KR100657577B1 - 사용자정보집합을 이용한 인증 시스템 및 방법 - Google Patents

사용자정보집합을 이용한 인증 시스템 및 방법 Download PDF

Info

Publication number
KR100657577B1
KR100657577B1 KR1020050076477A KR20050076477A KR100657577B1 KR 100657577 B1 KR100657577 B1 KR 100657577B1 KR 1020050076477 A KR1020050076477 A KR 1020050076477A KR 20050076477 A KR20050076477 A KR 20050076477A KR 100657577 B1 KR100657577 B1 KR 100657577B1
Authority
KR
South Korea
Prior art keywords
information
user
authentication
local
trai
Prior art date
Application number
KR1020050076477A
Other languages
English (en)
Inventor
손영석
Original Assignee
손영석
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 손영석 filed Critical 손영석
Priority to KR1020050076477A priority Critical patent/KR100657577B1/ko
Application granted granted Critical
Publication of KR100657577B1 publication Critical patent/KR100657577B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

본 발명은 지문, 홍체 등의 생체정보를 이용하여 정당한 사용자인지 여부를 판단할 수 있는 시스템 및 방법에 관한 것이다.
본 발명에 따른 사용자정보집합을 이용한 사용자 인증 시스템은, 각각 생체정보 또는 키보드값의 조합으로 이루어진 로컬인증정보(LAI)와 상기 로컬인증정보(LAI)에 연계된 거래등록인증정보(TRAI)를 갖는 기본 클라이언트 정보(BCI), 및 복수의 계층 정보로 이루어지고 각 계층정보는 생체정보 또는 키보드값의 조합으로 이루어진 암호화 변수 정보가 저장된 기록 매체; 상기 기록매체로부터 상기 기본 클라이언트 정보(BCI) 및 암호화 변수 정보를 제공받고, 사용자로부터 입력되는 입력정보가 상기 로컬인증정보(LAI)를 이용하여 미리 정한 로컬 패스워드와 서로 일치하면 로컬 인증을 수행하고, 상기 로컬패스워드에 연계된 거래등록인증정보(TRAI)를 상기 암호화 변수 정보를 이용하여 암호화하는 클라이언트 시스템; 및 유선 또는 무선 통신망을 통하여 상기 클라이언트 시스템과 연결되고, 상기 거래등록인증정보(TRAI)를 조합하여 미리 정한 사용자 인증정보를 유지하는 서버 시스템을 포함하고, 상기 서버 시스템은 상기 클라이언트 시스템으로부터 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보를 이용하여 암호화된 거래등록인증정보(TRAI)를 수신하여, 상기 수신된 거래등록인증정보(TRAI)가 상기 미리 정한 사용자 인증정보와 일치하면 상기 사용자를 정당한 사용자로 인증하는 것을 특징으로 한다.
사용자 인증, 생체 정보, 난수 정보, 암호화 변수

Description

사용자정보집합을 이용한 인증 시스템 및 방법{SYSTEM AND METHOD FOR AUTHORIZATION USING CLIENT INFORMATION ASSEMBLY}
도 1은 본 발명의 실시예에 따른 사용자정보집합을 이용한 사용자 인증 시스템의 구성도.
도 2는 본 발명의 실시예에 따른 사용자정보집합을 갖는 데이터 구조를 나타내는 도면.
도 3은 본 발명의 실시예에 따른 클라이언트 식별정보(CI)의 구조를 나타내는 도면.
도 4는 본 발명의 실시예에 따른 기본 클라이언트 식별정보(BCI)의 구조를 나타내는 도면.
도 5는 본 발명의 실시예에 따른 부가 로컬 인증 정보(ALAI)의 구조를 나타내는 도면.
도 6은 본 발명의 실시예에 따른 암호화 변수 정보의 구조를 나타내는 도면.
도 7은 본 발명의 실시예에 따른 클라이언트 시스템의 세부 구성도.
도 8은 본 발명의 실시예에 따른 사용자정보집합을 이용한 사용자 인증 과정을 나타내는 도면.
본 발명은 유/무선 통신망 상에서의 사용자 인증 기술에 관한 것으로, 특히 지문, 홍체 등의 생체정보 또는 키보드 조합 정보를 이용하여 정당한 사용자인지 여부를 판단할 수 있는 시스템 및 방법에 관한 것이다.
최근 유/무선 통신망을 통한 금융결제 또는 인터넷을 이용한 전자상거래가 널리 이루어지고 있다. 종래에 위와 같은 유/무선 통신망을 통한 금융결제 사용자는 미리 금융기관으로부터 사용자의 고유정보가 기록된 카드를 발급받고, 본인 사용 여부를 확인하기 위하여 숫자로 이루어진 패스워드를 부여받는다. 또한 인터넷을 통한 전자상거래에 있어서는, 전자상거래를 운영하는 쇼핑몰 및 가맹점 등에서는 회원인 고객을 관리하기 위하여 회원에게 고유한 아이디(ID)와, 숫자 또는 문자로 이루어진 패스워드(PW)를 부여하고, 이를 통하여 정당한 사용자에 의한 접속인지 여부를 확인한다. 그러나 위와 같은 종래의 아이디(ID) 및 패스워드(PW)를 사용하여 본인 사용여부를 확인하는 방법에 따르면, 사용자가 카드를 도난당하거나, 아이디(ID) 및 패스워드(PW)를 타인이 도용하여 부당한 이익을 얻을 수 있고, 또한 상기 아이디(ID) 및 패스워드(PW)는 일반적으로 사용자의 신상정보를 이용하여 만들게 되므로, 제3자가 타인의 아이디(ID) 및 패스워드(PW)를 쉽게 유추하여 도용할 수 있는 문제가 있다.
이와 같은 종래의 단순한 아이디(ID) 및 패스워드(PW)를 이용한 사용자 인증 방법의 문제를 해결하기 위하여, 지문, 음성 또는 홍채 정보 등과 같은 사용자의 생체정보를 이용한 사용자 인증 방법이 개발되었다. 현재 이러한 생체 정보를 이용한 인증 방법은 통신망을 통한 사용자 인증뿐만 아니라, 출입문 잠금장치 개폐 또는 개인 전자 장치의 사용자 권한 확인 등에 널리 활용되고 있다.
대한민국 공개특허 제2001-16395호에는 인터넷을 기반으로 하는 지문을 이용한 회원관리 시스템 및 방법이 개시되어 있다. 또한 대한민국 공개특허 제2001-95788호에는 지문 및 음성 등과 같은 사용자 고유의 생체적 특징의 패턴을 이용하여 사용자를 인증하는 휴대용 보안 인증 장치 및 방법이 개시되어 있다.
그러나 종래의 생체정보를 이용하여 정당한 사용자인지 여부를 인증하는 방법의 경우에도, 만약 인증센터 또는 인증장치 등에 구비된 생체정보가 유출되면 타인에 의하여 악용될 문제가 있으며, 기존에 사용하던 인증 시스템을 새로이 변경하는데 많은 시간과 비용이 소요되는 문제가 있다. 또한 기존의 생체인식방식은 사용자가 2회 이상 입력한 생체인식정보의 공통적인 특징 정보를 추출하여, 사용자의 생체인식정보를 인증센터 DB에 등록하고, 사용자가 입력한 생체인식정보와 상기 인증센터 DB에 등록된 인증정보가 일정수준 이상 일치할 경우, 사용자 인증을 성공적으로 처리하는 관계로, 사용자 본인이 입력한 생체인식정보가 인증센터로 전송되었음에도 불구하고 인증 실패 처리될 확률이 존재하는 문제점이 있다. 즉, 인증센터 DB에 등록된 생체인식정보와 사용자가 입력한 생체인식정보의 일치정도를 비교하는 수준을 높게 설정하면, 제3자가 입력한 생체인식정보에 대하여 인증 성공처리할 확률은 낮아지는 반면에 사용자 본인이 직접 입력한 생체인식정보에 대한 인증실패 처리확률이 증가하고, 상기 일치정도를 비교하는 수준을 낮게 설정하면, 사용자 본인이 직접 입력한 생체인식정보에 대한 인증실패 처리확률은 낮아지는 반면에 제3자가 입력한 생체인식정보에 대한 인증성공 처리확률이 증가하게되는 문제점이 있다. 이는 사용자가 생체인식정보를 입력할 때마다, 온도, 습도, 접촉면, 접촉각도 등의 생체인식 환경 변화에 기인하는 것으로, 이러한 생체인식기술을 지문인식도어락과 같은 로컬시스템이 아닌 인터넷뱅킹과 같은 네트워크 시스템에 적용할 경우 발생 가능한 문제점이 다수 존재한다. 뿐만 아니라 생체인식 정보를 이용할 경우에도 제3자에 의한 강압 또는 강탈로 인하여 사용자의 생체인식정보가 강제로 입력되는 경우 발생되는 문제점도 존재한다.
상기와 같은 문제점을 해소하기 위한 본 발명의 목적은 지문 또는 홍채와 같은 생체 정보 또는 키보드 조합 정보를 이용하여 사용자에 대한 인증을 수행하면서도, 상기 생체 정보의 유출을 방지하고 비인가자에 의한 접근을 차단하여 높은 보안성을 제공할 수 있는 사용자 인증 시스템 및 방법을 제공함에 있다.
상기 목적을 달성하기 위한 본 발명에 따른 사용자정보집합을 이용한 사용자 인증 시스템은, 각각 생체정보 또는 키보드값의 조합으로 이루어진 로컬인증정보(LAI)와 상기 로컬인증정보(LAI)에 연계된 거래등록인증정보(TRAI)를 갖는 기본 클 라이언트 정보(BCI), 및 복수의 계층 정보로 이루어지고 각 계층정보는 생체정보 또는 키보드값의 조합으로 이루어진 암호화 변수 정보가 저장된 기록 매체; 상기 기록매체로부터 상기 기본 클라이언트 정보(BCI) 및 암호화 변수 정보를 제공받고, 사용자로부터 입력되는 입력정보가 상기 로컬인증정보(LAI)를 이용하여 미리 정한 로컬 패스워드와 서로 일치하면 로컬 인증을 수행하고, 상기 로컬패스워드에 연계된 거래등록인증정보(TRAI)를 상기 암호화 변수 정보를 이용하여 암호화하는 클라이언트 시스템; 및 유선 또는 무선 통신망을 통하여 상기 클라이언트 시스템과 연결되고, 상기 거래등록인증정보(TRAI)를 조합하여 미리 정한 사용자 인증정보를 유지하는 서버 시스템을 포함하고, 상기 서버 시스템은 상기 클라이언트 시스템으로부터 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보를 이용하여 암호화된 거래등록인증정보(TRAI)를 수신하여, 상기 수신된 거래등록인증정보(TRAI)가 상기 미리 정한 사용자 인증정보와 일치하면 상기 사용자를 정당한 사용자로 인증하는 것을 특징으로 한다.
또한, 상기 서버 시스템은, 상기 사용자정보집합 및 상기 미리 정한 사용자 인증정보를 유지하고, 상기 사용자정보집합을 이용하여 상기 사용자 인증정보를 암호화하는 암호화 서버; 및 상기 클라이언트 시스템으로부터 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보를 이용하여 암호화된 거래등록인증정보(TRAI)를 수신하고, 상기 암호화 서버로부터 암호화된 사용자 인증정보를 수신하여, 상기 클라이언트 시스템으로부터 수신된 거래등록인증정보(TRAI)가 상기 미리 정한 사용자 인증정보와 일치하면 상기 사용자를 정당한 사용자로 인증하는 인증 서버를 포함하는 것이 바람직하다.
또한, 상기 기본 클라이언트 정보(BCI)는, 상기 로컬 인증 정보(LAI)의 상위 계층에 연계되어, 사용자 본인 또는 위임인에 대한 2차 이상의 로컬 인증 정보를 구성하기 위한 제1 로컬 인증 정보(FLAI)를 더 포함할 수 있다.
또한, 상기 기본 클라이언트 정보(BCI)는, 상기 로컬 인증 정보(LAI)와 상기 거래등록인증정보(TRAI)의 중간 계층에 위치하여, 2차 이상의 로컬 인증 정보를 구성하는 부가 로컬 인증 정보(ALAI)를 더 포함할 수 있다.
또한, 상기 암호화 변수 정보는 난수 정보(SCV) 및 상기 난수 정보(SCV)에 연관된 암호화 변수를 포함하며, 상기 난수 정보(SCV)를 이용하여 생성된 1회용 난수를 상기 클라이언트 시스템과 서버 시스템이 서로 공유하고, 상기 1회용 난수는 상기 암호화 변수에 의하여 암호화되며, 상기 로컬인증정보(LAI)에 연계된 거래등록인증정보(TRAI) 및 상기 미리 정한 사용자 인증정보는 상기 1회용 난수를 이용하여 암호화되는 것이 바람직하다.
또한, 상기 암호화 변수 정보는 난수 정보(SCV) 및 상기 난수 정보(SCV)에 연관된 암호화 변수를 포함하며, 상기 난수 정보(SCV)를 이용하여 생성된 1회용 난 수를 상기 클라이언트 시스템과 서버 시스템이 서로 공유하고, 상기 로컬인증정보(LAI)에 연계된 거래등록인증정보(TRAI) 및 상기 미리 정한 사용자 인증정보는 상기 1회용 난수에 연관된 암호화 변수를 이용하여 암호화되도록 형성될 수 있다.
또한, 상기 클라이언트 시스템은, 상기 클라이언트 시스템과 상기 서버 시스템 간에 송수신되는 정보에, 상기 기본 클라이언트 정보(BCI) 또는 상기 암호화 변수 정보에 존재하지 않은 정보가 포함된 경우에는 사용자에게 경고 메시지를 제공하는 것이 바람직하다.
또한, 상기 서버 시스템은 사용자에게 피싱 사이트를 식별하기 위한 정보로 별도의 아이디를 추가로 설정하도록 요청하는 것이 바람직하다.
또한, 상기 클라이언트 시스템은, 상기 사용자에 의하여 클라이언트 시스템에 입력되는 입력정보가 미리 정한 비정상 코드인 경우에는, 상기 통신망을 통하여 연결된 경비센터로 비정상거래임을 통보하는 것이 바람직하다.
또한, 상기 클라이언트 시스템은, 상기 클라이언트 시스템에서 복수회의 로컬 인증 절차를 수행하도록 설정된 경우, 1차 로컬 인증을 수행한 후 사용자 인증이 필요한 특정 금융기관이 선택되면, 상기 특정 금융기관에 대하여 할당되고 상기 클라이언트 시스템에 미리 설정된 2차 이상의 로컬 패스워드를 이용하여 상기 2차 이상의 로컬 인증을 수행하도록 형성될 수 있다.
또한, 상기 목적을 달성하기 위한 본 발명에 따른 다른 사용자정보집합을 이용한 사용자 인증 시스템은, 각각 생체정보 또는 키보드값의 조합으로 이루어진 로컬인증정보(LAI)와 상기 로컬인증정보(LAI)에 연계된 거래등록인증정보(TRAI)를 갖는 기본 클라이언트 정보(BCI), 및 복수의 계층 정보로 이루어지고 각 계층정보는 생체정보 또는 키보드값의 조합으로 이루어진 암호화 변수 정보가 저장된 기록 매체; 및 상기 기록매체로부터 상기 기본 클라이언트 정보(BCI) 및 암호화 변수 정보를 제공받고, 사용자로부터 입력되는 입력정보가 상기 로컬인증정보(LAI)를 이용하여 미리 정한 로컬 패스워드와 서로 일치하면 로컬 인증을 수행하고, 상기 로컬패스워드에 연계된 거래등록인증정보(TRAI)를 상기 암호화 변수 정보를 이용하여 암호화하는 클라이언트 시스템을 포함하고, 상기 클라이언트 시스템은, 유선 또는 무선 통신망을 통하여 연결되고 상기 거래등록인증정보(TRAI)를 조합하여 미리 정한 사용자 인증정보를 유지하는 서버 시스템으로, 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보를 이용하여 암호화된 거래등록인증정보(TRAI)를 전송한 후, 상기 서버 시스템에서 상기 전송한 거래등록인증정보(TRAI)가 상기 미리 정한 사용자 인증정보와 일치하면 상기 사용자가 정당한 사용자로서 인증을 획득하는 것을 특징으로 한다.
여기서, 상기 클라이언트 시스템은, 상기 기록매체로부터 상기 사용자정보 집합을 읽어오기 위한 인터페이스부; 상기 클라이언트 시스템의 전반적인 구동 및 사용자 인증을 위한 프로그램이 저장되는 저장부; 로컬 인증 또는 사용자 인증을 위하여 키보드값 또는 생체 정보가 입력되는 입력부; 상기 사용자정보집합을 이용하여 클라이언트 시스템 내부의 로컬 인증 및 상기 서버 시스템과의 사용자 인증절차를 수행하는 제어부; 및 유선 또는 무선 통신망을 통하여 상기 서버 시스템과 소정의 정보를 송수신하는 전송부를 포함하는 것이 바람직하다.
또한, 상기 기록매체는, 스마트 카드 또는 USB 메모리로 구성되는 것이 바람직하다.
또한, 상기 목적을 달성하기 위한 본 발명에 따른 데이터 구조가 저장된 기록 매체는, 생체정보 또는 키보드값의 조합으로 이루어지고, 클라이언트 시스템에서 로컬 사용자 인증을 위한 로컬인증정보(LAI); 상기 로컬인증정보(LAI)에 연계되고 생체정보 또는 키보드값의 조합으로 이루어지며, 서버 시스템에서 사용자 인증을 위한 거래등록인증정보(TRAI); 및 복수 계층의 정보로 이루어지고 각 계층정보는 생체정보 또는 키보드값의 조합으로 이루어지며, 상기 거래등록인증정보(TRAI)로 이루어진 사용자 인증정보를 암호화하기 위한 암호화 변수 정보를 포함하고, 상기 클라이언트 시스템은 사용자로부터 입력되는 입력정보가 상기 로컬인증정보(LAI)를 이용하여 미리 정한 로컬 패스워드와 서로 일치하면 로컬 인증을 수행하고, 상기 서버 시스템은 상기 클라이언트 시스템으로부터 상기 로컬 패스워드에 연 계되고 상기 암호화 변수 정보를 이용하여 암호화된 거래등록인증정보(TRAI)를 수신하여, 상기 수신된 거래등록인증정보(TRAI)가 상기 미리 정한 사용자 인증정보와 일치하면 상기 사용자를 정당한 사용자로 인증하는 것을 특징으로 한다.
또한, 상기 목적을 달성하기 위한 본 발명에 따른 마이크로 프로세서가 탑재된 기록매체는, 각각 생체정보 또는 키보드값의 조합으로 이루어진 로컬인증정보(LAI)와 상기 로컬인증정보(LAI)에 연계된 거래등록인증정보(TRAI)를 갖는 기본 클라이언트 정보(BCI), 및 복수의 계층 정보로 이루어지고 각 계층정보는 생체정보 또는 키보드값의 조합으로 이루어진 암호화 변수 정보가 저장된 저장수단; 및 상기 저장수단으로부터 상기 기본 클라이언트 정보(BCI) 및 암호화 변수 정보를 제공받고, 사용자로부터 입력되는 입력정보가 상기 로컬인증정보(LAI)를 이용하여 미리 정한 로컬 패스워드와 서로 일치하면 로컬 인증을 수행하고, 상기 로컬패스워드에 연계된 거래등록인증정보(TRAI)를 상기 암호화 변수 정보를 이용하여 암호화하는 제어부를 포함하고, 상기 제어부는, 데이터 전송 기능을 갖는 클라이언트 시스템을 통하여, 상기 클라이언트 시스템과 유선 또는 무선 통신망을 통하여 연결되고 상기 거래등록인증정보(TRAI)를 조합하여 미리 정한 사용자 인증정보를 유지하는 서버 시스템으로, 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보를 이용하여 암호화된 거래등록인증정보(TRAI)를 전송한 후, 상기 서버 시스템에서 상기 전송한 거래등록인증정보(TRAI)가 상기 미리 정한 사용자 인증정보와 일치하면 상기 사용자가 정당한 사용자로서 인증을 획득하는 것을 특징으로 한다.
또한, 상기 목적을 달성하기 위한 본 발명에 따른 사용자정보집합을 이용한 사용자 인증 방법은, 클라이언트 시스템이 소정의 기록매체로부터 각각 생체정보 또는 키보드값의 조합으로 이루어진 로컬인증정보(LAI)와 상기 로컬인증정보(LAI)에 연계된 거래등록인증정보(TRAI)를 갖는 기본 클라이언트 정보(BCI), 및 복수의 계층 정보로 이루어지고 각 계층정보는 생체정보 또는 키보드값의 조합으로 이루어진 암호화 변수 정보를 읽어오는 제1 단계; 상기 클라이언트 시스템 또는 서버 시스템에서 상기 암호화 변수 정보를 이용하여 1회용 난수를 생성하는 제2 단계; 상기 생성된 1회용 난수를 상기 클라이언트 시스템 및 상기 서버 시스템이 공유하는 제3 단계; 상기 클라이언트 시스템에 입력되는 입력정보가 상기 로컬인증정보(LAI)를 이용하여 미리 정한 로컬 패스워드와 서로 일치하면 로컬 인증을 수행하고, 상기 로컬 패스워드에 연계된 거래등록인증정보(TRAI)를 상기 암호화 변수 정보를 이용하여 암호화하여 상기 서버 시스템으로 전송하는 제4 단계; 및 상기 서버 시스템은 상기 클라이언트 시스템으로부터 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보를 이용하여 암호화된 거래등록인증정보(TRAI)를 수신하여, 상기 수신된 거래등록인증정보(TRAI)가 미리 정한 사용자 인증정보와 일치하면 상기 사용자를 정당한 사용자로 인증하는 제5 단계를 포함하는 것을 특징으로 한다.
이하 본 발명의 바람직한 실시예의 상세한 설명이 첨부된 도면들을 참조하여 설명될 것이다. 도면들 중 참조번호 및 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 참조번호들 및 부호들로 나타내고 있음에 유의해야 한다. 하기에서 본 발명을 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.
도 1은 본 발명의 실시예에 따른 사용자정보집합을 이용한 사용자 인증 시스템의 구성도이다.
도 1을 참조하면, 본 발명의 실시예에 따른 사용자정보집합을 이용한 사용자 인증 시스템은 사용자정보집합을 저장한 기록매체(10), 클라이언트 시스템(20) 및 서버 시스템(30)을 포함하고, 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)은 유무선 통신망(40)으로 연결된다.
상기 기록매체(10)에는 본 발명에 따른 사용자정보집합(11)이 기록된다. 상기 기록매체(10)는 상기 클라이언트 시스템(10)에 내장된 형태로 구성될 수 있으나, 스마트 카드(Smart Card) 또는 USB(Universal Serial Bus) 메모리를 이용하여 휴대 가능하도록 제작하는 것이 바람직하다.
상기 기록매체(10)에는 도 2와 같은 본 발명에 따른 사용자정보집합(11)이 기록된다. 상기 사용자정보집합(11)은 사용자가 신용카드, 증권거래, 금융계좌개설, 보험거래, 자산관리 등 금융거래를 하고자 하는 경우 및 그 외에 사용자 인증을 목적으로 생성한 정보이다. 상기 사용자정보집합(11)은 사용자가 금융기관 또는 인증센터를 방문하여, 금융기관 또는 인증센터의 관리 및 감독을 통하여 생성할 수 도 있으나, 원격에서 생성한 후 통신망(40)을 통하여 상기 금융기관 또는 인증센터에 제공할 수도 있다. 또한 사용자가 금융기관 또는 인증센터를 방문하여, 금융기관 또는 인증센터의 관리 및 감독을 통하여 생성한 사용자정보집합(11)은 통신망(40)을 이용하여 사용자 또는 사용자가 요청한 인증센터에 제공될 수도 있으나, 스마트 카드(Smart Card) 또는 USB(Universal Serial Bus) 메모리를 이용하여 휴대 가능하도록 제작하여 사용자에게 직접 제공하는 것이 바람직하다.
도 2는 본 발명의 실시예에 따른 사용자정보집합을 갖는 데이터 구조를 나타내는 도면이다. 도 2를 참조하면, 본 발명의 실시예에 따른 사용자정보집합(11)은 클라이언트 식별정보(Client Identification: CI)(12), 기본 클라이언트 정보(Basic Client Information: BCI)(13)와 암호화 변수 정보(14)를 포함한다.
상기 클라이언트 식별정보(CI)(12)는 클라이언트 시스템(20)에 대한 사용 인증 절차를 정의하기 위한 변수 정보이다. 도 3은 본 발명의 실시예에 따른 클라이언트 식별정보(CI)(12)의 세부 구성 정보를 나타내는 도면이다. 도 3을 참조하면, 상기 클라이언트 식별정보(CI)(12)에는 인증정보의 유형에 관한 정보(12a), 인증 실행 절차에 관한 정보(12b), 입력 가능 자리수에 관한 정보(12c), 특정 클라이언트임을 식별하기 위한 정보인 클라이언트아이디(12d), 및 피싱방지 변수정보(PPVI)가 포함된다. 다만 상기 클라이언트 식별정보(CI)(12)는 널(Null)로 지정되는 경우에는 생략될 수 있다.
상기 인증정보의 유형에 관한 정보(12a)는 로컬 인증을 위하여 사용자가 입력 가능한 인증정보의 유형을 정의한다. 예를 들어, 상기 인증정보의 유형에 관한 정보(12a)에는 사용자가 상기 클라이언트 시스템(20)에 대하여 키보드값을 이용한 패스워드 기반의 로컬 인증을 실행할 것인지, 또는 생체정보를 기반으로 하는 로컬 인증을 실행할 것인지 정의하는 정보가 포함된다. 여기서 생체정보란, 지문, 홍채, 정맥, 얼굴 윤곽, 음성, 서명 등 사용자의 신체적 특징 또는 신체적 작용으로부터 얻어지는 정보로서, 사용자의 신체에 종속되고 타인의 신체적 특징과 구별되는 고유한 정보를 말한다. 상기 인증정보의 유형에 관한 정보(12a)는 하기 [표 1]과 같이 구분될 수 있다.
분류 인증정보의 유형
0 키보드/키패드
1 지문
2 홍채
3 정맥
4 얼굴윤곽
5 음성
6 서명
7 기타
또한 키보드값이란, 키보드(keyboard) 또는 키패드(keypad) 등의 입력장치를 이용하여 입력될 수 있는 숫자, 문자 또는 특수문자 등을 모두 포함한 값을 말한다. 상기 생체정보 및 키보드값이란 용어는 본 명세서의 전체에 걸쳐서 동일한 의미로 사용된다.
상기 인증 실행 절차에 관한 정보(12b)는 사용자가 로컬 인증 절차를 실행하는 유형을 정의한다. 여기서 로컬 인증 절차를 실행하는 유형이란 클라이언트 시스템(20)에서 로컬 인증을 몇 회 수행할 것인지 여부와, 각각의 로컬 인증 절차에서는 생체 정보를 이용할 것인지 또는 키보드값을 이용하여 로컬 인증 절차를 수행할 것인지 여부에 관한 정보를 말한다. 여기서 로컬 인증 절차란 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)간에 난수 정보 또는 사용자 인증정보를 전송하기 이전 또는 이후에, 상기 클라이언트 시스템(20) 상에서 본 발명에 따른 사용자정보집합(11)을 이용하는 사용자가 정당한 사용자인지 여부를 판단하는 과정을 말한다. 예를 들어, 상기 인증 실행 절차에 관한 정보(12b)는 상기 사용자정보집합(11)을 이용하여 사용자 인증을 하고자 하는 경우에는 로컬 인증을 2회 실시하여, 이 중 1차 로컬 인증 절차에서는 생체정보를 입력하고, 2차 로컬 인증 절차에서는 키보드값을 입력하도록 하는 절차에 관한 정보가 포함될 수 있다. 이와 같이 본 발명에서는 상기 기록매체(10)에 기록된 인증 절차 정보에 따라 클라이언트 시스템(20)에서 로컬 인증이 정상적으로 수행된 경우에만, 상기 클라이언트 시스템(20)과 서버 시스템(30) 간에 사용자 인증 절차를 수행할 수 있게 된다. 따라서 상기 기록매체(10), 특히 스마트 카드 또는 USB 메모리와 같은 휴대용 기록매체(10)를 보유하지 않은 사용자는 서버 시스템(30)에 대한 인증시 필요한 패스워드의 입력이 불가능하고, 상기 기록매체(10)를 제3자가 습득하더라도 제3자의 부정 사용을 예방할 수 있다. 즉 상기 클라이언트 시스템(20)에서 로컬 인증 절차를 통하여 권한을 부여하지 않은 제3자는 상기 서버 시스템(30)과 인증 절차를 시도할 수 없으므로, 인증을 획득하지 못하게 된다.
상기 입력 가능 자리수(12c)는 로컬 인증 또는 사용자 인증을 위하여 입력 가능한 로컬 패스워드의 입력 자리수 또는 입력 회수를 사용자별로 제한하기 위한 정보로, 상기 클라이언트 시스템(20) 또는 상기 서버 시스템(30)은 사용자별로 할당된 상기 입력 가능 자리수(12c)를 이용하여 사용자정보집합(11)을 보유하지 않은 제3자에 의한 부정사용을 방지할 수 있다. 상기 로컬 인증을 위하여 입력 가능한 자리수(12c)에는 사용자가 키보드 또는 키패드를 이용하여 입력 가능한 로컬 패스워드의 입력 자리수를 정의할 수 있으며, 또한 사용자가 생체인식 단말기를 이용하여 입력 가능한 로컬 패스워드의 입력 회수를 정의할 수 있다.
예를 들어, 로컬인증정보(LAI) ‘1’에는 거래등록인증정보(TRAI) ‘12’가 연계되어 설정되고, 로컬인증정보(LAI) '2'에는 거래등록인증정보(TRAI) '34'가 연계되어 설정된 기본 클라이언트 정보(BCI)와 상기 입력 가능 자리수(12c)는 ‘2’로 설정된 클라이언트 식별정보(CI)를 포함하는 사용자정보집합(11)을 보유한 사용자 ‘A'가, 상기 사용자정보집합(11)을 생성할 당시에 서버 시스템(30)에 미리 정한 사용자 인증정보는 ‘1234’라고 가정한다. 사용자 ‘A'가 상기 사용자정보집합(11)을 이용하여 상기 서버 시스템으로부터 인증을 획득하고자, 클라이언트 시스템(20)에서의 로컬인증을 위하여 2자리수의 키보드값 ‘1’ 과 ‘2’를 입력하면, 로컬인증정보(LAI) '1'에 연계된 거래등록인증정보(TRAI) ‘12’와 로컬인증정보(LAI) ‘2’에 연계된 거래등록인증정보(TRAI) ‘34’를 이용하여 상기 사용자 ‘A'가 서버 시스템에 미리 정한 사용자 인증정보인 ‘1234’를 생성할 수 있다. 상기 과정에 있어서, 상기 클라이언트 시스템(20) 또는 상기 서버 시스템(30)은 상기 사용자 ‘A'에 대하여 설정된 입력 가능 자리수(12c)를 이용하여 사용자가 입력 가능한 키보드값의 자리수를 2 자리수로 제한할 수 있으므로, 사용자 'A'의 사용자정보집합(11)을 보유하지 않은 제3자에 의한 부정 사용을 방지할 수 있다. 즉, 상기 사용자 ‘A'가 상기 서버시스템(30)에 미리 정한 사용자 인증정보는 ‘1234’라는 것을 알고 있는 제 3자는 로컬인증절차를 위하여 입력 가능한 자리수가 2 자리수로 제한되는 관계로 4 자리수로 설정된 상기 사용자 ‘A'가 미리정한 사용자 인증정보인 ‘1234’를 생성할 수 없는 효과를 얻을 수 있다.
상기 클라이언트아이디(12d)는 상기 클라이언트 시스템(20)과 서버 시스템(30)간에 서로 공유하여, 상기 서버시스템(30)에서 인증을 획득하고자 하는 사용자가 특정 클라이언트임을 인식하기 위한 변수 정보이다. 예를 들어 상기 클라이언트아이디(12d)를 수신한 결과 특정 클라이언트임을 인식한 서버 시스템(30)은, 상기 서버 시스템에서 관리하는 상기 특정 클라이언트의 사용자정보집합(11)에 존재하는 정보들을 이용하여 암호화 변수정보 또는 피싱사이트 식별정보 또는 로컬인증절차를 제어할 수 있는 정보를 생성하여 클라이언트 시스템(20)으로 전송 가능하다. 또한 상기 클라이언트아이디(12d)에 연계하여 저장 및 관리 가능한 피싱방지 변수정보(PPVI)는 생체정보 또는 키보드 조합 정보로 구성되며, 상기 클라이언트아이디(12d)와 상기 피싱방지 변수정보(PPVI)는 사용자가 금융기관 또는 인증센터를 방문하여 사용자정보집합(11)을 생성하는 과정, 유무선 통신망 상에서 사용자가 특정 사이트에 접속하여 회원 가입을 신청하는 과정, 및 피싱 방지 기능을 이용하기 위하여 사용자가 별도의 아이디를 추가로 설정하는 과정에서 할당되어질 수도 있다. 또한 상기 클라이언트아이디(12d)를 수신한 서버 시스템(30)은 일정금액 이하의 결재 또는 간편한 사용자 인증절차를 위한 사용자 인증 정보로도 사용 가능하여, 상기 클라이언트 시스템(20)과 서버 시스템(30) 간에 간편한 사용자 인증 절차를 수행할 수도 있게 된다.
상기 기본 클라이언트 정보(Basic Client Information: BCI)(13)는 복수의 로컬 인증 정보(Local Authentication Information: LAI)(13a) 및 복수의 거래 등록 인증 정보(Transaction Registered Authentication Information: TRAI)(13b)를 포함한다.
상기 복수의 로컬 인증 정보(Local Authentication Information: LAI)(13a)는 생체정보 또는 키보드값의 조합으로 이루어지고, 클라이언트 시스템(20)에서 로컬 사용자 인증을 위하여 사용된다. 예를 들어, 각각의 로컬 인증 정보(LAI)(13a)에는 '1' 또는 '2'와 같이 하나의 숫자가 할당되거나, '1234'와 같이 숫자조합이 할당될 수 있다. 또한 상기 로컬 인증 정보(LAI)(13a)에는 '오른손 검지 지문'에 관한 정보가 하나 할당되거나, '오른손 엄지, 검지, 중지 및 약지'에 관한 지문정보가 할당될 수 있다. 또한 상기 로컬 인증 정보(LAI)(13a)에는 숫자, 문자 및 다양한 생체정보를 조합한 정보가 할당될 수도 있다. 이와 같은 로컬 인증 정보(LAI)(13a)를 서로 조합하여, 클라이언트 시스템(20) 상에서 사용자가 정당한 사용자인지 여부를 판단하기 위한 로컬 패스워드를 형성한다. 또한 상기 로컬 인증 정보(LAI)(13a)에 할당되는 생체정보 또는 생체정보를 조합한 정보는 기존의 사용 가능한 생체인식 알고리즘을 기반으로 획득한 생체정보(평균 정보)가 할당된다.
상기 복수의 거래등록인증정보(TRAI)(13b)는 서버 시스템(30)에서 사용자가 상기 미리 정한 사용자 인증 정보로 설정 또는 등록 가능한 정보로서, 상기 로컬인증정보(LAI)의 하위계층에 연계되고 생체정보 또는 키보드값의 조합으로 이루어진다. 또한 사용자의 생체정보를 이용하여 상기 거래등록인증정보(TRAI)(13b)를 등록하고자 하는 경우, 사용자의 생체정보를 인식할 당시의 주변 환경에 따라 고유하게 생성된 사용자의 생체정보(고유정보)를 이용하여 상기 복수의 거래등록인증정보(TRAI)(13b)로 등록할 수 있으며, 또한 사용자가 로컬인증정보(LAI)로 등록한 생체정보의 일부 정보(고유정보)를 이용하여 등록할 수도 있다. 예를 들어, 상기 클라이언트 시스템(20)은 사용자로부터 입력되는 입력정보가 상기 로컬인증정보(LAI)(13a)를 이용하여 미리 정한 로컬 패스워드와 서로 일치하면 로컬 인증을 수행한 후, 상기 로컬 패스워드에 연계된 거래등록인증정보(TRAI)(13b)를 상기 서버 시스템(30)으로 전송한다. 즉, 사용자에 의하여 입력되는 입력정보는 상기 로컬인증정보(LAI)(13a)를 이용하여 형성된 로컬 패스워드와 동일한 것이고, 로컬인증이 수행된 후 상기 서버 시스템(30)으로 전송되는 정보는 상기 로컬 패스워드에 대응하는 로컬인증정보(LAI)(13a)에 연계된 거래등록인증정보(TRAI)(13b)이다. 따라서 상기 로컬인증정보(LAI)(13a)가 숫자와 같은 키보드값으로 이루어지고 상기 거래등록인증정보(TRAI)(13b)는 생체정보로 이루어진 경우, 사용자에 의하여 숫자로 구성된 입력 정보가 입력되더라도, 상기 서버 시스템(30)으로는 생체정보로 이루어진 사용자 인증정보가 전송될 수 있다.
이 때 상기 클라이언트 시스템(20)은, 해킹 또는 크래킹 등의 부정 행위로부터 전송되는 정보를 보호하기 위하여, 상기 암호화 변수 정보(14)를 이용하여 상기 거래등록인증정보(TRAI)(13b)를 암호화하여 전송하는 것이 바람직하다. 그러면 상기 서버 시스템(30)은 상기 클라이언트 시스템(20)으로부터 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보(14)를 이용하여 암호화된 거래등록인증정보(TRAI)(13b)를 수신하여, 상기 수신된 거래등록인증정보(TRAI)(13b)가 사용자가 상기 서버(30)에 미리 정하여 저장된 사용자 인증정보와 일치하면 상기 사용자를 정당한 사용자로 인증할 수 있다. 또한, 상기 클라이언트 시스템(20)으로부터 수신된 암호화된 거래등록인증정보(TRAI)(13b)가 사용자가 상기 서버 시스템(30)에 미리 정하여 저장된 사용자 인증정보를 암호화 변수 정보(14)를 이용하여 암호화한 정보와 일치하거나 또는 상기 수신된 암호화된 거래등록인증정보(TRAI)(13b)조합 정보를 암호화 변수 정보(14)를 이용하여 복호화한 정보가 상기 미리 정하여 저장된 사용자 인증정보와 일치하면 상기 사용자를 정당한 사용자로 인증할 수도 있다.
또한 본 발명에서는 상기 기본 클라이언트 정보(Basic Client Information: BCI)(13)에 제1 로컬 인증 정보(First Local Authentication Information: FLAI)(13c) 또는 부가 로컬 인증 정보(Additional Local Authentication Information: ALAI)(13d)를 더 포함될 수 있다. 다만 상기 제1 로컬 인증 정보(FLAI)(13c) 또는 상기 부가 로컬 인증 정보(ALAI)(13d)는 널(Null)로 지정되는 경우에는 생략될 수 있다.
상기 제1 로컬 인증 정보(FLAI)(13c)는 상기 로컬 인증 정보(LAI)(13a)의 상위 계층에 연계되고, 역시 생체정보 또는 키보드값의 조합으로 이루어진다. 또한 상기 제1 로컬 인증 정보(FLAI)(13c)는 사용자정보집합(11) 생성 시, 사용자가 본인의 인증 권한을 위임하고자하는 가족 또는 제3자를 포함한 위임인의 수에 따라 1개 이상 설정할 수 있으며, 상기와 같이 1개 이상의 제1 로컬 인증 정보(FLAI)(13c)를 설정한 사용자의 로컬인증과정에서, 사용자가 입력하는 정보와 일치하는 제1 로컬 인증 정보(FLAI)(13c)가 검색되면, 2차 로컬인증절차 실행 및 상기 검색된 제1 로컬 인증 정보(FLAI)(13c)의 하위 계층에 연계된 로컬인증정보(LAI)(13a)의 엑세스가 가능하다. 즉, 상기 1개 이상의 제1 로컬 인증 정보(FLAI)(13c)를 설정함으로 인하여, 사용자가 본인의 생체정보를 이용하여 상기 거래등록인증정보(TRAI)(13b)를 구성한 경우에도, 사용자 본인 및 위임인에 대한 인증 절차를 효과적으로 실행할 수 있으며, 상기 위임인별로 별도의 상기 거래등록인증정보(TRAI)(13b)를 설정하여 결재한도, 이체한도, 사용한도, 인증회수제한, 기타권한제한 등의 여러 부가적인 기능을 실행할 수 있다. 따라서 상기 제1 로컬 인증정보(FLAI)(13c)는 생체인식기반의 1차 로컬인증과정이 포함된 2차 이상의 로컬인증을 희망하는 사용자 또는 사용자 본인 이외에도 가족 또는 위임인에 대하여 인증 권한을 부여하고자 하는 사용자에 대한 로컬인증절차를 효과적으로 실행하기 위한 정보로 이용되는 것이 바람직하다. 또한 상기 위임인의 로컬인증절차를 위하여 설정되는 상기 제1 로컬 인증 정보(FLAI)(13c)는 키보드 값으로 구성될 수도 있으나, 위임인의 생체인식정보를 이용하여 설정하는 것이 더 바람직하다.
예를 들어, 상기 제1 로컬 인증 정보(FLAI)(13c)에 1차 로컬 패스워드로서 '제1 지문정보'가 할당되는 경우, 사용자에 의하여 상기 '제1 지문정보'와 동일한 생체정보가 입력되면 1차 로컬 인증을 완료한다. 또한 상기 제1 로컬 인증 정보(FLAI)(13c)에 1차 로컬 패스워드로서 '1' 및 '2'가 할당되는 경우, 사용자에 의하여 상기 '1' 및 '2'가 순차적으로 입력되면 1차 로컬 인증을 완료한다. 이 경우 상기 1차 로컬 인증이 완료된 후, 제2 차 이상의 로컬 인증 과정을 더 수행할 수 있다. 예를 들어, 상기 제1 차 로컬 인증 과정이 수행되면, 상기 클라이언트 시스템(20)은 2차 로컬 인증을 위하여 다시 상기 로컬 인증 정보(LAI)(13a)를 이용하여 미리 정해진 2차 로컬 패스워드를 입력할 것을 요구한다. 그리고 사용자에 의하여 상기 로컬 인증 정보(LAI)(13a)를 이용하여 미리 정해진 2차 로컬 패스워드와 동일한 입력정보가 입력되면 2차 로컬 인증을 완료하고, 상기 입력정보, 즉 상기 2차 로컬 패스워드에 연관된 거래등록 인증 정보(TRAI)(13b)를 암호화하여 상기 서버 시스템(30)으로 전송할 수 있다.
상기 부가 로컬 인증 정보(ALAI)(13d)는 역시 생체정보 또는 키보드값의 조합으로 이루어지며, 상기 로컬 인증 정보(LAI)(13a)와 상기 거래등록 인증 정보(TRAI)(13b) 사이의 중간 계층에 위치하여 2차 이상의 로컬 인증을 수행하는 경우에 사용된다. 예를 들어, 상기 클라이언트 시스템(20)에서 로컬 사용자 인증을 위하여, 상기 제1 로컬 인증 정보(First Local Authentication Information: FLAI)(13c)를 이용하여 1차 로컬 사용자 인증을 수행하고, 이후 로컬 인증 정보(Local Authentication Information: LAI)(13a)를 이용하여 2차 로컬 사용자 인증을 수행한 후, 다시 3차 이상의 로컬 사용자 인증을 수행하고자 하는 경우에 활용될 수 있다. 또한 상기 제1 로컬 인증 정보(FLAI)(13c)가 사용되지 않는 경우에는, 상기 로컬 인증 정보(LAI)(13a)를 이용하여 1차 로컬 사용자 인증을 수행한 후, 2차 이상의 로컬 사용자 인증을 수행하고자 하는 경우에 활용될 수 있다. 상기 부가 로컬 인증 정보(ALAI)(13d)는 도 5에 도시된 바와 같이, 하나의 로컬 인증 정보(LAI)(13a)의 하위 계층 정보로 연계된 부가 로컬 인증정보(ALAI)(13d)에 대하여 그 구성 정보의 개수 및 계층의 수를 다수 개로 확장할 수 있다. 이와 같이 확장된 부가 로컬 인증 정보(ALAI)(13d)를 이용하여, 사용자 또는 인증시스템 운영자의 선택에 따라서 2차 이상의 로컬 사용자 인증을 선택적으로 적용할 수 있다. 또한 상기 부가 로컬 인증정보(ALAI)(13d)를 이용하여 2인 이상의 특정 사용자에 대한 순차적 로컬인증절차를 기반으로 하는 순차 인증기능을 적용하여, 공동명의 계좌관리 서비스, 서버 시스템(30)에 대한 접근 권한을 부여함에 있어서 1인 이상의 특정 관리자의 순차적 로컬인증절차를 필요로 하는 서비스 등을 제공할 수도 있다.
상기 암호화 변수 정보(14)는 복수의 계층 정보로 이루어지고 각 계층정보는 생체정보 또는 키보드값의 조합으로 이루어진다. 상기 암호화 변수 정보(14)는 상기 클라이언트 시스템(20) 또는 상기 서버 시스템(30)에서 상기 거래등록인증정보(TRAI)로 이루어진 사용자 인증정보를 암호화하거나 복호화하는데 사용된다.
도 6은 본 발명의 실시예에 따른 암호화 변수 정보(14)의 구조를 나타내는 도면이다. 도 6을 참조하면, 본 발명의 실시예에 따른 암호화 변수 정보(14)는 복수의 난수 정보(Server Client Variable: SCV)(14a) 및 상기 복수의 난수 정보(SCV)(14a)에 연관된 암호화 변수(14b 내지 14e)를 포함한다.
상기 난수 정보(SCV)(14a)는 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)간에 1회용 난수를 생성하여 서로 공유하기 위한 정보로서, 역시 생체정보 또는 키보드값의 조합으로 이루어진다.
본 발명에서는 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)이 상기 난수 정보(SCV)(14a)를 이용하여 생성된 1회용 난수를 서로 공유한다. 그리고 상기 클라이언트 시스템(20)은 상기 1회용 난수를 이용하여 사용자의 입력정보에 대응하는 거래등록인증정보(TRAI)를 암호화한다. 또한 상기 서버 시스템(30)은 동일한 1회용 난수를 이용하여 미리 정한 사용자 인증정보를 암호화한다. 이와 같이 매 인증 절차마다 1회용 난수를 이용하여 거래등록인증정보(TRAI) 및 사용자 인증정보를 암호화함으로써 보안성을 강화할 수 있다. 또한 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)간에 서로 공유하는 1회용 난수는 상기 암호화 변수 정보(14)를 구성하는 특정 계층의 암호화 변수(14b 내지 14e)를 임의로 추출하여 생성할 수도 있다.
상기 암호화 변수(14b 내지 14e)는 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)간에 공유한 1회용 난수에 대한 보안성을 더욱 강화하기 위하여, 상기 1회용 난수를 암호화하기 위한 암호화 변수로서, 역시 생체정보 또는 키보드값의 조합으로 이루어진다. 상기 암호화 변수(14b 내지 14e) 중, 제1 암호화 변수 정보(14b)는 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)간에 공유한 1회용 난수를 1차적으로 암호화하기 위한 변수이다. 그리고 상기 암호화 변수(14b 내지 14e) 중, 제2 내지 제n 암호화 변수 정보(14c 내지 14e)는 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)간에 공유한 1회용 난수를 2차 이상 최대 n차까지 여러 회 암호화하기 위한 변수이다. 이와 같이 상기 암호화 변수 정보(14a 내지 14e)를 이용하여 상기 1회용 난수에 대한 암호화를 수행하는 횟수에 따라서 상기 1회용 난수에 대한 보안성이 증대될 수 있으나, 그 암호화 횟수는 시스템의 성능 및 조건에 따라 선택할 수 있다.
또한 상기 암호화 변수(14a 내지 14e)는 네트워크 상에서의 보안성을 더욱 강화하기 위하여, 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)간에 서로 공유한 1회용 난수를, 상기 공유한 1회용 난수에 연계되고 상기 암호화 변수정보(14)에 존재하는 특정 계층의 암호화 변수(14a 내지 14e의 특정 변수)로 변환하기 위한 정보로 이용될 수도 있다. 상기 클라이언트 시스템(20) 또는 상기 서버 시스템(30)은 상기 변환된 특정 계층의 암호화 변수(14a 내지 14e의 특정 변수)를 암호화 변수로 이용하여 로컬인증결과 획득한 거래등록인증정보(TRAI) 또는 사용자가 미리 정한 인증정보를 암호화할 수 있으며, 상기 공유한 1회용 난수를 상기 특정 계층의 암호화 변수(14a 내지 14e의 특정 변수)로 변환하는 조건은 시스템의 성능, 특성 및 조건에 따라 선택할 수 있다.
상기 클라이언트 시스템(20)은 본 발명에 따라 사용자정보집합(11)을 이용하여 로컬 인증 과정을 수행하고, 상기 로컬 인증 결과 획득된 거래등록인증정보(TRAI)(13b)를 이용하여 사용자 인증 절차를 수행한다. 상기 클라이언트 시스템(20)은 카드결제 단말기, PC(Personal Computer), PDA(Personal Digital Assistant), 휴대폰, 스마트카드(CPU내장형), USB 메모리(CPU 내장형), 현금지급기(ATM), 또는 POS(Point Of Sales) 단말기 등 상기 유무선 통신망(40)을 통하여 사용자 인증 절차를 수행할 수 있는 모든 단말 장치를 포함한다. 상기 클라이언트 시스템(20)은 상기 기록매체(10)로부터 상기 기본 클라이언트 정보(BCI) 및 암호화 변수 정보(14)를 제공받는다. 또한 본 발명에서는 상기 사용자정보집합(11)은 상기 클라이언트 시스템(20) 내부에 구성된 저장부(22)에 저장하여 사용할 수도 있다. 그리고, 사용자로부터 입력되는 입력정보가 상기 로컬인증정보(LAI)(13a)를 이용하여 미리 정한 로컬 패스워드와 서로 일치하면 로컬 인증을 수행하고, 상기 로컬 패스워드에 연계된 거래등록인증정보(TRAI)(13b)를 상기 암호화 변수 정보(14)를 이용하여 암호화한 후 사용자 인증을 요청하기 위하여 상기 서버 시스템(30)으로 전송한다. 또한 상기 클라이언트 시스템(20)은 사용자가 입력한 로컬 패스워드와 일치하는 로컬인증정보(LAI) 또는 부가로컬인증정보(ALAI)에 연계된 거래등록인증정보(TRAI)조합을 생성하는 로컬 인증 절차를 수행하고, 상기 로컬 패스워드에 연계된 거래등록인증정보(TRAI)(13b)를 상기 암호화 변수 정보(14)를 이용하여 암호화한 후 사용자 인증을 요청하기 위하여 상기 서버 시스템(30)으로 전송할 수도 있다.
상기 서버 시스템(30)은 상기 통신망(40)을 통하여 상기 클라이언트 시스템(40)과 연결된다. 상기 서버 시스템(30)은 본 발명에 따른 사용자정보집합(11)과, 거래등록인증정보(TRAI)(13b)를 조합하여 미리 정한 사용자 인증정보를 저장하여 유지한다. 또한 상기 서버 시스템(30)은 상기 사용자정보집합(11)을 저장함에 있어서, 생체인식정보 등을 포함하는 개인정보를 위탁하는데 대한 일부 사용자들의 거부감을 해소하기 위하여, 상기 사용자정보집합(11)의 일부 정보(기본 클라이언트 정보(BCI)의 일부(LAI) 또는 전부가 생략된 정보)를 제외하여 저장할 수도 있다. 상기 서버 시스템(30)은 상기 클라이언트 시스템(20)으로부터 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보(14)를 이용하여 암호화된 거래등록인증정보(TRAI)(13b)를 수신하여, 상기 수신된 거래등록인증정보(TRAI)(13b)가 상기 미리 정한 사용자 인증정보와 일치하는지 여부를 판단하고, 서로 일치하면 상기 사용자를 정당한 사용자로 인증하는 기능을 한다.
또한 상기 서버 시스템(30)은 그 기능에 따라서 암호화 서버(31) 및 인증 서버(32)로 구분될 수 있다. 상기 암호화 서버(31)는 내부 데이터베이스(DB)에 상기 사용자정보집합(11)의 일부 또는 전체 정보 및 상기 미리 정한 사용자 인증정보를 저장하여 유지한다. 그리고 상기 암호화 서버(31)는 상기 사용자정보집합(11)의 암호화 변수 정보(14)를 이용하여 상기 사용자 인증정보를 암호화한다. 상기 인증 서버(32)는 상기 클라이언트 시스템(20)으로부터 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보(14)를 이용하여 암호화된 거래등록인증정보(TRAI)(13b)를 수신하고, 상기 암호화 서버(31)로부터 암호화된 사용자 인증정보를 수신한다. 그리고 상기 인증 서버(32)는 상기 클라이언트 시스템(20)으로부터 수신된 거래등록인증정보(TRAI)(13b)가 상기 미리 정한 사용자 인증정보와 일치하면 상기 사용자를 정당한 사용자로 인증하는 기능을 한다. 이와 같이 상기 서버 시스템(30)을 암호화 서버(31) 및 인증 서버(32)로 구분하여 형성하고, 상기 암호화 서버(31)와 상기 인증 서버(32)는 서로 전용선으로 연결함으로써, 비인가자가 상기 통신망(40)을 통하여 상기 서버 시스템(30)의 인증 서버(32)에 접속하더라도 상기 암호화 서버(31)에 미리 저장된 사용자정보집합(11) 및 상기 미리 정한 사용자 인증정보에는 접근할 수 없게 된다. 따라서 비인가자에 의한 사용자정보집합(11) 및 상기 미리 정한 사용자 인증정보의 외부 유출을 차단함으로서 보안성을 강화시킬 수 있다.
또한 상기 서버 시스템(30)은 상기 클라이언트 시스템(20)으로부터 수신한 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보(14)를 이용하여 암호화된 거래등록인증정보(TRAI)(13b)를 상기 암호화 변수 정보(14)를 이용하여 복호화한 후, 상기 미리 정한 사용자 인증정보와 일치하는지 여부를 판단하여, 서로 일치하면 상기 사용자를 정당한 사용자로 인증할 수 있다.
또한 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)은 서로 동일한 사용자정보집합(11)을 유지하고 암호화를 수행하기 때문에 서로 동일한 암호화 변수 정보(14)를 이용하여 암호화된 인증정보는 서로 일치한다. 따라서, 상기 서버 시스템(30)은 상기 미리 정한 사용자 인증정보를 상기 암호화 변수 정보(14)를 이용하여 암호화한 후 이것을, 상기 클라이언트 시스템(20)으로부터 수신한 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보(14)를 이용하여 암호화된 거래등록인증정보(TRAI)(13b)와 일치하는지 여부를 판단하여, 서로 일치하면 상기 사용자를 정당한 사용자로 인증할 수 있다.
또한 본 발명에 따른 사용자정보집합(11)을 이용한 사용자 인증 시스템은 상기 통신망(40)을 통하여 상기 클라이언트 시스템(20) 또는 상기 서버 시스템(30)에 경비센터(50)가 연결될 수 있다.
상기 경비센터(50)는 상기 통신망(40)을 통하여 상기 클라이언트 시스템(20) 및 상기 서버 시스템(30)과 연결된다. 따라서 상기 클라이언트 시스템(20)에서 일정회수를 초과하여 사용자가 로컬 인증을 위하여 입력하는 입력정보가 비정상 코드인 경우에는, 상기 클라이언트 시스템(20)은 상기 통신망(40)을 통하여 연결된 서버 시스템(30) 또는 경비센터(50)로 특정 클라이언트임을 식별할 수 있는 정보인 클라이언트아이디(12d))정보와 상기 클라이언트 시스템(20)의 위치를 알 수 있는 위치정보(IP, GPS정보 등) 등의 정보를 포함하여 비정상거래임을 통보하며, 상기 서버 시스템(30) 또는 상기 경비센터(50)에서는 사용자에게 이상이 발생한 것으로 인식하여, 해당 사용자에 대한 인증권한을 일시 정지시키거나, 등록된 휴대폰으로 관련 사실을 SMS로 통보하거나, 등록된 사용자의 주소 또는 상기 클라이언트 단말기(20)가 위치한 곳으로 경찰 또는 보안 요원을 출동시키는 서비스를 제공할 수 있다. 예를 들어, 현금지급기와 같은 클라이언트 시스템(20)에 있어서 정상적인 거래인 경우에는 로컬 패스워드로서 '검지 지문' 또는 '1234'가 설정되어 있고, 비정상적인 거래에서는 '엄지 지문' 또는 '5678'을 입력하기로 설정되어 있다고 가정한다. 이 경우 사용자가 타인의 강박행위 등 자신의 의사에 반하여 정보를 입력하도록 강요받는 상황에서, 미리 정해진 비정상적인 거래를 위한 정보, 즉 '엄지 지문' 또는 '5678'을 클라이언트 시스템(20)에 입력하면, 상기 클라이언트 시스템(20) 또는 서버 시스템(30)은 현금 지급 과정을 최대한 지연시키면서 상기 클라이언트 시스템(20)의 위치 및 현금지급기의 비정상적인 거래 정보가 입력되었음을 상기 경비센터(50)로 통보함으로써, 사용자에게 보안 출동 서비스를 제공할 수 있다.
또한 상기 서버 시스템(30)은 상기 클라이언트 시스템(20)으로부터 수신한 인증 정보가 사용자가 위험 상황이 발생된 경우 서버 시스템(30)으로 전송하기로 미리 정한 비상인증정보와 일치하는 경우, 상기 서버 시스템(30)은 사용자가 요청한 거래 및 인증을 최대한 지연시켜 처리하거나, 또는 허위로 정상처리 및 인증 성공 처리된 결과를 클라이언트 시스템(20)으로 통보하거나, 또는 청원경찰 및 경비센터(50)로 관련 사실을 통보하여 감시 및 출동 서비스를 제공할 수도 있다.
또한 본 발명에서는 피싱(phishing) 등을 이용한 사용자의 개인정보 또는 금융정보의 유출로 인한 피해를 방지하기 위하여 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)간에 서로 송수신되는 정보가 상기 사용자정보집합(11)에 존재하지 않는 것으로 검색된 경우에는, 상기 클라이언트 시스템(20)에서 현재 접속한 인터넷 사이트가 피싱을 목적으로 하는 가짜 사이트인 것으로 간주하여 상기 클라이언트 시스템(20)은 사용자에게 경고 메시지를 제공한다. 예를 들어, 사용자 ‘A'가 인증을 요청하는 경우, 상기 클라이언트 시스템(20)은 사용자정보집합(11)의 클라이언트 식별정보(CI)(12)에 할당된 특정 사용자임을 인식할 수 있는 클라이언트아이디(12d)를 상기 서버 시스템(30)으로 전송하고, 상기 사용자 'A'의 클라이언트아이디(12d)를 수신한 서버 시스템(30)은 특정 사용자 ’A'에 대한 인증절차를 진행하기 위한 1회용 난수 정보를 생성하여 클라이언트 시스템(20)으로 전송하기 전 또는 후로, 상기 사용자 ‘A'의 사용자정보집합(11)을 구성하는 정보를 임의로 추출하여 생성한 특정 정보를 클라이언트 시스템(20)으로 전송하고, 상기 클라이언트 시스템(20)은 상기 서버 시스템(30)으로부터 수신한 상기 특정 정보가 사용자 'A'의 사용자정보집합(11)에 존재하는 정보인지 여부를 검색하여, 상기 수신된 상기 특정 정보가 사용자 ’A'의 사용자정보집합(11)에 존재하지 않는 것으로 검색된 경우에는 사용자에게 피싱을 목적으로 하는 가짜 사이트임을 알리는 메시지를 출력할 수 있다. 상기 피싱 방지를 목적으로 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)간에 서로 공유하는 상기 사용자정보집합(11)에 존재하는 상기 특정 정보는 클라이언트아이디(12d)별로 할당된 피싱방지변수정보(PPVI) 또는 기본 클라이언트 정보(BCI) 또는 암호화 변수 정보(14)를 구성하는 계층 정보를 기반으로하여 생성할 수 있다. 예를 들어, 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)간에 서로 공유한 1회용 난수 정보(SCV 조합 정보)의 일부 또는 전체 정보를 상기 피싱 방지를 목적으로 하는 특정 정보로 이용하는 것이 가장 효율적인 경우라 할 수 있다. 따라서 금융기관을 사칭한 위장 사이트 또는 서버는 상기 사용자 'A'의 사용자정보집합(11)을 알 수 없으므로 상기 사용자 ‘A'가 상기 위장 사이트 또는 서버에 접속하여 인증절차를 수행하고자 하는 경우에는, 본 발명에 따른 피싱 방지 기능에 의하여 클라이언트 시스템(20)의 디스플레이부(26)에는 경고 메시지가 출력될 수 있다.
또한 본 발명에서는 피싱(phishing) 등을 이용한 사용자의 개인정보 또는 금융정보의 유출로 인한 피해를 방지하기 위한 또 다른 방법으로, 상기 서버 시스템(30)은 사용자에게 피싱 사이트를 식별하기 위한 정보로 별도의 아이디를 추가로 설정하도록 요청한다. 사용자 'B'가 기존의 아이디/패스워드 입력 방식을 이용하여 특정 사이트에 접속한 후, 피싱 사이트를 식별하기 위한 정보로 상기 별도의 아이디를 추가로 설정하면, 상기 서버 시스템(30)은 상기 사용자가 추가로 설정한 별도의 아이디의 중복여부를 체크하여, 체크결과 중복되지 않는 별도의 아이디로 체크되면 사용자의 생체정보 또는 키보드 조합정보를 이용한 특정 정보 조합을 생성하여 사용자에게 전송하고, 상기 설정한 별도의 아이디를 클라이언트아이디(12d)로 저장하고, 상기 생성한 특정 정보 조합은 피싱방지 변수정보(PPVI)로 서로 연계하여 서버 시스템(30)에 저장한다. 그리고, 상기 클라이언트 시스템(20)은 상기 서버 시스템(30)으로부터 수신한 상기 설정된 아이디를 클라이언트 아이디(12d)로 저장하고, 상기 수신한 특정 정보 조합은 피싱방지 변수정보(PPVI)로 서로 연계하여 저장한다. 이때 상기 클라이언트 시스템(20)은 상기 수신한 특정 정보 조합에 대한 백업 여부를 사용자에게 문의할 수 있으며, 사용자는 상기 인터페이스를 통하여 상기 특정 정보 조합을 USB 메모리 등에 백업하여 다른 장소에 위치한 클라이언트 시스템(20)에서 사용할 수 있다. 상기 서술한 피싱 사이트 식별을 위한 초기 절차가 완료된 이후, 상기 사용자 'B'가 상기 특정 사이트에 로그인 하고자 하는 경우, 사용자는 상기 추가로 설정한 아이디를 입력한 후 ‘엔터키’ 또는 ‘로그인 아이콘’을 클릭하여 상기 서버 시스템(30)으로 상기 추가로 설정한 아이디 정보를 전송한다. 상기 서버 시스템(30)은 상기 클라이언트 시스템(20)으로부터 수신한 상기 추가로 설정된 아이디 정보에 연계된 특정 정보 조합을 검색하여, 검색된 상기 특정 정보 조합을 클라이언트 시스템(20)으로 전송한다. 상기 클라이언트 시스템(20)은 상기 서버 시스템(30)으로부터 수신한 상기 특정 정보 조합과 상기 저장매체 또는 휴대용 저장매체에 존재하는지 검색하고, 상기 검색결과 존재하지 않는 경우에는 피싱 사이트임을 알리는 경고 메시지를 출력한다. 상기 검색결과 존재하는 경우에는 정상 사이트임을 알리는 메시지를 출력할 수 있다. 상기의 피싱 사이트 식별 기능을 이용하여 정상 사이트임을 확인한 사용자 ‘B'는 상기 특정 사이트에 대한 실질적인 아이디와 패스워드 정보를 입력한 후, ‘엔터키’ 또는 ‘로그인 아이콘’을 클릭함으로써, 피싱으로 인한 피해를 사전에 방지할 수 있다.
또한 상기 사용자 ‘B'가 상기 특정 사이트에 대한 상기 실질적인 아이디와 패스워드 정보를 입력하는 과정에 있어서, 상기 사용자 ‘B'의 상기 특정 사이트에 대한 아이디는 'ABCD'이고 패스워드는 ‘1234’라고 가정하고, 본 발명에 따른 사용자정보집합(11)의 기본 클라이언트 정보(BCI)는 로컬인증정보(LAI)로 등록된 ‘A’정보와 상기 로컬인증정보(LAI) ‘A’에 연계된 거래등록인증정보(TRAI)로 등록된 ‘AB'정보, 로컬인증정보(LAI)로 등록된 ‘B’정보와 상기 로컬인증정보(LAI) ‘B’에 연계된 거래등록인증정보(TRAI)로 등록된 ‘CD'정보, 로컬인증정보(LAI)로 등록된 ‘1’정보와 상기 로컬인증정보(LAI) ‘1’에 연계된 거래등록인증정보(TRAI)로 등록된 ‘12'정보, 및 로컬인증정보(LAI)로 등록된 ‘2’정보와 상기 로컬인증정보(LAI) ‘2’에 연계된 거래등록인증정보(TRAI)로 등록된 ‘34'정보로 구성되었다고 가정할 경우, 사용자 'B'가 상기 특정 사이트의 로그인을 위하여 아이디 입력란에 ‘AB'를 입력하고 패스워드 입력란에 ‘12’를 입력하면, 상기 클라이언트 시스템(20)은 사용자가 입력한 값과 일치하는 것으로 검색된 로컬인증정보(LAI)에 연계된 거래등록정보(TRAI)를 생성한다. 즉 사용자가 입력한 아이디 입력값인 ‘AB'정보에 대응하는 거래등록인증정보(TRAI)로 'ABCD'를 생성하고, 패스워드 입력값인 ‘12’정보에 대응하는 거래등록인증정보(TRAI)로 '1234'를 생성하여 사용자 로그인을 진행할 수도 있다.
또한 상기 클라이언트 시스템(20)의 인증 프로그램은 사용자가 특정 사이트에 대하여 추가로 설정한 상기 별도의 아이디와 상기 서버 시스템(30)으로부터 수신한 상기 별도의 아이디에 연계된 상기 특정 정보 조합과 상기 특정 사이트의 주소를 서로 연계하여 저장 및 관리하여, 사용자가 상기 특정사이트에 접속한 것을 인식한 상기 인증 프로그램에 의하여 자동으로 상기 별도의 아이디를 상기 서버 시스템(30)으로 전송하고, 상기 서버 시스템(30)은 상기 클라이언트 시스템(20)으로부터 수신된 상기 별도의 아이디와 연계된 상기 특정 정보 조합을 상기 클라이언트 시스템(20)으로 전송하고, 상기 클라이언트 시스템(20)은 상기 서버 시스템(30)으로부터 수신한 상기 특정 정보 조합을 이용하여 피싱 여부를 체크하고, 체크결과를 사용자에게 출력할 수 있다. 또한 상기 클라이언트 시스템(20)은 사용자가 상기 특정사이트에 마련된 ‘피싱방지기능 아이콘’을 클릭하면 상기 인증 프로그램에 의한 피싱 방지 기능이 자동으로 실행되어, 피싱 여부를 체크하고, 체크결과를 사용자에게 출력할 수도 있다.
또한 상기 클라이언트 시스템(20)에서 여러 회의 로컬 인증 절차를 수행하도록 설정된 경우, 상기 클라이언트 시스템(20)은 1차 로컬 인증을 수행한 후 다시 2차 이상의 사용자 인증이 필요한 특정 금융기관이 선택 또는 자동으로 인식되면, 상기 특정 금융기관에 대하여 할당되고 상기 클라이언트 시스템(20)에 미리 설정된 2차 이상의 로컬 패스워드를 이용하여 상기 2차 이상의 로컬 인증을 수행하도록 구성될 수 있다. 예를 들어, 상기 서버 시스템(30)이 특정 금융기관에 관한 서버이고 1차 로컬 인증을 위한 로컬 패스워드로서 '오른손 검지' 지문이 설정되고, 2차 로컬 인증을 위한 로컬 패스워드로서 '1234'가 미리 설정된 경우를 가정한다. 그리고 사용자는 상기 클라이언트 시스템(20)에 미리 상기 특정 금융기관에 대한 2차 로컬 패스워드는 '1234'임을 미리 설정해 놓는다. 이 경우 1차 로컬 인증을 위하여 사용자가 자신의 '오른손 검지' 지문 정보를 입력하여 1차 로컬인증이 성공된 후, 상기 클라이언트 시스템(20)에 설치된 인증 프로그램 상에서 상기 특정 금융기관을 자동으로 인식하거나 또는 사용자가 직접 선택하면 상기 클라이언트 시스템(20)은 상기 미리 설정된 2차 로컬 패스워드를 이용하여 2차 로컬 인증을 수행한 후, 상기 사용자정보집합(11)으로부터 상기 2차 로컬 패스워드에 연계된 거래등록인증정보(TRAI)(13b)를 검색하여 상기 서버 시스템(30)으로 전송한다. 이와 같은 기능을 통하여, 다수의 은행, 증권사, 카드사 또는 보험사 등에 대하여 서로 다른 로컬인증정보를 설정한 경우에도, 사용자는 1차 로컬인증정보만 기억하면 되고, 2차 이후의 로컬인증정보는 각 은행 또는 증권사 별로 상기 클라이언트 시스템(30)에 미리 설정해 놓음으로써 사용자가 2차 이상의 로컬인증정보를 모두 기억 또는 입력하지 않고서도, 본 발명에 따른 사용자정보집합(11)을 이용한 사용자 인증 절차를 수행할 수 있게 된다.
도 7은 본 발명의 실시예에 따른 클라이언트 시스템(20)의 세부 구성도이다.
도 7을 참조하면, 본 발명에 따른 클라이언트 시스템(20)은 인터페이스부(21), 저장부(22), 입력부(23), 디스플레이부(26), 제어부(27) 및 전송부(28)을 포함한다.
상기 인터페이스부(21)는 본 발명에 따라서 사용자정보집합(11)이 기록된 휴대용 기록매체(10)로부터 상기 사용자정보집합(11)을 읽어오기 위한 인터페이스 기능을 한다. 또한 상기 인터페이스부(21)는 휴대폰의 적외선 송신부(IrDA)로부터 수신되는 사용자정보집합(11)의 일부 또는 전체정보 또는 사용자정보집합(11)을 이용하여 생성된 정보를 읽어오기 위한 인터페이스 기능을 할 수 있다(적외선 방식을 기반으로 한 휴대폰 결제 단말기의 경우).
상기 저장부(22)는 상기 사용자정보집합(11)을 상기 클라이언트 시스템(20) 내부에 저장하기 위한 것이다. 이 경우 상기 사용자정보집합(11)을 상기 인터페이스부(21)(IC 슬롯 등)가 적용되지 않은 휴대폰 또는 PDA와 같은 휴대 가능한 클라이언트 시스템(20) 내부에 직접 기록하여 사용하는 경우에 유용하며, 휴대용 기록매체(10)는 사용하지 않을 수 있다. 또한 상기 저장부(22)는 상기 클라이언트 시스템(20)의 전반적인 구동을 위한 프로그램 및 본 발명에 따른 로컬 인증 및 서버 시스템(20)과의 사용자 인증을 위한 프로그램이 저장된다.
상기 입력부(23)는 본 발명에 따라 로컬 인증 또는 사용자 인증을 위하여 키보드값 또는 생체 정보를 입력하는 기능을 한다. 상기 입력부(23)는 숫자, 문자 또는 특수문자 등을 입력하기 위한 키보드/키패드(24)와, 지문, 홍채 등과 같은 생체정보를 입력하기 위한 생체정보입력부(25)를 포함한다.
상기 디스플레이부(25)는 본 발명에 따른 사용자 인증 프로그램을 시각적으로 디스플레이한다. 예를 들어, 상기 디스플레이부(25)는 본 발명에 따라 로컬 인증을 수행하는 경우, 입력 정보를 입력하기 위한 공간을 디스플레이하고, 이 때 상기 입력 정보의 자리수를 제한하여 디스플레이할 수 있다. 또한 로컬 인증 또는 서버 시스템(30)과의 사용자 인증 절차에 대한 성공 또는 실패 여부에 대한 결과 정보와 로컬 인증이 실패한 경우 사용자에게 재입력을 요청하는 정보와 피싱사이트임을 알리는 경고문 등을 디스플레이할 수 있다.
상기 제어부(27)는 본 발명에 따라 상기 사용자정보집합(11)을 이용하여 클라이언트 시스템(20) 내부의 로컬 인증 및 서버 시스템(30)과의 사용자 인증절차를 수행한다.
상기 전송부(28)는 상기 제어부(27)에 의하여 로컬 인증이 이루어진 경우, 사용자에 의하여 입력된 입력정보에 대응하는 거래등록인증정보(TRAI)(13b)를 통신망(40)을 통하여 상기 서버 시스템(30)으로 전송한다. 또한 상기 전송부(28)는 상기 서버 시스템(30)과 1회용 난수에 관한 정보와 피싱을 방지하기 위한 변수 정보를 공유할 수 있도록 해당 정보를 송수신하며, 그 외 인증에 필요한 정보가 상기 통신망(40)을 통하여 송수신될 수 있도록 데이터를 변환하는 기능을 한다. 또한 상기 전송부(28)는 적외선(IrDA) 방식의 휴대폰 결제 단말기의 경우, 상기 서버 시스템(30)으로부터 수신한 정보를 휴대폰 또는 PDA로 전송할 수도 있다. 한편 적외선(IrDA) 수신부가 적용되지 않은 휴대폰 또는 PDA의 경우에는 무선 네트워크망을 이용하여 상기 서버 시스템(30)에서 상기 클라이언트 시스템(20)으로 전송하고자 하는 정보를 수신할 수 있으며, 상기 서버 시스템(30)으로부터 수신한 정보를 이용하여 생성한 인증정보를 휴대폰에 적용된 적외선(IrDA) 송신부를 이용하여 상기 클라이언트 시스템(20)으로 전송할 수 있다. 또 한편 적외선(IrDA)송신부가 적용되지 않은 휴대폰 또는 PDA의 경우에는 무선 네트워크망을 이용하여 상기 생성한 인증정보를 상기 서버 시스템(30)으로 전송할 수 있다.
한편 클라이언트 시스템(20)의 역할을 대체할 수 있는 CPU를 비롯해 메모리(RAM, ROM)가 함께 실리고 별도의 암호처리를 위한 마이크로 프로세서가 탑재된 기록매체의 경우, 상기 클라이언트 시스템(20)의 저장부(22), 제어부(27) 및 전송부(28)의 일부 또는 전체 기능을 수행할 수 있다. 상기 마이크로 프로세서가 탑재된 기록매체는 휴대형으로 제작될 수 있으며, 내부 저장 수단에 상기 본 발명에 따른 사용자정보집합(11)을 저장한다. 그리고 상기 휴대형 기록매체는 내부에 탑재된 마이크로 프로세서, 즉 제어부를 이용하여 본 발명에 따라 서버시스템(30)과 사용자 인증 동작을 수행한다. 즉 상기 마이크로 프로세서가 탑재된 휴대형 기록매체는 내부에 구성된 저장수단으로부터 기본 클라이언트 정보(BCI)(13) 및 암호화 변수 정보(14)를 제공받는다. 또한 상기 마이크로 프로세서가 탑재된 휴대형 기록매체는 사용자로부터 생체정보 또는 키보드값을 입력받을 수 있는 입력 수단을 구비한다. 그리고 상기 마이크로 프로세서가 탑재된 휴대형 기록매체의 내부에 구성된 제어부는 상기 입력수단을 통하여 사용자로부터 입력되는 입력정보가 로컬인증정보(LAI)(13a)를 이용하여 미리 정한 로컬 패스워드와 서로 일치하면 로컬 인증을 수행하고, 상기 로컬패스워드에 연계된 거래등록인증정보(TRAI)(13b)를 상기 암호화 변수 정보를 이용하여 암호화한다. 이어서 상기 마이크로 프로세서가 탑재된 휴대형 기록매체 내부의 제어부는, 데이터 전송 기능을 갖는 클라이언트 시스템을 통하여, 서버 시스템(30)으로, 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보를 이용하여 암호화된 거래등록인증정보(TRAI)(13b)를 전송한다. 여기서 상기 클라이언트 시스템은 기본적으로 유무선 통신망을 통하여 데이터를 송수신하는 기능을 갖는다. 그러면 상기 서버 시스템(30)은 상기 전송한 거래등록인증정보(TRAI)(13b)가 상기 미리 정한 사용자 인증정보와 일치하면 상기 사용자가 정당한 사용자로서 인증하게 된다.
즉, 상기 마이크로 프로세서가 탑재된 휴대형 기록매체를 이용하여 본 발명에 따른 인증절차를 실행하는 경우에는, 상기 클라이언트 시스템(20)은 상기 서버 시스템(30)으로부터 수신한 정보와 사용자가 입력하는 입력정보를 마이크로 프로세서가 탑재된 휴대형 기록매체로 전송하고, 상기 마이크로 프로세서가 탑재된 휴대형 기록매체는 상기 클라이언트 시스템(20)으로부터 수신한 정보를 이용하여 로컬인증결과 생성된 인증정보를 암호화하여 클라이언트 시스템(20)으로 전송하고, 상기 클라이언트 시스템(20)은 상기 마이크로 프로세서가 탑재된 휴대형 기록매체로부터 수신한 상기 암호화된 인증정보를 상기 서버 시스템(30)으로 전송한다. 그러면 상기 서버 시스템(30)은 상기 클라이언트 시스템(20)으로부터 수신한 암호화된 인증정보를 이용하여 일치여부를 판단한다. 또한 상기 마이크로 프로세서가 탑재된 휴대형 기록매체는 클라이언트 시스템(20)으로부터 수신한 사용자 입력정보를 이용한 로컬인증결과 생성된 인증정보를 암호화하여, 상기 암호화된 인증정보와 상기 인증정보를 암호화한 암호화 변수 정보를 상기 클라이언트 시스템(20)으로 전송하고, 상기 클라이언트 시스템(20)은 상기 마이크로 프로세서가 탑재된 휴대형 기록매체로부터 수신한 상기 암호화된 인증정보와 상기 암호화 변수정보를 상기 서버 시스템(30)으로 전송하고, 상기 서버 시스템(30)은 상기 클라이언트 시스템(20)으로부터 수신한 상기 암호화된 인증정보와 상기 암호화 변수정보를 이용하여 일치여부를 판단할 수도 있다. 여기서 상기 마이크로 프로세서가 탑재된 휴대형 기록매체는 스마트 카드 또는 USB 메모리 형태로 구성될 수 있다. 또한 상기 스마트카드는 접촉 방식과 비접촉 방식이 결합된 형태로 본 발명에 따른 인증절차를 실행할 수도 있다.
도 8은 본 발명의 실시예에 따른 사용자정보집합을 이용한 사용자 인증 과정을 나타내는 도면이다.
도 8을 참조하면, 본 발명에서는 사용자에 의하여 사용자정보집합을 이용하여 클라이언트 시스템(20)에서 사용자 인증을 처리하기 위한 소정의 인증 프로그램이 실행되면, 상기 클라이언트 시스템(20)은 상기 사용자정보집합(11)이 기록된 휴대용저장매체(10) 또는 저장부(22)로부터 상기 사용자정보집합(11)을 읽어온다(S100).
이어서 상기 클라이언트 시스템(20)은 인증 서버(31)로 인증 요청 메시지[CTS AUTH REQ(Client To Server Authentication Request)]를 전송하여 인증을 요청한다(S102). 그러면 상기 인증 서버(31)는 다시 암호화 서버(32)로 인증 요청 메시지[STS AUTH REQ(Server To Server Authentication Request)]를 전송하여 인증을 요청한다(S104).
이후 상기 암호화 서버(32)는 암호화 변수 정보(14)에 포함된 특정 계층의 정보(예 : (SCV)(14a))를 이용하여 1회용 난수를 생성하고, 상기 1회용 난수에 관한 정보를 상기 인증 요청 메시지[STS AUTH REQ]에 대한 응답 메시지[sts auth req]에 포함시켜 상기 인증 서버(31)로 전송한다(S106). 상기 1회용 난수에 관한 정보에는 상기 1회용 난수가 복수의 난수 정보(SCV)(14a) 중 어떠한 조합을 이용하여 생성되었는지 여부에 관한 정보와, 상기 1회용 난수가 상기 다계층의 암호화 변수(14b 내지 14e) 중 어느 단일 계층 또는 복수 계층의 암호화 변수(14b 내지 14e)를 이용하여 암호화되었는지 여부에 관한 정보가 포함된다.
그러면 상기 인증 서버(31)는 상기 인증 요청 메시지[CTS AUTH REQ]에 대한 응답 메시지[cts auth req]에 상기 1회용 난수에 관한 정보를 포함시켜 상기 클라이언트 시스템(20)으로 전송한다(S108). 이와 같은 과정을 통하여 상기 클라이언트 시스템(20)은 상기 서버 시스템(30)으로부터 상기 생성된 1회용 난수에 관한 정보를 수신한 후, 상기 1회용 난수에 관한 정보를 내부에서 생성할 수 있다. 따라서 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)은 상기 난수 정보(SCV)(14a)를 이용한 동일한 1회용 난수를 공유할 수 있다.
또한 단계(S102, S104)에서 상기 클라이언트 시스템(20)이 난수 정보(SCV)(14a)를 이용하여 1회용 난수를 생성한 후, 각각의 인증 요청 메시지[CTS AUTH REQ, STS AUTH REQ]에 상기 1회용 난수에 관한 정보를 포함시켜 상기 서버 시스템(30)으로 전송하고, 상기 서버 시스템(30)은 상기 1회용 난수에 관한 정보를 수신하여, 상기 1회용 난수에 관한 정보를 내부에서 생성할 수도 있다. 또한 상기 클라이언트 시스템(20) 또는 상기 서버 시스템(30)은 생성한 1회용 난수를 상대방 시스템에 직접 전송함으로써, 서로 동일한 1회용 난수를 공유할 수도 있다.
이후 상기 클라이언트 시스템(20)은 본 발명에 따라서 로컬 인증 및 로컬 인증 결과 얻어진 거래등록 인증정보(TRAI)에 대한 암호화과정을 수행한다(S110). 클라이언트 시스템(20)에서는 사용자에 의하여 입력되는 입력정보가 상기 로컬인증정보(LAI)를 이용하여 미리 정한 로컬 패스워드와 서로 일치하면 로컬 인증을 수행한다. 예를 들어, 1차 로컬 인증절차에 의하여 사용자가 '지문 정보'를 이용하여 미리 정한 1차 로컬 패스워드를 입력하여 1차 로컬 인증 절차를 수행하고, 이후 사용자가 숫자 등의 키보드값을 이용하여 미리 정한 2차 로컬 패스워드를 입력하여 2차 로컬 인증 절차를 수행한다. 이와 같이 로컬 인증이 완료되면, 상기 로컬 패스워드에 해당하는 로컬 인증 정보(LAI)(13a)에 연계된 거래등록인증정보(TRAI)(13b)를 상기 암호화 변수 정보(14), 즉 상기 1회용 난수(14a) 및 암호화 변수(14b 내지 14e)를 이용하여 암호화한다.
또한 본 발명에서는 상기 단계(S110)에서 로컬 인증 절차 중 일정 회수를 초과하여, 사용자에 의하여 클라이언트 시스템(20)에 입력되는 입력정보가 미리 정한 비정상 코드인 경우에는, 상기 통신망(40)을 통하여 연결된 서버 시스템(30) 또는 경비센터(50)로 비정상거래임을 통보함으로써, 사용자에게 인증권한 일시정지 서비스, SMS 전송 서비스, 보안 출동 서비스 등의 부가 서비스를 제공할 수 있다.
이어서 클라이언트 시스템(20)은 위와 같이 암호화된 거래등록인증정보(TRAI)(13b)를 상기 인증 서버(31)로 전송한다(S112).
또한 상기 암호화 서버(32)는 상기 암호화 변수 정보(14), 즉 상기 공유한 1회용 난수(14a) 및 암호화 변수(14b 내지 14e)를 이용하여 사용자가 상기 암호화 서버(32)에 미리 정하여 저장한 사용자 인증 정보를 암호화한다(S114)
그리고 상기 암호화 서버(32)는 상기 암호화 변수 정보(14)를 이용하여 암호화된 사용자 인증 정보를 상기 인증 서버(31)로 전송한다(S116).
이후 상기 인증 서버(31)는 상기 클라이언트 시스템(20)으로부터 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보(14)를 이용하여 암호화된 거래등록인증정보(TRAI)(13b)를 수신하여, 상기 수신된 거래등록인증정보(TRAI)(13b)가 상기 미리 정한 사용자 인증정보와 일치하는지 여부를 판단하여 서로 일치하면, 상기 사용자를 정당한 사용자로 인증하고, 일치하지 않는 경우에는 비인가 사용자라고 판단한다(S118).
이와 같이 상기 인증 서버(31)에 의하여 판단된 인증 결과는 상기 클라이언트 시스템(20)으로 전송하여 사용자에게 제공한다(S120).
또한 상기 클라이언트 시스템(20)에서 생성하는 인증 요청 메시지[CTS AUTH REQ]에는 사용자정보집합(11)으로부터 읽어온 특정 사용자임을 식별할 수 있는 클라이언트아이디(12d)정보가 포함될 수 있다. 또한 상기 인증 서버(31)에서 생성하는 인증 요청 메시지[STS AUTH REQ]에는 클라이언트 시스템(20)으로부터 수신한 클라이언트아이디(12d)정보가 포함될 수 있다. 상기 사용자정보집합(11)의 클라이언트 식별정보(CI)의 구성요소로 설정 가능한 특정 사용자임을 인식할 수 있는 정보인 클라이언트아이디(12d)는 서버 시스템(30)의 인증정책에 따라 필수(M)정보 또는 선택(O)정보로 정의되어 사용되어진다. 상기 서버 시스템(30)에서 상기 클라이언트아이디(12d)를 필수 정보로 정의하는 경우, 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)간에 서로 공유한 상기 클라이언트아이디(12d)정보를 이용하여 특정 사용자임을 인식할 수 있으므로, 상기 클라이언트 시스템(20) 또는 상기 서버 시스템(30)에서는 특정 사용자로 인식된 사용자정보집합(11)에 존재하는 정보들을 이용하여 상기 특정 사용자로 인식된 사용자의 인증절차에 필요한 정보들을 생성 및 전송할 수 있다. 또한 상기 서버 시스템(30)에서 상기 클라이언트아이디(12d)를 선택 정보로 정의하여 생략하는 경우, 상기 클라이언트 시스템(20) 또는 상기 서버 시스템(30)에서는 인증절차의 초기과정에서 공유되는 정보가 어떤 사용자의 정보인지 바로 알 수 없는 관계로, 상기 서버 시스템(30)은 사용자 별로 별도의 사용자 아이디와 패스워드를 할당하여 사용자가 정상적으로 로그인 하면 특정 사용자임을 인식하고, 상기 인식된 특정 사용자의 사용자정보집합(11)에 존재하는 정보들을 이용하여 상기 특정 사용자로 인식된 사용자의 인증절차에 필요한 정보들을 생성 및 전송할 수 있다. 예를 들어 사용자가 기존의 아이디와 패스워드 입력방식을 이용하여 인터넷뱅킹 사이트에 로그인하여 특정 사용자의 로그인을 인식한 서버 시스템(30)은, 계좌이체를 통한 송금 등을 포함하는 인증과정에 대하여 본 발명에 따른 인증절차를 적용하는 경우를 한 예로 볼 수 있으며, 상기 사용자가 로그인을 위하여 아이디와 패스워드를 입력하는 과정에서, 상기 클라이언트 시스템(20)은 사용자 아이디와 패스워드 정보가 각각 기본 클라이언트 정보(BCI)의 거래등록인증정보(TRAI)로 포함되어 구성되어진 사용자정보집합(11)을 이용하여 본 발명에 따른 로컬인증절차를 수행할 수도 있다.
또한 상기 클라이언트 시스템(20) 또는 상기 서버 시스템(30)은 본 발명에 따른 인증절차를 위해 필요한 정보에 대하여, 상기 필요한 정보의 생성방식과 형식 및 용도 등을 정의하는 정보를 선택적으로 더 포함할 수도 있다. 상기 클라이언트 시스템(20) 또는 상기 서버 시스템(30)에서 생성하여 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)간에 공유하는 상기 1회용 난수에 관한 정보에는 상기 1회용 난수가 상기 암호화 변수 정보(14)의 여러 계층정보 중 어느 단일 계층 또는 복수 계층의 암호화 변수(14a 내지 14e)를 이용하여 생성되었는지 여부에 관한 정보와, 수신된 1회용 난수를 사용자정보집합(11)에 존재하는 다계층의 암호화 변수 정보(14a 내지 14e) 중 어느 단일 계층 또는 복수 계층의 암호화 변수로 변환할 것인지를 지정하는 정보가 선택적으로 포함될 수 있다. 또한 상기 클라이언트 시스템(20) 또는 상기 서버 시스템(30)은 상기 공유한 1회용 난수에 관한 정보를 이용하여, 상기 수신한 1회용 난수를 암호화 변수 정보(14)에 존재하는 동시에 상기 수신한 1회용 난수와 일치하는 정보의 어느 단일 계층 또는 복수 계층에 연계된 암호화 변수 정보를 내부에서 생성할 수도 있다. 따라서 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)은 서로 공유 가능한 상기 암호화 변수 정보(14)의 특정 계층 정보를 이용하여 생성한 상기 1회용 난수 또는 상기 1회용 난수에 관한 정보를 이용하여, 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)간에 동일한 암호화 변수 정보 또는 복호화 변수 정보를 유지할 수 있다.
또한 상기 클라이언트 시스템(20)에서는 사용자에 의하여 입력되는 입력정보와 상기 로컬인증정보(FLAI, LAI)의 일치 여부 또는 사용자에 의하여 입력되는 입력정보와 상기 로컬인증정보(FLAI, LAI)를 이용하여 미리 정한 로컬 패스워드와의 일치 여부를 판단하는 1차 이상의 로컬인증절차를 수행하고, 상기 1차 이상의 로컬인증결과 일치하는 것으로 판단된 로컬인증정보(FLAI, LAI)에 연계된 거래등록인증정보(TRAI)(13b)조합을 생성하고, 상기 생성한 거래등록인증정보(TRAI)(13b)조합을 상기 암호화 변수 정보(14a 내지 14e)를 이용하여 암호화하고, 상기 암호화된 거래등록인증정보(TRAI)(13b)를 상기 인증 서버(31)로 전송한다(S112). 예를 들어, 1차 로컬 인증절차에 의하여 사용자가 '지문 정보'를 입력하면, 상기 입력한 ‘지문 정보’와 제1 로컬 인증 정보(FLAI)(13a) 또는 로컬인증정보(LAI)의 일치여부를 판단하고, 상기 1차 로컬인증결과 상기 사용자가 입력한 ‘지문 정보’와 일치하는 제1 로컬 인증 정보(FLAI)(13a) 또는 로컬인증정보(LAI)가 검색되면 2차 로컬인증절차를 실행하고, 2차 로컬인증절차에 의하여 사용자가 ‘키보드값’을 입력하면, 상기 입력한 ‘키보드값’와 로컬인증정보(LAI) 또는 부가로컬인증정보(ALAI)의 일치여부를 판단하고, 상기 2차 로컬인증결과 상기 사용자가 입력한 ‘키보드값’과 일치하는 로컬인증정보(LAI) 또는 부가로컬인증정보(ALAI)가 검색되면, 상기 2차 로컬인증결과 사용자가 입력한 ‘키보드값’과 일치하는 로컬인증정보(LAI) 또는 부가로컬인증정보(ALAI)에 연계된 거래등록인증정보(TRAI)(13b)조합을 생성한다. 상기 제 1차 및 제 2차 로컬인증결과 생성한 거래등록인증정보(TRAI)(13b)조합을 상기 공유한 1회용 난수(14a) 또는 상기 공유한 1회용 난수에 연계된 암호화 변수 정보(14b 내지 14e) 또는 상기 공유한 1회용 난수를 상기 공유한 1회용 난수에 관한 정보를 이용하여 변환한 암호화 변수(14a 내지 14e)를 이용하여 암호화하고, 상기 암호화된 거래등록인증정보(TRAI)(13b)를 상기 인증 서버(31)로 전송할 수 있다.
상기 서술한 인증절차는 상기 서버 시스템(30)에 대한 정당한 관리권한이 없는 비인가자가 접속하여 상기 서버 시스템(30)에 저장된 사용자정보집합(11)을 포함한 중요 정보에 접근하는 것을 방지하기 위하여, 상기 서버 시스템(30)을 인증 서버(31)와 암호화 서버(32)로 구분하여 이중화한 서버 시스템(30)에 대한 것으로, 이중화되지 않은 서버 시스템(30)에서는 상기 서술한 인증 서버(31)와 암호화 서버(32)간의 인증절차는 단일 서버 시스템(30)내에서 처리된다.
또한 상기 클라이언트 시스템(20)은 상기 단계(S102, S108, S112)를 통합하여, 1회용 난수 또는 상기 1회용 난수에 관한 정보와 암호화된 거래등록 인증정보(TRAI)가 포함된 인증 요청 메시지를 상기 서버 시스템(30)으로 전송하고, 상기 서버 시스템(30)은 상기 단계(S104, S106, S116)를 통합하여, 상기 사용자가 미리 정하여 저장한 거래등록인증정보(TRAI)와 상기 클라이언트 시스템(20)으로부터 수신한 암호화된 거래등록 인증정보(TRAI)의 일치 여부를, 상기 클라이언트 시스템(20)으로부터 수신한 1회용 난수 또는 상기 1회용 난수에 관한 정보를 이용한 암호화 또는 복호화 처리를 적용하여 판단하고, 인증결과를 상기 클라이언트 시스템(20)으로 전송(S120)할 수도 있다.
또한 본 발명에서는 피싱(phishing) 등을 이용한 사용자의 개인정보 또는 금융정보의 유출로 인한 피해를 방지하기 위하여, 상기 클라이언트 시스템(20)과 상기 서버 시스템(30)간에 서로 송수신되는 정보에, 상기 사용자정보집합(11)의 특정 정보와 서로 일치하지 않거나 또는 상기 사용자정보집합(11)의 특정 정보로 등록되지 않은 정보가 포함된 경우에는, 상기 클라이언트 시스템(20)은 사용자에게 경고 메시지를 제공하는 단계를 더 포함할 수 있다.
본 발명에 따른 사용자정보집합을 이용한 사용자 인증 방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현할 수 있다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치, 스마트카드 등이 있으며, 또한 인터넷을 통한 전송과 같이 캐리어 웨이브의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수도 있다.
한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
상술한 바와 같은 본 발명에 따르면, 유무선 통신망을 통하여 사용자 인증을 함에 있어서, 사용자 고유의 생체정보를 이용하여 보안성을 강화하면서도, 생체정보의 조합에 의하여 생성되는 인증정보를 무한대로 확장시킴으로써 생체정보의 유한성을 극복할 수 있다. 따라서 만약 서버 시스템 또는 휴대용 기록 매체에 저장된 사용자 인증 정보가 외부로 유출된 경우에도, 본 발명에 따른 사용자정보집합을 이용하여 새로운 사용자 인증정보를 생성하여 상기 서버 시스템 및 휴대용 기록 매체에 제공함으로써, 사용자가 생체정보를 다시 등록하기 위하여 인증센터에 다시 방문할 필요가 없고 기존의 사용자 인증 시스템을 유지할 수 있는 이점이 있다.
또한 본 발명에 따르면, 사용자정보집합을 생체정보뿐만 아니라 숫자, 문자 또는 특수문자 등 키보드값을 포함하여 구성함으로써, 사용자가 생체정보 입력 기능이 구비되지 않은 클라이언트 시스템을 이용하는 경우에도 미리 정한 생체정보를 이용하여 사용자 인증 절차를 수행함으로써 보안성을 강화할 수 있는 이점이 있다.
또한 본 발명에 따르면 클라이언트 시스템과 서버 시스템 사이에 사용자 인증 절차를 수행할 때마다 생체정보를 적용한 1회용 난수를 생성하여 유무선 통신망을 통하여 전송되는 정보를 암호화하므로, 통신망 상에서 타인의 해킹 또는 크래킹 등의 부정 행위로부터 전송 정보의 보안성을 강화시키는 이점이 있다.

Claims (21)

  1. 각각 생체정보 또는 키보드값의 조합으로 이루어진 로컬인증정보(LAI)와 상기 로컬인증정보(LAI)에 연계된 거래등록인증정보(TRAI)를 갖는 기본 클라이언트 정보(BCI), 및 복수의 계층 정보로 이루어지고 각 계층정보는 생체정보 또는 키보드값의 조합으로 이루어진 암호화 변수 정보가 저장된 기록 매체;
    상기 기록매체로부터 상기 기본 클라이언트 정보(BCI) 및 암호화 변수 정보를 제공받고, 사용자로부터 입력되는 입력정보가 상기 로컬인증정보(LAI)를 이용하여 미리 정한 로컬 패스워드와 서로 일치하면 로컬 인증을 수행하고, 상기 로컬패스워드에 연계된 거래등록인증정보(TRAI)를 상기 암호화 변수 정보를 이용하여 암호화하는 클라이언트 시스템; 및
    유선 또는 무선 통신망을 통하여 상기 클라이언트 시스템과 연결되고, 상기 거래등록인증정보(TRAI)를 조합하여 미리 정한 사용자 인증정보를 유지하는 서버 시스템을 포함하고,
    상기 서버 시스템은 상기 클라이언트 시스템으로부터 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보를 이용하여 암호화된 거래등록인증정보(TRAI)를 수신하여, 상기 수신된 거래등록인증정보(TRAI)가 상기 미리 정한 사용자 인증정보와 일치하면 상기 사용자를 정당한 사용자로 인증하는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 시스템.
  2. 제1항에 있어서, 상기 서버 시스템은,
    상기 사용자정보집합 및 상기 미리 정한 사용자 인증정보를 유지하고, 상기 사용자정보집합을 이용하여 상기 사용자 인증정보를 암호화하는 암호화 서버; 및
    상기 클라이언트 시스템으로부터 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보를 이용하여 암호화된 거래등록인증정보(TRAI)를 수신하고, 상기 암호화 서버로부터 암호화된 사용자 인증정보를 수신하여, 상기 클라이언트 시스템으로부터 수신된 거래등록인증정보(TRAI)가 상기 미리 정한 사용자 인증정보와 일치하면 상기 사용자를 정당한 사용자로 인증하는 인증 서버를 포함하는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 시스템.
  3. 제1항에 있어서, 상기 기본 클라이언트 정보(BCI)는,
    상기 로컬 인증 정보(LAI)의 상위 계층에 연계되어, 사용자 본인 또는 위임인에 대한 2차 이상의 로컬 인증 정보를 구성하기 위한 제1 로컬 인증 정보(FLAI)를 더 포함하는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 시스템.
  4. 제1항에 있어서, 상기 기본 클라이언트 정보(BCI)는,
    상기 로컬 인증 정보(LAI)와 상기 거래등록인증정보(TRAI)의 중간 계층에 위 치하여, 2차 이상의 로컬 인증 정보를 구성하는 부가 로컬 인증 정보(ALAI)를 더 포함하는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 시스템.
  5. 제1항에 있어서, 상기 암호화 변수 정보는 난수 정보(SCV) 및 상기 난수 정보(SCV)에 연관된 암호화 변수를 포함하며,
    상기 난수 정보(SCV)를 이용하여 생성된 1회용 난수를 상기 클라이언트 시스템과 서버 시스템이 서로 공유하고, 상기 1회용 난수는 상기 암호화 변수에 의하여 암호화되며,
    상기 로컬인증정보(LAI)에 연계된 거래등록인증정보(TRAI) 및 상기 미리 정한 사용자 인증정보는 상기 1회용 난수를 이용하여 암호화되는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 시스템.
  6. 제1항에 있어서, 상기 암호화 변수 정보는 난수 정보(SCV) 및 상기 난수 정보(SCV)에 연관된 암호화 변수를 포함하며,
    상기 난수 정보(SCV)를 이용하여 생성된 1회용 난수를 상기 클라이언트 시스템과 서버 시스템이 서로 공유하고,
    상기 로컬인증정보(LAI)에 연계된 거래등록인증정보(TRAI) 및 상기 미리 정한 사용자 인증정보는 상기 1회용 난수에 연관된 암호화 변수를 이용하여 암호화되 는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 시스템.
  7. 제5항 또는 제6항에 있어서, 상기 클라이언트 시스템은,
    상기 클라이언트 시스템과 상기 서버 시스템 간에 송수신되는 정보에, 상기 기본 클라이언트 정보(BCI) 또는 상기 암호화 변수 정보에 존재하지 않은 정보가 포함된 경우에는 사용자에게 경고 메시지를 제공하는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 시스템.
  8. 제1항에 있어서, 상기 서버 시스템은 사용자에게 피싱 사이트를 식별하기 위한 정보로 별도의 아이디를 추가로 설정하도록 요청하는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 시스템.
  9. 제1항에 있어서, 상기 클라이언트 시스템은,
    상기 사용자에 의하여 클라이언트 시스템에 입력되는 입력정보가 미리 정한 비정상 코드인 경우에는, 상기 통신망을 통하여 연결된 경비센터로 비정상거래임을 통보하는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 시스템.
  10. 제1항에 있어서, 상기 서버 시스템은,
    상기 사용자에 의하여 클라이언트 시스템에 입력되는 입력정보가 미리 정한 비정상 코드인 경우에는, 상기 통신망을 통하여 연결된 경비센터로 비정상거래임을 통보하는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 시스템.
  11. 제1항에 있어서, 상기 클라이언트 시스템은,
    상기 클라이언트 시스템에서 복수회의 로컬 인증 절차를 수행하도록 설정된 경우, 1차 로컬 인증을 수행한 후 사용자 인증이 필요한 특정 금융기관이 선택 또는 자동으로 인식되면, 상기 특정 금융기관에 대하여 할당되고 상기 클라이언트 시스템에 미리 설정된 2차 이상의 로컬 패스워드를 이용하여 상기 2차 이상의 로컬 인증을 수행하는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 시스템.
  12. 제1항에 있어서, 상기 클라이언트 시스템은, 상기 로컬인증절차를 위하여 입력되는 입력정보의 자리수를 제한할 수 있는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 시스템.
  13. 각각 생체정보 또는 키보드값의 조합으로 이루어진 로컬인증정보(LAI)와 상기 로컬인증정보(LAI)에 연계된 거래등록인증정보(TRAI)를 갖는 기본 클라이언트 정보(BCI), 및 복수의 계층 정보로 이루어지고 각 계층정보는 생체정보 또는 키보드값의 조합으로 이루어진 암호화 변수 정보가 저장된 기록 매체; 및
    상기 기록매체로부터 상기 기본 클라이언트 정보(BCI) 및 암호화 변수 정보를 제공받고, 사용자로부터 입력되는 입력정보가 상기 로컬인증정보(LAI)를 이용하여 미리 정한 로컬 패스워드와 서로 일치하면 로컬 인증을 수행하고, 상기 로컬패스워드에 연계된 거래등록인증정보(TRAI)를 상기 암호화 변수 정보를 이용하여 암호화하는 클라이언트 시스템을 포함하고,
    상기 클라이언트 시스템은, 유선 또는 무선 통신망을 통하여 연결되고 상기 거래등록인증정보(TRAI)를 조합하여 미리 정한 사용자 인증정보를 유지하는 서버 시스템으로, 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보를 이용하여 암호화된 거래등록인증정보(TRAI)를 전송한 후, 상기 서버 시스템에서 상기 전송한 거래등록인증정보(TRAI)가 상기 미리 정한 사용자 인증정보와 일치하면 상기 사용자가 정당한 사용자로서 인증을 획득하는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 시스템.
  14. 제13항에 있어서, 상기 클라이언트 시스템은,
    상기 기록매체로부터 상기 사용자정보집합을 읽어오기 위한 인터페이스부;
    상기 클라이언트 시스템의 전반적인 구동 및 사용자 인증을 위한 프로그램이 저장되는 저장부;
    로컬 인증 또는 사용자 인증을 위하여 키보드값 또는 생체 정보가 입력되는 입력부;
    상기 사용자정보집합을 이용하여 클라이언트 시스템 내부의 로컬 인증 및 상기 서버 시스템과의 사용자 인증절차를 수행하는 제어부; 및
    유선 또는 무선 통신망을 통하여 상기 서버 시스템과 소정의 정보를 송수신하는 전송부를 포함하는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 시스템.
  15. 제13항에 있어서, 상기 기록매체는, 스마트 카드 또는 USB 메모리로 구성되는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 시스템.
  16. 생체정보 또는 키보드값의 조합으로 이루어지고, 클라이언트 시스템에서 로컬 사용자 인증을 위한 로컬인증정보(LAI);
    상기 로컬인증정보(LAI)에 연계되고 생체정보 또는 키보드값의 조합으로 이루어지며, 서버 시스템에서 사용자 인증을 위한 거래등록인증정보(TRAI); 및
    복수 계층의 정보로 이루어지고 각 계층정보는 생체정보 또는 키보드값의 조합으로 이루어지며, 상기 거래등록인증정보(TRAI)로 이루어진 사용자 인증정보를 암호화하기 위한 암호화 변수 정보를 포함하고,
    상기 클라이언트 시스템은 사용자로부터 입력되는 입력정보가 상기 로컬인증정보(LAI)를 이용하여 미리 정한 로컬 패스워드와 서로 일치하면 로컬 인증을 수행하고,
    상기 서버 시스템은 상기 클라이언트 시스템으로부터 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보를 이용하여 암호화된 거래등록인증정보(TRAI)를 수신하여, 상기 수신된 거래등록인증정보(TRAI)가 상기 미리 정한 사용자 인증정보와 일치하면 상기 사용자를 정당한 사용자로 인증하는 것을 특징으로 하는 데이터 구조가 저장된 기록 매체.
  17. 각각 생체정보 또는 키보드값의 조합으로 이루어진 로컬인증정보(LAI)와 상기 로컬인증정보(LAI)에 연계된 거래등록인증정보(TRAI)를 갖는 기본 클라이언트 정보(BCI), 및 복수의 계층 정보로 이루어지고 각 계층정보는 생체정보 또는 키보드값의 조합으로 이루어진 암호화 변수 정보가 저장된 저장수단; 및
    상기 저장수단으로부터 상기 기본 클라이언트 정보(BCI) 및 암호화 변수 정보를 제공받고, 사용자로부터 입력되는 입력정보가 상기 로컬인증정보(LAI)를 이용하여 미리 정한 로컬 패스워드와 서로 일치하면 로컬 인증을 수행하고, 상기 로컬 패스워드에 연계된 거래등록인증정보(TRAI)를 상기 암호화 변수 정보를 이용하여 암호화하는 제어부를 포함하고,
    상기 제어부는, 데이터 전송 기능을 갖는 클라이언트 시스템을 통하여, 상기 클라이언트 시스템과 유선 또는 무선 통신망을 통하여 연결되고 상기 거래등록인증정보(TRAI)를 조합하여 미리 정한 사용자 인증정보를 유지하는 서버 시스템으로, 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보를 이용하여 암호화된 거래등록인증정보(TRAI)를 전송한 후, 상기 서버 시스템에서 상기 전송한 거래등록인증정보(TRAI)가 상기 미리 정한 사용자 인증정보와 일치하면 상기 사용자가 정당한 사용자로서 인증을 획득하는 것을 특징으로 하는 마이크로 프로세서가 탑재된 휴대형 기록매체.
  18. 클라이언트 시스템이 소정의 기록매체로부터 각각 생체정보 또는 키보드값의 조합으로 이루어진 로컬인증정보(LAI)와 상기 로컬인증정보(LAI)에 연계된 거래등록인증정보(TRAI)를 갖는 기본 클라이언트 정보(BCI), 및 복수의 계층 정보로 이루어지고 각 계층정보는 생체정보 또는 키보드값의 조합으로 이루어진 암호화 변수 정보를 읽어오는 제1 단계;
    상기 클라이언트 시스템 또는 서버 시스템에서 상기 암호화 변수 정보를 이용하여 1회용 난수를 생성하는 제2 단계;
    상기 생성된 1회용 난수를 상기 클라이언트 시스템 및 상기 서버 시스템이 공유하는 제3 단계;
    상기 클라이언트 시스템에 입력되는 입력정보가 상기 로컬인증정보(LAI)를 이용하여 미리 정한 로컬 패스워드와 서로 일치하면 로컬 인증을 수행하고, 상기 로컬 패스워드에 연계된 거래등록인증정보(TRAI)를 상기 암호화 변수 정보를 이용하여 암호화하여 상기 서버 시스템으로 전송하는 제4 단계; 및
    상기 서버 시스템은 상기 클라이언트 시스템으로부터 상기 로컬 패스워드에 연계되고 상기 암호화 변수 정보를 이용하여 암호화된 거래등록인증정보(TRAI)를 수신하여, 상기 수신된 거래등록인증정보(TRAI)가 미리 정한 사용자 인증정보와 일치하면 상기 사용자를 정당한 사용자로 인증하는 제5 단계를 포함하는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 방법.
  19. 제18항에 있어서, 상기 클라이언트 시스템과 상기 서버 시스템 간에 송수신되는 정보에, 상기 기본 클라이언트 정보(BCI) 또는 상기 암호화 변수 정보에 존재하지 않은 정보가 포함된 경우에는 사용자에게 경고 메시지를 제공하는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 방법.
  20. 제18항에 있어서, 상기 서버 시스템은 사용자에게 피싱 사이트를 식별하기 위한 정보로 별도의 아이디를 추가로 설정하도록 요청하는 것을 특징으로 하는 사 용자정보집합을 이용한 사용자 인증 방법.
  21. 제18항에 있어서, 상기 사용자에 의하여 클라이언트 시스템에 입력되는 입력정보가 미리 정한 비정상 코드인 경우에는, 상기 통신망을 통하여 연결된 경비센터로 비정상거래임을 통보하는 단계를 더 포함하는 것을 특징으로 하는 사용자정보집합을 이용한 사용자 인증 방법.
KR1020050076477A 2005-08-19 2005-08-19 사용자정보집합을 이용한 인증 시스템 및 방법 KR100657577B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050076477A KR100657577B1 (ko) 2005-08-19 2005-08-19 사용자정보집합을 이용한 인증 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050076477A KR100657577B1 (ko) 2005-08-19 2005-08-19 사용자정보집합을 이용한 인증 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR100657577B1 true KR100657577B1 (ko) 2006-12-14

Family

ID=37733306

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050076477A KR100657577B1 (ko) 2005-08-19 2005-08-19 사용자정보집합을 이용한 인증 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR100657577B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101042366B1 (ko) * 2009-07-29 2011-06-17 주식회사 에스원 컴퓨터 보안 시스템 및 방법
KR101210054B1 (ko) 2012-06-27 2012-12-07 나이스신용평가정보주식회사 비 대면 서비스 이용자 본인인증 지원시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101042366B1 (ko) * 2009-07-29 2011-06-17 주식회사 에스원 컴퓨터 보안 시스템 및 방법
KR101210054B1 (ko) 2012-06-27 2012-12-07 나이스신용평가정보주식회사 비 대면 서비스 이용자 본인인증 지원시스템

Similar Documents

Publication Publication Date Title
US11664997B2 (en) Authentication in ubiquitous environment
US10250602B2 (en) Authenticator centralization and protection
RU2702076C2 (ru) Аутентификация в распределенной среде
KR101198120B1 (ko) 홍채정보를 이용한 양방향 상호 인증 전자금융거래시스템과 이에 따른 운영방법
US8041954B2 (en) Method and system for providing a secure login solution using one-time passwords
US8458484B2 (en) Password generator
US8447991B2 (en) Card authentication system
US8843757B2 (en) One time PIN generation
CA2417901C (en) Entity authentication in electronic communications by providing verification status of device
US20130219481A1 (en) Cyberspace Trusted Identity (CTI) Module
US20160283938A1 (en) Validating card not present financial transactions made over the Internet with e-Commerce websites using specified distinctive identifiers of local/mobile computing devices involved in the transactions
US20080120698A1 (en) Systems and methods for authenticating a device
US20080120707A1 (en) Systems and methods for authenticating a device by a centralized data server
US20090235086A1 (en) Server-side biometric authentication
CN107251477A (zh) 用于安全地管理生物计量数据的系统和方法
CN103544599A (zh) 用于在移动终端内认证、存储和交易的嵌入式安全元件
US20140258718A1 (en) Method and system for secure transmission of biometric data
US20190132312A1 (en) Universal Identity Validation System and Method
KR100974815B1 (ko) 이중 생체 인증 시스템
CA2611549C (en) Method and system for providing a secure login solution using one-time passwords
KR100657577B1 (ko) 사용자정보집합을 이용한 인증 시스템 및 방법
US11444953B2 (en) Methods, systems, apparatuses and devices for facilitating security of a resource using a plurality of credentials
WO2008031143A1 (en) Password generator
LONE et al. User Authentication Mechanism for Access Control Management: A Comprehensive Study
KR20110087885A (ko) 서비스 보안시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee