 초기화 카드, 310: ID 저장부,
320: 파리미터 저장부, 330: 프로그램 코드 저장부
이하에는 첨부한 도면을 참조하여 본 발명의 양호한 실시예에 따른 일회용 패스워드 생성 및 이를 이용한 인증 시스템에 대하여 상세하게 설명한다.
도 1은 본 발명의 양호한 실시예에 따른 IC 카드를 이용한 일회용 패스워드 생성 장치의 기능적인 구성을 보인 블록도이고, 도 2는 도 1에서 패스워드 단말기 내의 패스워드 생성부의 기능적인 구성을 보인 블록도이고, 도 3은 본 발명에 따른 패스워드 단말기의 기능을 초기화시키는 카드의 기능적인 구성을 보인 블록도이다. 도 1 내지 도 3에 도시한 바와 같이, 본 발명에 따른 IC 카드를 이용한 패스워드 인증 시스템의 전체 구성은 일회용 패스워드를 생성하기 위한 비밀키와 소정의 난수를 저장하고 있는 IC 카드(100), IC 카드(100)를 입력으로 하여 일회용 패스워드를 생성하는 패스워드 단말기(200), 패스워드 단말기(200)의 기능을 초기화시키는 기능 초기화 카드(300) 및 패스워드 단말기(200)에서 생성된 일회용 패스워드를 인증 하는 서비스 제공자(미도시, 이하 시의에 따라 인증 서버 또는 서비스 단말기라고도 한다)로 이루어진다.
IC 카드(100)는 도 1에 도시한 바와 같이 외부의 접근이 허용되는 데이터들, 예를 들어 사용자의 인적 사항 등이 저장된 공개 영역(130), 비밀키를 포함하여 외부의 접근이 제한되는 데이터들이 저장된 비밀 영역(140), 비밀 영역(140)의 접근에 필요한 카드접근키를 저장하는 카드접근키 저장부(110) 및 외부에서 입력되는 카드접근키와 카드접근키 저장부(110)에 저장되어 있는 카드접근키를 비교하여 비밀 영역(140)에의 접근 여부를 결정하는 카드접근 검사부(120)를 구비한다. 전술한 구성에서, IC 카드(100)에는 암호화 과정에서 사용되는 파라미터의 하나인 난수(亂數)와 비밀키 값등이 저장될 수 있는 바, 본 실시예에서는 이러한 난수가 카드접근키 저장부(110)에 저장되는 것으로 하여 설명을 진행한다.
패스워드 단말기(200)는 도 1에 도시한 바와 같이 IC 카드(100)를 받아 들이는 인터페이스를 수행하며 IC 카드(100)가 최초로 입력된 카드인 지를 판별하는 카드 입력부(202), 패스워드 단말기(200)에 구비된 각종 기능을 선택하고 지시하는데 사용되는 키입력부(212), IC 카드(100)가 최초로 카드 입력부(202)에 삽입될 때 IC 카드(100)에 저장된 난수를 독출하여 저장하는 난수 저장부(204), IC 카드(100)의 비밀키와 난수 저장부(204)에 저장된 난수와 인증 서버 사이의 동기를 맞추기 위한 카운터 값을 저장하는 카운터 저장부(208), 패스워드 단말기(200)와 인증 서버 사이의 동기를 맞추기 위한 또 다른 동기화 요소인 실시간(real time) 값을 저장하는 RTC(Real Time Clock) 회로부(216), 일회용 패스워드를 생성하는 패스워드 생성부(220), 패스워드 생성부(220)에서 일회용 패스워드가 생성된 후에 난수 저장부(204)에 저장된 난수를 소정의 값으로 변경시켜서 난수 저장부(204)에 저장시키는 난수 변경부(206), 패스워드 생성부(220)에서 일회용 패스워드가 생성된 후에 카운터 저장부(208)에 저장된 카운터 값을 소정의 값으로 변경시키는 카운터 변경부(210) 및 생성된 패스워드를 디스플레이 하는 표시부(214)를 구비한다. 전술한 구성에서, 카운터 값은 예를 들어 일회용 패스워드의 생성 회수로 될 수 있고, 난수 값은 상기 카운터 값을 파라미터로 하여 변경될 수 있다. 표시부(214)는 LCD로 구현함이 바람직하고, 조회부(218)는 IC 카드(100)가 전자 지갑으로 사용되는 경우 등에 전자 지갑의 잔액 및 거래 내역을 조회하기 위한 용도로 주어질 수 있다.
한편, 패스워드 생성부(220)는 도 2에 도시한 바와 같이 IC 카드(100)의 비밀키와 난수 저장부(204), 카운터 저장부(208) 및 RTC 회로부(218)로부터의 난수, 카운터 값 및 RTC 값을 독출한 후에 이들을 대칭키 암호알고리즘에 대입하여 암호를 생성하는 대칭키 암호부(221), 대칭키 암호부(221)에서 생성된 암호를 일방향 함수인 해쉬 함수(Hash Function)로 변환시켜 역추적을 불가능하게 하는 해쉬 함수부(222) 및 해쉬 함수부(222)를 거쳐서 얻어진 패스워드 비트열에 인증 서버와의 동기화를 위한 각종 파라미터를 삽입하여 얻어진 일회용 패스워드를 사용자가 읽기 쉬운 소정의 자리수로 변환하는 자릿수 변환부(223)로 이루어진다. 이러한 자릿수 변환부(223)는 또한 해쉬 함수부(222)를 거쳐서 얻어진 패스워드 비트열(225)에 카운터 저장부(208)의 카운터 값을 삽입하는 카운터 삽입기(224)와 RTC 회로부(216)의 RTC 값을 삽입하는 RTC 삽입기(226) 및 이렇게 하여 얻어진 일회용 패스워드를 사용자가 읽기 쉬운 소정의 자리수로 변환하는 자릿수 변환기(227)로 구성된다. 이때 삽입된 카운터 값 및 RTC 값은 이후 인증 서버가 패스워드를 인증하는 과정에서 패스워드 단말기와의 사이에 동기가 맞지 않는 경우에 패스워드로부터 이들을 추출하여 동기를 맞추는데 이용된다.
자릿수 변환기(227)에는 또한 적어도 하나 이상의 일회용 패스워드 생성 알고리즘의 프로토콜을 가리키는 PTS(Protocol Type Selection) 비트열을 삽입할 수 있다.
한편, 생성된 일회용 패스워드 이외에 다른 사용자 정보도 요구하는 서비스 단말기에서의 사용을 위해서는 패스워드 단말기(200)에 후술하는 바와 같은 패스워드 저장부(230), 패스워드표시 결정부(234) 및 시간 비교부(232)를 더 구비시키는 것이 좋다.
기능 초기화 카드(300)는 패스워드 단말기(200)의 기능을 시험 및 초기화하며, 이외에도 특정 기능을 부여하고 임의의 파라미터 값을 제공하는 카드인 바, 적어도 한 장 이상의 IC 카드로 구성될 수 있다. 이러한 기능 초기화 카드(300)는 패스워드 단말기(200)에 자기가 특정 기능을 가지고 있음을 확인시키기 위한 고유 번호(ID)를 저장하고 있는 고유번호 저장부(310), 패스워드 단말기(200)에서 암호의 생성에 사용되는 제반 파라미터를 저장하고 있는 파라미터 저장부(320) 및 패스워드 단말기(200)에 특정 서비스를 제공하는데 필요한 프로그램코드를 저장하는 프로그램코드 저장부(330)로 이루어진다.
이하에는 본 발명에 따른 일회용 패스워드 생성 장치의 동작을 이를 이용한 인증 방법과 함께 상세하게 설명한다.
도 4는 본 발명에서 일회용 패스워드를 생성하기 까지의 전체 과정을 설명하기 위한 플로우차트이고, 도 5는 도 4에서 IC 카드의 서비스 초기화 과정을 설명하기 위한 플로우차트이고, 도 6은 도 4에서 일회용 패스워드 생성 과정을 설명하기 위한 플로우차트인 바, 이러한 일회용 패스워드 생성 방법은 전술한 일회용 패스워드 생성 장치에서 동작할 수 있다. 먼저, 사용자가 등록을 원하는 경우에 본 발명을 채택한 서비스 제공자는 우선적으로 임의의 비밀키와 난수 값을 자체의 인증 서버에 미리 저장시켜 둔 상태에서 IC 카드(100)에 이와 동일한 비밀키와 난수 값을 기록해 둔다. 이 상태에서 미리 준비한 기능 초기화 카드(300)에 의해 패스워드 단말기(200)의 기능을 초기화하고, 이렇게 기능이 초기화된 패스워드 단말기(200)에 IC 카드(100)를 삽입하여 서비스 초기화를 수행한 후에 이렇게 기능 및 서비스가 초기화된 패스워드 단말기(200)와 IC 카드(100)를 사용자에게 제공하게 된다. 이후부터 사용자는 서비스를 받고자 할 때마다 IC 카드(100)와 패스워드 단말기(200)를 사용하여 일회용 패스워드를 생성할 수가 있다.
이를 단계적으로 설명하면, 도 4의 단계(S10)에서 패스워드 단말기(200)는 임의의 카드가 삽입되었는 지의 여부를 카드 입력부(202)를 통하여 확인하게 된다. 단계(S10)에서 임의의 카드가 입력된 경우에는 단계(S20)로 진행하여 입력된 카드가 IC 카드(100)인 지 또는 기능초기화 카드(300)인 지를 판단한다. 단계(S20)에서 기능 초기화 카드(300)가 입력된 경우에 프로그램은 단계(S30)로 진행하여 기능 초기화를 수행한다. 즉, 기능 초기화 카드(300)에는 전술한 바와 같이 고유번호(ID) 저장부(310), 파라미터 저장부(320) 및 프로그램코드 저장부(330)가 구비되어 있는 바, 패스워드 단말기(200)는 우선 기능초기화 카드(300)의 고유번호(ID) 저장부(310)에 저장되어 있는 고유번호(ID)를 확인하여 정당한 기능초기화 카드(300)가 삽입되었는 지를 판단한다. 다음, 정당한 기능 초기화 카드(300)가 삽입된 경우에는 그 파라미터 저장부(320) 및 프로그램코드 저장부(330)에 저장된 내용에 따라 패스워드 단말기(200)에 필요한 각종 파라미터 및 기능을 제공하는 초기화를 수행한다. 이 단계(S30)에서 서비스 제공자와 패스워드 단말기(200) 사이에 RTC 값 및 카운터 값의 동기화가 수행될 수 있다.
단계(S20)에서 삽입된 카드가 정당한 기능 초기화 카드(200)가 아닌 경우에는 미리 정해진 절차에 따른 에러 처리를 행한다.
한편, 단계(S20)에서 삽입된 카드가 IC 카드(100)인 경우에는 기능 초기화가 이미 완료된 상태라고 판단하고, 단계(S40)로 진행하여 최초 입력인 지의 여부를 판단하게 된다. 단계(S40)에서 IC 카드(100)가 최초 입력된 경우에는 단계(S50)로 진행하여 서비스 초기화 과정을 수행한다. 이러한 서비스 초기화 과정을 좀 더 상세하게 설명하면 도 5의 단계(S510)에서는 IC 카드(100)의 카드 접근키 저장부(120)로부터 카드 접근키 및 난수를 독출하여 난수 저장부(204)에 저장하고, 단계(S520)에서는 IC 카드(100)에 저장된 카드 접근키 및 난수를 삭제하게 된다.
한편, 단계(S40)에서 최초 입력이 아닌 경우, 즉 이미 IC 카드(100) 및 패스워드 단말기(200)의 서비스 초기화가 수행된 경우에는 일회용 패스워드를 생성하고자 하는 것으로 판단하고, 단계(S60)로 진행하여 일회용 패스워드를 생성한 후에 프로그램을 종료한다.
일회용 패스워드의 생성 과정은 도 6에 도시한 바와 같이, 단계(S610)에서는 IC 카드(100)에 저장된 비밀키와 자체의 난수 저장부(204), 카운터 저장부(208) 및 RTC 회로부(216)에서 난수, 카운터 값 및 RTC 값을 각각 읽어 들인다. 다음, 단계(S620)에서는 이렇게 읽어 들인 비밀키, 난수, 카운터 값 및 RTC 값을 입력으로 하여 대칭키 알고리즘을 수행하는데, 이러한 대칭키 알고리즘은 당업계에서는 이미 잘 알려진 기술이므로 상세한 설명은 생략한다. 다음으로, 단계(S630)에서는 이러한 대칭키 알고리즘의 출력을 입력으로 하여 해쉬 함수를 수행하는데, 이 단계(S630)는 생성된 패스워드의 역추적을 불가능하게 하기 위해 주어진다. 다음, 단계(S640)에서는 난수 변경부(206) 및 카운터 변경부(210)에 의해 현재의 난수와 카운터 값을 다른 값으로 변경시켜서 난수 저장부(204) 및 카운터 저장부(208)에 각각 저장하는데, 이 단계(S640)는 다음 번에 변경된 패스워드를 생성하기 위하여 필요하다. 또한, 이 단계(S640)에서의 난수 값의 변경은 카운터 값을 변수로 하여 수행될 수 있다.
다음으로 단계(S650)에서는 해쉬 함수의 출력에 카운터 값과 RTC 값을 삽입한 후에 사용자가 읽기 쉬운 자리수로 변경시킨다. 단계(S650)에서는 또한 하나 이상의 일회용 패스워드 생성 알고리즘의 프로토콜을 가리키는 PTS 비트열이 추가로 삽입될 수 있다. 이렇게 변경된 패스워드는 통상적으로 읽기 쉬운 숫자나 문자로 구성되는데, 이후에 패스워드 단말기(200)에 구비된 표시부(214)를 통해 표시되거나 소정의 통신 매체를 통하여 서비스 제공자 측에 검증용으로 제공된다.
도 7은 본 발명에 따라 생성된 일회용 패스워드의 검증 과정을 설명하기 위한 플로우차트로서, 인증 서버가 주체가 되어 검증을 수행한다. 도 7에 도시한 바와 같이, 단계(S700)에서는 통신 매체를 통하여 패스워드 단말기(200)에서 생성된 일회용 패스워드를 수신한다. 다음, 단계(S702)에서는 자체적으로 저장하고 있는 비밀키와 난수, 패스워드 단말기(200)에 미리 동기가 맞추어진 카운터 값 및 또 다른 동기화 파라미터인 RTC 값을 독출한다. 이 단계(S702)에서의 카운터 값은 암호 패스워드 생성 회수로 될 수 있다. 다음, 단계(S704)에서는 이렇게 독출된 비밀키, 난수, 카운터 값 및 RTC 값을 입력으로 대칭키 암호알고리즘을 수행하고, 단계(S706)에서는 대칭키 암호알고리즘의 출력을 입력으로 하여 해쉬 함수를 수행한다. 다음 단계(S708)에서는 난수 변경부(206) 및 카운터 변경부(210)에 의해 현재의 난수와 카운터 값을 다른 값으로 변경시켜서 난수 저장부(204) 및 카운터 저장부(208)에 저장하고, 단계(S710)에서는 해쉬 함수의 출력 값을 읽기 쉬운 소정의 자리수로 변경시킨다.
이렇게 하여 검증용 패스워드를 생성한 후에 단계(S712)에서는 이를 단계(S700)에서 수신된 일회용 패스워드와 비교하여 일치하는 지를 판단한다. 단계(S712)에서 상기한 패스워드들이 일치하는 경우에는 단계(S726)로 진행하여 사용자 인증을 하고, 일치하지 않는 경우에는 단계(S714)로 진행하여 수신된 일회용 패스워드에서 카운터 값과 RTC 값만을 추출한다. 다음으로 단계(S716)에서는 현재 인증 서버의 카운터 저장부(미도시)에 저장된 카운터 값과 RTC 회로부(미도시)의 RTC 값을 새로 추출된 값으로 변경하여 자신과 패스워드 단말기(200)의 카운터 값 및 RTC 값을 동기화시킨다. 다음, 단계(S717)에서는 자체적으로 저장하고 있는 비밀키와 난수, 새로이 갱신된 카운터 값 및 RTC 값을 입력으로 대칭키 암호알고리즘을 수행하고, 단계(S718)에서는 대칭키 암호알고리즘의 출력을 입력으로 하여 해쉬 함수를 수행한다. 다음 단계(S719)에서는 현재의 난수 값과 카운터 값을 다른 값으로 변경시켜서 자체의 난수 저장부(미도시) 및 카운터 저장부에 저장하고, 단계(S720)에서는 해쉬 함수의 출력 값을 읽기 쉬운 소정의 자리수로 변경시킨다.
이렇게 하여 검증용 패스워드를 재 생성한 후에 단계(S722)에서는 이를 단계(S700)에서 수신된 일회용 패스워드와 비교하여 일치하는 지를 판단한다. 단계(S722)에서 상기한 패스워드들이 일치하는 경우에는 단계(S726)로 진행하여 사용자 인증을 하고, 이번에도 일치하지 않는 경우에는 단계(S724)로 진행하여 미리 정해진 대로의 에러 처리를 수행한다.
한편, 전술한 방법에 의해 발생된 일회용 패스워드는 ATM이나 CD 또는 전자 상거래용 단말기 등과 같이 사용자 인증을 위한 일회용 패스워드 이외에 IC 카드(100) 내의 다른 사용자 정보를 필요로 하는 서비스 단말기에도 사용될 수 있다.
도 8은 본 발명에 따라 생성된 일회용 패스워드 이외에 다른 사용자 정보도 요구하는 서비스 단말기에서의 인증 방법을 설명하기 위한 플로우차트이고, 도 9는 도 8에서 생성된 일회용 패스워드를 패스워드 단말기에 표시하는 과정을 설명하기 위한 플로우차트이다. 먼저, 단계(S800) 및 단계(S810)에서 사용자는 전술한 바와 같이 IC 카드(100)와 패스워드 단말기(200)를 이용하여 일회용 패스워드를 생성한다. 다음, 단계(S820)에서는 패스워드 단말기(200)에서 IC 카드(100)를 인출시키고, 단계(S830)에서는 이렇게 인출된 IC 카드(100)를 서비스 받기를 원하는 서비스 단말기에 삽입한다. 다음, 단계(S840)에서는 서비스 단말기에 구비된 입력 장치, 예를 들어 기능키를 조작하여 원하는 서비스를 선택한다. 이 후에 서비스 단말기는 삽입된 IC 카드(100)로부터 필요한 사용자 정보를 독출한 후에 일회용 패스워드의 입력을 요구하게 된다. 사용자는 이러한 요구에 응하여 단계(S850)에서 패스워드 단말기(200)의 키 입력부에 구비된 해당 키를 조작하여 단계(S810)에서 생성된 패스워드를 표시부(214)를 통하여 확인 받고, 단계(S860) 및 단계(S870)에서는 이렇게 표시된 패스워드를 서비스 단말기에 구비된 입력 장치, 예를 들어 숫자키를 조작하여 입력함으로써 해당 서비스 단말기에서 사용자 인증을 필하게 된다.
전술한 바와 같은 운영을 위해 패스워드 단말기(200)에는 IC 카드(100)가 없어도 일회용 패스워드를 한시적으로 표시하도록 명령하는 장치가 키 입력부(212)에 구비되어야 하며, 이외에도 직전에 생성한 일회용 패스워드를 저장하는 저장부(230), 직전에 생성된 일회용 패스워드의 표시 여부를 결정하기 위한 패스워드표시 결정부(234) 및 일회용 패스워드의 표시 여부를 결정하는 시간 비교부(232)가 구비되어야 한다. 시간 비교부(232)는 패스워드 단말기(200)가 IC 카드(100) 없이 키입력부(212)의 입력에 의해 직전에 생성된 일회용 패스워드를 표시하는데 있어서의 표시 조건을 판단하기 위하여 주어진다. 즉, 패스워드 단말기(200)가 사용자 입력에 의해 언제라도 직전의 일회용 패스워드를 표시부(214)에 표시하는 경우에는 정당 등록자가 아닌 자에 의해 직전에 생성된 일회용 패스워드가 노출될 염려가 있기 때문에 본 발명에서는 일회용 패스워드의 생성 시점부터 정해진 시간, 예를 들어 10초 또는 20초 동안에만 표시가 가능하도록 하고, 이 시간이 지난 후에는 표시가 되지 않도록 하고 있다. 전술한 구성에서, 표시 명령을 위한 장치를 단순한 온/오프 스위치로 구현한 상태에서 온조작 시에는 패스워드를 표시하고 오프조작 시에는 표시를 삭제하도록 제어 알고리즘을 꾸밀 수 있으며, 이외에도 다양한 방식이 이용될 수 있다.
한편, 전술한 패스워드의 표시를 제어하기 위하여 도 9의 단계(S851)에서 패스워드 단말기(200)는 사용자로부터 패스워드의 표시 명령을 수행하는 키입력을 받는다. 다음, 단계(S852)에서는 패스워드 저장부(230)의 내용을 확인하여 직전에 패스워드가 생성되었는 지를 판단하는데, 단계(S852)에서 직전에 패스워드가 생성된 상태이면 단계(S853)로 진행하여 직전 패스워드로부터 RTC 값을 추출한다. 다음, 단계(S854)에서는 이렇게 추출된 RTC 값과 현재의 RTC 값 사이의 시간을 시간 비교부(232)에 미리 저장된 시간과 비교하여 현재의 시점이 패스워드 표시 기간 내에 있는 지를 판단한다. 즉, 패스워드 생성 시점부터 소정의 시간이 경과하였는 지를 판단한다. 단계(S854)에서 현재의 시점이 패스워드 표시 기간을 경과하지 않은 경우에는 단계(S855)로 진행하여 직전 생성된 패스워드를 표시부(214)를 통하여 표시하고, 경과한 경우에는 패스워드를 표시하지 않게 된다.
본 발명의 IC 카드를 이용한 일회용 패스워드 생성 및 이를 이용한 인증 시스템은 전술한 실시예에 국한되지 않고 본 발명의 기술 사상이 허용하는 범위 내에서 다양하게 변형하여 실시할 수가 있다. 예를 들어, 전술한 실시예에서는 일회용 패스워드 생성 시점과 표시 명령 입력 시점까지의 시간을 소정의 기준값과 비교하여 패스워드의 표시 여부를 결정하였으나, 표시 명령의 입력이 있는 경우에 무조건 표시하게 할 수 있으며, 비밀 번호를 대조하여 표시 여부를 결정하게 할 수도 있다. 또한, 패스워드를 표시하는 경우에도 이를 계속적으로 표시하지 않고, 미리 정해진 시간 동안만 표시한 후에 자동으로 삭제되게 할 수도 있다.
이상에서 설명한 바와 같은 본 발명의 일회용 패스워드 생성 및 이를 이용한 인증 시스템에 따르면, 사용자 인증을 위한 일회용 패스워드 이외에 집적회로 카드 내의 다른 사용자 정보를 필요로 하는 서비스 단말기에서 서비스를 제공받고자 할 때 집적회로 카드가 없이도 직전에 생성된 패스워드를 표시할 수 있도록 함으로써 사용자의 패스워드 암기 및 메모에 따른 불편을 감소시킬 수 있다.
또한, 일회용 패스워드 단말기의 기능 초기화 및 기능의 추가를 용이하게 달성할 수 있으며, 검증용으로 발생된 일회용 패스워드에 시각 정보를 포함시킴으로써 패스워드 단말기와 인증 서버 사이의 시간을 동기화시킬 수 있고, 이에 따라 동기화가 되지 않음으로 인한 인증 실패를 줄일 수 있는 효과가 있다.
또한, 비밀키나 시각 정보 이외에 다른 여러 파라미터를 삽입하여 패스워드를 생성함으로써 일회용 패스워드의 해독 및 도용이 어렵게 하여 보안 수준을 한층 제고시킬 수 있다.

Claims (14)

  1. 소정의 비밀키가 기록된 집적회로 카드가 입력된 경우에 상기 입력된 집적회로 카드에 저장된 데이터에 의거하여 일회용 패스워드를 생성한 후에 이를 표시부를 통하여 표시하는 일회용 패스워드 생성 장치에 있어서,
    직전에 생성된 일회용 패스워드를 저장하는 저장부;
    상기 생성된 일회용 패스워드의 표시를 명령하는 키입력부 및
    상기 키입력부로부터 상기 일회용 패스워드의 표시 명령이 입력되는 경우에 상기 명령 입력 시점부터 소정의 시간 동안 상기 저장부에 저장된 일회용 패스워드를 상기 표시부를 통하여 표시한 후에 소거하는 패스워드표시 결정부를 구비하여 이루어진 것을 특징으로 하는 일회용 패스워드 생성 장치.
  2. 제 1항에 있어서, 상기 장치는 패스워드의 표시 조건의 만족 여부를 판단하는 조건 판단부를 더 구비하고,
    상기 패스워드표시 결정부는 상기 조건 판단부로부터 조건이 만족되었다는 판단이 제공되는 경우에만 상기 표시부를 통하여 일회용 패스워드를 표시하는 것을 특징으로 하는 일회용 패스워드 생성 장치.
  3. 제 2항에 있어서, 상기 조건 판단부는 비밀 번호를 미리 설정 받아 등록시켜 둔 상태에서 표시를 위해 입력된 비밀 번호를 상기 등록된 비밀 번호와 대조하여 표시 조건의 만족 여부를 판단하는 것을 특징으로 하는 일회용 패스워드 생성 장치.
  4. 제 2항에 있어서, 상기 장치는 실시간 값을 측정하는 실시간 회로부 및
    상기 생성된 일회용 패스워드에 상기 실시간 회로부에서 측정된 실시간 비트열을 삽입하는 실시간 비트열 삽입부를 더 구비하고,
    상기 조건 판단부는 상기 일회용 패스워드에서 추출한 일회용 패스워드 생성 시점과 현재 시점 사이의 기간을 미리 정해진 기준 시간과 비교한 결과에 따라 표시 조건의 만족 여부를 판단하는 것을 특징으로 하는 일회용 패스워드 생성 장치.
  5. 일회용 패스워드 생성 장치에 특정 기능을 가지고 있음을 확인시키기 위한 고유 번호를 저장하고 있는 고유 번호 저장부;
    상기 일회용 패스워드 생성 장치에서 암호의 생성에 사용되는 제반 파라미터를 저장하고 있는 파라미터 저장부; 및
    상기 일회용 패스워드 생성 장치에 특정 서비스를 제공하는데 필요한 프로그램코드를 저장하는 프로그램코드 저장부를 구비한 집적회로 카드로 이루어져서, 사용자 등록 시에 상기 고유 번호 저장부, 상기 파라미터 저장부 및 상기 프로그램 코드 저장부에 저장된 내용을 다운로드시켜 상기 일회용 패스워드 생성 장치의 기능을 초기화시키는 기능 초기화 카드.
  6. 소정의 비밀키가 기록된 집적회로 카드가 입력된 경우에 상기 입력된 집적회로 카드에 저장된 데이터에 의거하여 일회용 패스워드를 생성하는 일회용 패스워드 생성 장치의 운영 방법에 있어서,
    직전에 생성된 일회용 패스워드를 저장하는 단계;
    상기 일회용 패스워드의 표시 명령이 존재하는 지를 판단하는 단계;
    상기 일회용 패스워드의 표시 명령이 존재하는 경우에는 상기 일회용 패스워드의 생성 시점부터 표시 명령의 입력 시점까지의 경과 시간을 판단하는 단계; 및
    상기 경과 시간이 소정의 기준 시간을 초과하지 않은 경우에는 상기 생성된 패스워드를 표시하고, 상기 경과 시간이 기준 시간을 초과한 경우에는 상기 생성된 패스워드를 표시하지 않는 단계를 구비한 것을 특징으로 하는 일회용 패스워드 생성 장치의 운영 방법.
  7. 일회용 패스워드의 생성에 사용되는 비밀키와 소정의 난수를 저장하고 있는 집적 회로 카드; 내부에 동기용 실시간 회로부를 가지며 상기 집적회로 카드를 입력으로 하여 일회용 패스워드를 생성하는 패스워드 단말기; 및 상기 집적회로 카드에 저장된 값과 동일한 비밀키와 난수, 상기 패스워드 단말기에 동기된 실시간 값을 저장하고 있으며 상기 패스워드 단말기에서 생성된 일회용 패스워드를 인증하는 인증 서버를 포함하여 이루어진 일회용 패스워드 인증 시스템의 운영 방법에 있어서,
    상기 집적회로 카드가 입력된 경우에 최초 입력인 지를 판단하는 단계;
    상기 판단 단계에서 최초 입력인 경우에는 상기 집적회로 카드에 저장된 난수를 독출하여 저장한 후에 상기 집적회로 카드에 저장된 난수를 삭제하는 서비스 초기화를 수행하는 단계;
    상기 판단 단계에서 최초 입력이 아닌 경우에는 상기 집적회로 카드에서 비밀키를 독출하고, 이렇게 독출된 비밀키와 상기 저장된 난수와 실시간 값을 파라미터로 하여 일회용 패스워드를 생성하는 단계; 및
    상기 생성된 패스워드를 상기 인증 서버에 제공하여 검증 받는 단계를 포함하여 이루어진 것을 특징으로 하는 일회용 패스워드 인증 시스템의 운영 방법.
  8. 제 7항에 있어서, 상기 패스워드 단말기는 최초에 집적회로 카드 형태의 기능 초기화 카드에 저장된 내용을 다운로드받아 초기화되는 것을 특징으로 하는 일회용 패스워드 인증 시스템의 운영 방법.
  9. 제 8항에 있어서, 상기 일회용 패스워드 생성 단계는 상기 집적회로 카드의 비밀키 및 자체에 저장된 난수를 각각 독출하는 단계;
    상기 독출된 비밀키와 난수 및 상기 실시간 값을 입력으로 하여 대칭키 알고리즘을 수행하여 패스워드 비트열을 생성하는 단계; 및
    상기 생성된 패스워드 비트열을 소정의 자리수로 변환하여 검증용의 일회용 패스워드를 생성하는 단계를 포함하여 이루어진 것을 특징으로 하는 일회용 패스워드 인증 시스템의 운영 방법.
  10. 제 9항에 있어서, 상기 검증 단계는 상기 인증 서버가 상기 패스워드 단말기로부터 생성된 일회용 패스워드를 소정의 통신 매체를 통해 수신하는 단계;
    자체적으로 저장하고 있는 비밀키와 난수 및 실시간 값을 독출하는 단계;
    상기 독출된 비밀키와 난수 및 실시간 값을 입력으로 하여 대칭키 알고리즘을 수행하여 패스워드 비트열을 생성하는 단계;
    상기 생성된 패스워드 비트열을 소정의 자리수로 변환하여 대조용의 일회용 패스워드를 생성하는 단계; 및
    상기 수신 단계에서 수신된 검증용의 일회용 패스워드와 자체적으로 생성한 대조용의 일회용 패스워드를 비교하여 일치하는 경우에만 인증을 수행하는 단계를 포함하여 이루어진 것을 특징으로 하는 일회용 패스워드 인증 시스템의 운영 방법.
  11. 제 10항에 있어서, 상기 패스워드 단말기는 일회용 패스워드가 생성될 때마다 생성 회수를 카운트하여 저장하고,
    상기 인증 서버는 상기 인증이 수행될 때마다 인증 회수를 카운트하여 저장하며,
    상기 패스워드 단말기 및 상기 인증 서버에서의 대칭키 알고리즘은 상기 비밀키, 난수 및 실시간 값 이외에 상기 각 카운터 값도 입력에 포함하여 수행되는 것을 특징으로 하는 일회용 패스워드 인증 시스템의 운영 방법.
  12. 제 11항에 있어서,
    상기 패스워드 단말기와 상기 인증 서버에서의 대칭키 암호화 알고리즘 수행 단계 직후에 상기 대칭키 알고리즘에서 출력된 패스워드 비트열을 해쉬 함수에 입력하여 역추적이 불가능한 패스워드 비트열을 얻는 단계를 더 구비한 것을 특징으로 하는 일회용 패스워드 인증 시스템의 운영 방법.
  13. 제 12항에 있어서, 상기 패스워드 단말기가 상기 해쉬 함수를 수행하여 생성된 상기 패스워드 비트열에 상기 인증 서버와의 동기화에 필요한 상기 실시간 비트열 및 상기 카운터 비트열을 삽입하는 단계를 더 구비시키고,
    상기 인증 서버가 상기 인증에 실패한 경우에는 상기 검증용의 일회용 패스워드에 삽입된 상기 실시간 비트열 및 상기 카운터 비트열을 추출하여 이렇게 추출된 값으로 자기의 실시간 값 및 카운터 값을 변경한 후에 상기 패스워드 비트열 생성 단계, 검증용의 패스워드 생성 단계 및 인증 단계를 재 수행하고, 상기 인증의 재수행 시에도 인증에 실패하면 미리 정해진 규정에 따라 에러 처리를 수행하는 것을 특징으로 하는 일회용 패스워드 인증 시스템의 운영 방법.
  14. 제 13항에 있어서, 상기 패스워드 단말기는 상기 검증용의 일회용 패스워드 생성 이후에 다음 번의 일회용 패스워드 생성을 위해 상기 카운터 값을 변경하여 저장하는 단계와 상기 변경된 카운터 값을 파라미터로 하여 기존의 난수를 변경시켜 저장하는 단계를 더 구비하고,
    상기 인증 서버는 상기 대조용의 일회용 패스워드 생성 이후에 다음 번의 일회용 패스워드 생성을 위해 상기 카운터 값을 변경하여 저장하는 단계와 상기 변경된 카운터 값을 파라미터로 하여 기존의 난수를 변경시켜 저장하는 단계를 더 구비한 것을 특징으로 하는 일회용 패스워드 인증 시스템의 운영 방법.
KR1019970073643A 1997-12-24 1997-12-24 일회용 패스워드 생성 및 이를 이용한 인증 시스템 KR100274389B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1019970073643A KR100274389B1 (ko) 1997-12-24 1997-12-24 일회용 패스워드 생성 및 이를 이용한 인증 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1019970073643A KR100274389B1 (ko) 1997-12-24 1997-12-24 일회용 패스워드 생성 및 이를 이용한 인증 시스템

Publications (2)

Publication Number Publication Date
KR19990053930A KR19990053930A (ko) 1999-07-15
KR100274389B1 true KR100274389B1 (ko) 2000-12-15

Family

ID=19528581

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1019970073643A KR100274389B1 (ko) 1997-12-24 1997-12-24 일회용 패스워드 생성 및 이를 이용한 인증 시스템

Country Status (1)

Country Link
KR (1) KR100274389B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030043405A (ko) * 2001-11-28 2003-06-02 주식회사 에스원 카드 재 초기화 시스템 및 그 방법
US7035442B2 (en) 2000-11-01 2006-04-25 Secugen Corporation User authenticating system and method using one-time fingerprint template
KR100796737B1 (ko) 2005-12-07 2008-01-22 주식회사 유비닉스 일회용 비밀번호를 이용하는 인증 시스템 및 인증 방법
CN106504369A (zh) * 2015-09-07 2017-03-15 封楠林 电子密码锁系统及加密方法
US20200177389A1 (en) * 2016-12-15 2020-06-04 Nec Corporation Access token system, information processing apparatus, information processing method, and information processing program

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100350931B1 (ko) * 1999-12-03 2002-08-28 소프트포럼 주식회사 휴대용 카드에서의 일회용 패스워드 생성방법 및 이를기록한 기록매체
KR20000049364A (ko) * 2000-01-08 2000-08-05 김태균 가변 비밀 번호 인식 시스템 및 방법
JP2002353952A (ja) * 2001-05-24 2002-12-06 Sanyo Electric Co Ltd データ端末装置
KR20030022568A (ko) * 2001-09-11 2003-03-17 김명현 임시 아이디 및 패스워드를 생성하고 이를 사용하여 웹사이트에 접속하기 위한 방법 및 시스템

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7035442B2 (en) 2000-11-01 2006-04-25 Secugen Corporation User authenticating system and method using one-time fingerprint template
KR20030043405A (ko) * 2001-11-28 2003-06-02 주식회사 에스원 카드 재 초기화 시스템 및 그 방법
KR100796737B1 (ko) 2005-12-07 2008-01-22 주식회사 유비닉스 일회용 비밀번호를 이용하는 인증 시스템 및 인증 방법
CN106504369A (zh) * 2015-09-07 2017-03-15 封楠林 电子密码锁系统及加密方法
US20200177389A1 (en) * 2016-12-15 2020-06-04 Nec Corporation Access token system, information processing apparatus, information processing method, and information processing program
US11895240B2 (en) * 2016-12-15 2024-02-06 Nec Corporation System, apparatus, method and program for preventing illegal distribution of an access token

Also Published As

Publication number Publication date
KR19990053930A (ko) 1999-07-15

Similar Documents

Publication Publication Date Title
US6067621A (en) User authentication system for authenticating an authorized user of an IC card
US9240891B2 (en) Hybrid authentication
US5937068A (en) System and method for user authentication employing dynamic encryption variables
US6259909B1 (en) Method for securing access to a remote system
CN1326354C (zh) 利用瞬时模数的密码验证
US20040172536A1 (en) Method for authentication between a portable telecommunication object and a public access terminal
US20030152254A1 (en) User authenticating system and method using one-time fingerprint template
JP5303407B2 (ja) 生体認証システム、携帯端末、半導体素子、および情報処理サーバ
JP2002259344A (ja) ワンタイムパスワード認証システム及び携帯電話及びユーザ認証サーバ
JPH0675251B2 (ja) 伝送路を介して外部媒体に接続された携帯可能物体を外部媒体によって認証する方法、及び該方法を実施するシステム
KR100274389B1 (ko) 일회용 패스워드 생성 및 이를 이용한 인증 시스템
KR20050053967A (ko) 시간 동기 기반 일회용 비밀번호를 이용한 인증시스템 및인증방법
JPH10269182A (ja) 利用者認証方法および利用者認証システム
JP3669496B2 (ja) 個人認証情報出力装置
JP3966070B2 (ja) 機器制御システム及び携帯端末
KR100517290B1 (ko) N-차원 정보를 이용한 정보 전송 시스템 및 전송 방법.
KR20040095316A (ko) 디지털 통신시스템에서 사용자 인증을 위한 방법 및 시스템
KR20110005614A (ko) 위치 기반 무선 오티피 제공 방법 및 시스템과 이를 위한 무선단말 및 기록매체
US20020073345A1 (en) Secure indentification method and apparatus
CN101179373A (zh) 可视智能密码钥匙
KR100670784B1 (ko) 인증용 스마트 카드를 통하여 usim 카드가 장착된휴대용 단말기를 인증하는 방법 및 장치
KR0170165B1 (ko) 스마트 카드를 이용한 홈 뱅킹 단말장치 및 그의 운용방법
JP5432735B2 (ja) 情報処理システム
US20230086015A1 (en) Ic card asymmetric labelling system and ic card built-in password input system
KR20040087663A (ko) 이동통신 단말기의 지문인식을 이용한 전자결재 시스템 및그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20080804

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee