KR100830969B1 - Otp를 이용한 금융거래 방법 및 시스템 - Google Patents

Otp를 이용한 금융거래 방법 및 시스템 Download PDF

Info

Publication number
KR100830969B1
KR100830969B1 KR1020060036090A KR20060036090A KR100830969B1 KR 100830969 B1 KR100830969 B1 KR 100830969B1 KR 1020060036090 A KR1020060036090 A KR 1020060036090A KR 20060036090 A KR20060036090 A KR 20060036090A KR 100830969 B1 KR100830969 B1 KR 100830969B1
Authority
KR
South Korea
Prior art keywords
otp
otp device
financial
financial institution
customer
Prior art date
Application number
KR1020060036090A
Other languages
English (en)
Other versions
KR20070104025A (ko
Inventor
이지훈
Original Assignee
주식회사 프럼나우
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 프럼나우 filed Critical 주식회사 프럼나우
Priority to KR1020060036090A priority Critical patent/KR100830969B1/ko
Publication of KR20070104025A publication Critical patent/KR20070104025A/ko
Application granted granted Critical
Publication of KR100830969B1 publication Critical patent/KR100830969B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

본 발명은 금융거래의 보안 방법 및 시스템에 관한 것으로서, 특히 전자금융거래의 보안수단으로 이용되는 일회용비밀번호발생기(One Time Password, OTP)를 이용한 금융거래 방법 및 시스템에 관한 것이다.
본 발명의 OTP를 이용한 금융거래 방법 및 시스템은, OTP 기기를 장착할 수 있는 포트를 구비한 고객 단말기; 유무선 통신망을 통해 상기 고객 단말기에 연결될 수 있으며, 고객이 선택한 제1 그룹의 난수 생성 객체를 이용하여 제1 OTP 키값을 생성하고 상기 제1 OTP 키값의 생성에 관련된 OTP 기기 발급 정보를 저장하는 적어도 하나의 발급 금융 서버; 상기 유무선 통신망을 통해 상기 고객 단말기에 연결될 수 있으며, 상기 고객이 선택한 제2 그룹의 난수 생성 객체를 이용하여 제2 OTP 키값을 생성하고 상기 제2 OTP 키값의 생성에 관련된 OTP 기기 이용 정보를 저장하는 적어도 하나의 이용 금융 서버; 및 상기 유무선 통신망을 통해 상기 금융 서버에 연결되어 있으며, 상기 발급 금융 서버 및 상기 이용 금융 서버로부터 상기 OTP 기기 발급 정보 및 상기 OTP 기기 이용 정보를 등록받아 저장하는 OTP 기기 등록 서버를 포함하는 것을 특징으로 한다.
OTP, 전자금융거래, OTP 등록 센터

Description

OTP를 이용한 금융거래 방법 및 시스템 {Method and System for Implementing Financial Transactions Using OTP}
도 1은 본 발명의 일 실시예에 따른 객체 지향 OTP USB 발급 절차를 도시하고 있다.
도 2는 본 발명의 일 실시예에 따른 객체 지향 OTP USB의 중복 등록 절차를 도시하고 있다.
도 3은 본 발명의 일 실시예에 따른 객체 지향 OTP USB의 발급 비용 분담 절차를 도시하고 있다.
도 4는 본 발명의 일 실시예에 따른 객체 지향 OTP USB의 분실 처리 절차를 도시하고 있다.
본 발명은 전자금융거래의 보안 방법 및 시스템에 관한 것으로서, 특히 전자금융거래의 보안수단으로 이용되는 일회용비밀번호발생기(One Time Password, OTP)를 이용한 금융거래 방법 및 이를 수행하기 위한 시스템에 관한 것이다.
전자금융거래의 활성화와 더불어 전자금융거래 해킹 사고가 발생하면서 전자금융거래에 대한 불안감이 고조되는 가운데, 전자금융거래시마다 새로운 일회용비밀번호를 생성하는 OTP, 키보드 입력정보를 암호화해 주는 키보드 보안, 고객의 웹브라우저와 금융기관의 웹서버간 전송정보를 암호화해주는 웹암호화, 고객정보 데이터베이스 자체를 보호하기 위한 DB보안 등 다양한 종류의 보안 솔루션들이 제공되고 있다.
최근 정부에서는 해킹방지, 전자금융, 전자상거래 및 공인인증서의 4개 분야에 대해 전자금융거래 안전성 강화 종합대책을 마련하고 있으며, 이와 관련하여 금융감독원에서는 OTP 단말기의 도입을 권고사항으로 발표하였다.
OTP란 사용자가 인증을 받고자할 때마다 매번 새로운 비밀번호를 생성하여 사용하는 보안 시스템으로서, 이러한 일회용비밀번호를 OTP라고 하고 확장된 의미로 이러한 비밀번호를 생성해 주는 단말기를 OTP라고 부르기도 한다. OTP를 이용하면 사용자 인증 과정에 이용되는 비밀번호의 노출 가능성을 제거함으로써 전자금융거래를 해킹으로부터 보호할 수 있게 된다.
그러나, 기존의 OTP 방식은 각 금융기관마다 개별적으로 OTP와 관련 단말기를 지급하고 있어서, 사용자가 복수의 OTP를 보관해야 하는 불편함이 있으며, 금융기관도 각 고객에 대한 OTP 및 관련 단말기 발급 비용이 부담이 되고 있는 상황이다.
이에 금융감독원에서는 하나의 OTP로 여러 금융기관과의 거래가 가능하도록 통합인증센터를 구축하여 사용자의 편의성을 제고하고 중복투자를 방지하도록 유도 하고 있으나, 이 또한 내부 고객정보의 유출가능성, 구축비용의 분담, 금융거래정보의 집중 등 많은 문제가 있는 실정이다.
본 발명은 상기한 문제점을 해결하고자, 금융기관에서 OTP USB와 같은 OTP 기기(본 명세서에서는 사용자의 PC와 같은 사용자 단말기와의 용어상의 혼동을 방지하기 위해 OTP 단말기를 OTP 기기로 부르기로 한다)를 사용자에게 발급하는 경우 및 이미 발급된 OTP 기기를 타 금융기관이 이용하는 경우에 발급 및 이용에 관련된 정보를 OTP 등록 센터에 등록하도록 함으로써, 다수의 금융기관이 개별 고객에 대해 하나의 OTP 기기를 공동으로 이용할 수 있도록 함으로써 안전하고 비용효율적인 금융거래 방법 및 시스템을 제공하는 것을 목적으로 한다.
또한, 본 발명은 하나의 OTP 기기를 이용하여 사용자는 복수의 금융기관에 자신의 OTP USB를 사실상 횟수의 제한없이 등록할 수 있으며, 향후 OTP 기기를 이용한 전자금융거래시 금융기관은 해당 OTP 기기의 고유 OTP 핀번호를 확인하고 자사에 해당하는 난수 값을 OTP 기기로부터 자사의 서버로 전송받음으로써 사용자 인증절차를 완료하고, 금융관련거래 서비스를 제공할 수 있는 안전하고, 비용효율적인 금융거래 방법 및 시스템을 제공하는 것을 목적으로 한다.
또한, 본 발명은 하나의 금융기관에서 발급한 OTP 기기를 타 금융기관에서 이용할 때 발급 및 이용에 관련된 정보를 OTP 등록 센터에 등록하도록 함으로써, 다수의 금융기관이 해당 OTP 기기의 발급 및 이용 비용을 상호 간에 정산하도록 함 으로써 시스템 운영 비용의 효과적 분담이 가능한 금융거래 방법 및 시스템을 제공하는 것을 목적으로 한다.
또한, 본 발명은 OTP 기기 분실시 이를 OTP 등록 센터에서 각 금융기관으로 통보하도록 하고, 각 금융기관은 분실된 OTP 기기의 접속을 제한하는 사용자 보안성이 강화된 금융거래 방법 및 시스템을 제공하는 것을 목적으로 한다.
본 발명의 OTP 기기를 이용한 금융거래 방법은, OTP 기기의 제1 OTP 키값을 생성하는 단계; 상기 제1 OTP 키값이 생성된 OTP 기기의 발급을 등록하는 단계; 상기 등록된 OTP 기기에서 제2 OTP 키값을 생성하는 단계; 및 상기 제1, 제2 OTP 키값들을 동기시키는 단계를 포함하는 것을 특징으로 한다.
상기한 방법을 수행하기 위한 본 발명의 OTP 기기를 이용한 금융거래 시스템은, OTP 기기를 장착할 수 있는 포트를 구비한 고객 단말기; 유무선 통신망을 통해 상기 고객 단말기에 연결될 수 있으며, 고객이 선택한 제1 그룹의 난수 생성 객체를 이용하여 제1 OTP 키값을 생성하고 상기 제1 OTP 키값의 생성에 관련된 OTP 기기 발급 정보를 저장하는 적어도 하나의 발급 금융 서버; 상기 유무선 통신망을 통해 상기 고객 단말기에 연결될 수 있으며, 상기 고객이 선택한 제2 그룹의 난수 생성 객체를 이용하여 제2 OTP 키값을 생성하고 상기 제2 OTP 키값의 생성에 관련된 OTP 기기 이용 정보를 저장하는 적어도 하나의 이용 금융 서버; 및 상기 유무선 통신망을 통해 상기 금융 서버에 연결되어 있으며, 상기 발급 금융 서버 및 상기 이 용 금융 서버로부터 상기 OTP 기기 발급 정보 및 상기 OTP 기기 이용 정보를 등록받아 저장하는 OTP 기기 등록 서버를 포함하는 것을 특징으로 한다.
이하 본 발명의 일 실시예를 도시한 첨부도면을 참조하여 본 발명을 상세히 설명하기로 한다.
본 발명에서의 OTP 기기는 공인인증서와 OTP 난수를 저장하는 반도체 칩과, OTP 난수 생성 알고리즘, 데이터 전송 모듈, 인증서 검증 모듈 등을 저장하는 메모리부를 구비하며, PC나 PDA와 같은 유무선 고객 단말기와의 USB 포트를 이용한 접속이 가능한 OTP USB의 형태로서 스마트카드와 USB드라이브의 기능을 결합한 것이 바람직하지만, 그것이 본 발명의 범위를 제한하는 것은 아니며, 따라서 본 발명의 OTP 기기는 고객 인증에 필요한 데이터를 자체적으로 저장하고 있어서 전자금융거래에 필요한 데이터가 PC나 핸드폰과 같은 고객 단말기의 메모리에서 실행되지 않고 별도의 OTP 기기에서 실행될 수 있는 것이면 무방하다.
다만, 이하에서는 바람직한 OTP 기기의 형태인 OTP USB를 예로 들어 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 객체 지향 OTP USB 발급 절차를 도시하고 있다.
먼저 객체 지향 OTP USB 신청 단계(110)이다.
개인 또는 법인 사용자(이하, '고객'(10)이라 함)가 제1 금융기관(20)을 방 문하여 객체 지향 OTP USB(40)를 신청한다. 제1 금융기관(20)이라 함은 본 발명에 관련된 금융기관 중 객체 지향 OTP USB(40)를 발급하는 금융기관을 말한다. 한편, 본 발명에서의 금융기관에는 은행, 증권사, 보험사, 카드사 등 유무선 인터넷을 이용하여 금융관련거래를 하는 모든 종류의 기관이 포함될 수 있다.
제1 금융기관(20)은 객체 지향 OTP USB(40)의 발급에 필요한 난수를 발생시킬 복수의 난수 생성 객체를 고객(10)이 선택하게 한다. 예컨대, 제1 금융기관(20)에서는 제1 금융기관(20)과의 거래에 필요한 난수를 생성하기 위한 난수 생성 객체의 값을 체크할 서류를 고객(10)에게 전달하고, 고객(10)이 기입하도록 할 수 있다.
이때 사용되는 난수 생성 객체는 예컨대, OTP핀번호, 주민등록번호, 계좌번호, 계좌비밀번호, 인증서DN(Distinguish Name)값, 카드번호, OTP비밀번호, 주소, 전화번호, 핸드폰번호, 생일, 차량번호 등 해당 고객(10)과 관련한 객체로서 제1 금융기관(20)에서 사용할 수 있는 어떠한 정보라도 상관없다. 다만, 고객(10)이 복수(바람직하게는 3개 이상)의 난수 생성 객체를 선택할 때 OTP비밀번호는 반드시 포함되어야 한다.
이어서 난수 생성 및 저장 단계(120)가 수행된다.
고객(10)으로부터 난수 생성 객체를 선택받은 제1 금융기관(20)이 소정의 내부 절차를 거쳐서 OTP USB 발급을 결정하고, 해당 고객(10)에게 지급할 OTP USB(40)를 먼저 제1 금융기관(20)의 자체 단말기의 USB 포트에 삽입하면, 단말기는 해당 OTP USB(40)의 고유한 OTP 핀번호를 자체 서버로 전송한 후 고객(10)이 선택 한 난수 생성 객체를 체크한다(난수 생성 객체 또한 서버로 전송하는 것은 아닌지???).
제1 금융기관(20)의 서버에서는 고객(10)에게 발급된 OTP USB(40)의 고유 OTP 핀번호와 고객(10)이 선택한 난수 생성 객체를 사용하여 객체 지향 OTP에서 사용될 고유한 난수를 생성한 후 생성된 난수를 서버에 저장한다. 이렇게 생성된 난수는 이후의 금융관련거래에서 일회용 비밀번호 즉, OTP를 생성하기 위한 OTP 키(Key)값으로 이용되며, 이 과정에서 난수의 생성을 위해서는 MD4, MD5 등 공지의 해싱 알고리즘이 이용될 수 있다.
이어서 OTP USB 등록 단계(130)가 수행된다.
제1 금융기관(20)의 서버는 OTP USB(40)의 고유한 OTP 핀번호를 제1 금융기관(20)의 명칭(또는 인증값 내지 전자서명)과 함께 OTP 등록센터(30)의 OTP 등록서버에 전송하여 해당 OTP USB가 어느 금융기관에서 발급된 것인지를 OTP 등록서버에 등록한다. 이상의 온라인 등록 과정을 통해 해당 OTP USB(40)가 OTP 등록센터(30)에 등록되면, 제1 금융기관(20)에서는 등록된 OTP USB(40)를 고객(10)에게 전달하여 고객이 향후 금융관련거래에 이용할 수 있도록 한다.
이후 OTP USB 초기화 단계(140)가 수행된다.
고객(10)이 발급된 OTP USB(40)의 초기화를 위해, OTP USB(40)를 PC 등 USB 포트가 구비된 유선 또는 무선 단말기에 삽입하면, OTP USB(40)에 내장된 객체 지향 난수 발생 모듈이 구동되며 고객(10)이 등록한 공인인증서(41)의 비밀번호를 OTP USB(40) 자체로 한번 검증하게 된다. 단말기의 디스플레이 화면에는 선택가능 한 금융기관의 종류와 선택가능한 난수 생성 객체의 종류가 디스플레이되며, 고객(10)은 자신의 제1 금융기관(20) 및 선택한 난수 생성 객체들을 체크할 수 있다.
고객(10)의 선택이 완료되면, OTP USB(40)에 있는 플레쉬메모리 등의 메모리 수단에 저장된 난수 생성 모듈이 구동되어 난수를 생성한 후 OTP USB(40)에 내장된 스마트칩에 생성된 난수 값을 저장하는 난수 생성 단계(150)가 수행된다. 난수 생성 단계(150)의 결과 생성된 난수는 OTP USB(40)에 내장된 칩 영역 즉, 제1 금융기관 OTP 영역(42)에 제1 금융기관(20)의 OTP 키(Key)값으로 저장된다. 즉, 저장된 난수는 이후의 금융관련거래에서 일회용 비밀번호 즉, OTP를 생성하기 위한 OTP 키값으로 이용되며, 이 과정에서 난수의 생성을 위해서는 MD4, MD5 등 공지의 해싱 알고리즘이 이용될 수 있다.
마지막으로 OTP USB(40)를 이용한 전자금융거래를 위한 OTP 동기 단계(150)이다.
향후 고객(10)이 인터넷 뱅킹 등 OTP USB(40)를 이용한 금융관련거래를 하고자 하는 경우, 제1 금융기관(20)의 서버에 접속하고 자신의 유무선 단말기에 OTP USB(40)를 삽입하여 제1 금융기관(20)의 서버와 자신의 OTP USB(40)를 동기시키면 OTP USB(40)의 스마트칩의 제1 금융기관 OTP 영역(42)에 저장된 난수 값 즉, OTP 키값이 제1 금융기관(20)의 서버로 전송되는 OTP 동기 단계(160)가 수행된다. OTP 동기 단계(160)에서의 구현 방식으로는 S/Key 방식, 챌린지 리스펀스(Challenge Response) 방식, 시간 동기화(Time Synchronous) 방식, 이벤트 동기화(Event Synchronous) 방식 등 다양한 방법이 공지되어 있으나, 본 발명의 경우에는 챌린지 리스펀스 방식으로 진행되는 것이 바람직하다(?????).
이후의 금융관련거래는 공지의 인터넷 뱅킹 절차로 진행될 수 있으며, 이러한 과정은 본 발명의 요지를 벗어나는 것이므로 이에 대한 설명은 생략하기로 한다.
도 2는 본 발명의 일 실시예에 따른 객체 지향 OTP USB의 중복 등록 절차를 도시하고 있다.
고객(10)이 다른 금융기관 즉, 제2 금융기관(25)을 통한 금융거래를 하고자 하는 경우, 고객(10)이 제2 금융기관(25)을 방문하여 제1 금융기관(20)에서 발급받은 자신의 OTP USB(40)를 다시 등록해야 하며, 이때의 절차를 도 2를 참조하여 상술하기로 한다. 도 2에서는, 도 1에서와 동일한 단계 및 구성요소에 대해서는 동일한 도면번호를 사용하기로 한다.
먼저, 제1 금융기관(25)에서의 OTP USB 2차 신청 단계(210)이다.
고객(10)이 제2 금융기관(25)을 방문하여 자신의 객체 지향 OTP USB(40)의 등록을 신청하는 OTP USB 2차 신청 단계(210)가 수행된다. 도 1의 OTP USB 신청 단계(110)가 OTP USB(40)의 발급 및 사용처(즉, 제1 금융기관(20))의 등록을 신청하는 단계라면, 이번의 OTP USB 2차 신청 단계(210)는 이미 발급된 OTP USB(40)의 다른 사용처(즉, 제2 금융기관(25))를 등록하는 단계라는 점이 차이가 있다.
고객(10)의 OTP USB(40) 등록 신청을 받은 제2 금융기관(25)이 소정의 내부 절차를 거쳐서 해당 OTP USB(40)의 등록을 결정하고, 제2 금융기관(25)과의 거래에 필요한 난수를 발생시킬 복수의 난수 생성 객체를 고객(10)이 선택하게 한다. 제2 금융기관(25)에서 선택가능한 난수 생성 객체의 개수는 제1 금융기관(20)의 경우와 상이할 수 있지만, 적어도 각 금융기관에서 선택가능한 난수 생성 객체의 종류는 동일해야 한다. 또한, 제2 금융기관(25)에서 선택되는 난수 생성 객체에도 OTP비밀번호는 반드시 포함되어야 한다.
이어서, 제2 금융기관(25)에서의 2차 난수 생성 및 저장 단계(220)가 수행된다.
해당 고객(10)에게서 전달받은 OTP USB(40)를 제2 금융기관(25)의 자체 단말기의 USB 포트에 삽입하면, 해당 단말기는 해당 OTP USB(40)의 고유한 OTP 핀번호를 자체 서버로 전송한 후 고객(10)이 선택한 난수 생성 객체를 체크한다(난수 생성 객체 또한 서버로 전송하는 것은 아닌지???).
제2 금융기관(25)의 서버에서는 OTP USB(40)의 고유 OTP 핀번호와 고객(10)이 선택한 난수 생성 객체를 사용하여 객체 지향 OTP에서 사용될 고유한 난수를 생성한 후 생성된 난수를 서버에 저장한다. 여기서 이용되는 난수 생성 알고리즘은 제1 금융기관(20)의 경우와 마찬가지로 공지의 알고리즘을 이용할 수 있다.
이어서, 제2 금융기관(25)에 관련된 OTP USB 2차 등록 단계(230)가 수행된다.
제2 금융기관(25)의 서버는 OTP USB(40)의 고유한 OTP 핀번호를 제2 금융기관(25)의 명칭(즉, 인증값 내지 전자서명)과 함께 OTP 등록센터(30)의 서버에 전송하여 해당 OTP USB(40)를 어디서 사용할 것인지를 OTP 등록센터(30)의 서버에 등록 한다. 이상의 2차 등록 과정을 통해 해당 OTP USB(40)가 OTP 등록센터(30)에 등록되면, 제2 금융기관(25)에서는 등록된 OTP USB(40)를 고객(10)에게 반환하여 고객(10)이 향후 금융관련거래에 이용할 수 있도록 한다.
이후, OTP USB 2차 초기화 단계(240)가 수행된다.
고객(10)이 OTP USB(40)를 유무선 단말기에 삽입하면, OTP USB(40)에 내장된 객체 지향 난수 생성 모듈이 구동되며 고객(10)이 등록한 공인인증서(40)의 비밀번호를 OTP USB(40) 자체로 한번 검증하게 된다. 한편, 단말기의 디스플레이 화면에는 선택가능한 금융기관의 종류와 선택가능한 난수 생성 객체의 종류가 디스플레이되며, 고객(10)이 자신의 제2 금융기관(25) 및 선택한 난수 생성 객체들을 체크하면, OTP USB(40)에 있는 메모리 수단에 저장된 난수 생성 모듈이 구동되어 난수를 생성한 후 OTP USB에 내장된 스마트칩에 생성된 난수 값을 저장하게 된다. 이와 같은 난수 생성 단계의 결과 생성된 난수는 OTP USB(40)에 내장된 칩 영역 즉, 제2 금융기관 OTP 영역(43)에 제2 금융기관(25)의 OTP 키(Key)값으로 저장된다.
이와 같이 본 발명의 OTP USB(40)는 자체 칩에 인증서를 저장하기 위한 인증서 영역(41)과, 제1, 제2 금융기관 등 다수의 금융기관에 관련된 OTP 키값을 저장하기 위한 각 금융기관별 OTP 영역(42, 43)을 확보하고 있다.
향후 고객(10)이 인터넷 뱅킹 등 OTP USB(40)를 이용한 금융관련거래를 하고자 하는 경우, 제2 금융기관(25)의 서버에 접속하고 자신의 유무선 단말기에 OTP USB를 삽입하여 제2 금융기관(25)의 서버와 자신의 OTP USB를 동기시키면 OTP USB의 스마트칩에 저장된 제2 금융기관(25)에 관련된 OTP 키값이 제2 금융기관(25)의 서버로 전송된다.
한편, 제1 금융기관(20)에서 OTP USB를 발급받은 고객(10)이 제2 금융기관(25)에 해당 OTP USB(40)를 등록하고자 하는 경우, 제2 금융기관(25)을 방문하지 않고 제2 금융기관(25)의 서버에 접속하여 자신의 OTP USB(40)를 삽입하고 난수 생성 객체를 선택함으로써 제2 금융기관(25)에서의 등록과정을 온라인으로 처리할 수도 있다. 즉, 상기한 OTP USB 2차 신청 단계(210), 2차 난수 생성 및 저장 단계(220), OTP USB 2차 등록 단계(230), 및 OTP USB 2차 초기화 단계(240)가 모두 온라인으로 수행될 수 있다. 이는 제3, 제4 금융기관의 경우에도 마찬가지이다.
도 3은 본 발명의 일 실시예에 따른 객체 지향 OTP USB의 발급 비용 분담 절차를 도시하고 있다.
본 발명에서 OTP USB를 발급한 제1 금융기관(20)은 OTP USB의 하드웨어 비용을 부담하는 대신 해당 OTP USB의 발급 금융기관으로 등록되며, 향후 해당 OTP USB를 등록하는 복수의 타 금융기관에 해당 OTP USB의 공동사용에 대한 비용을 청구할 수 있다. 이러한 비용분담 과정에 대해 도 3을 참조하여 상술하기로 한다.
본 발명의 수행에 필요한 OTP USB는 원칙적으로 해당 OTP USB(40)를 발급하는 제1 금융기관(20)에서 구입하게 된다. 도 3에서 고객(10)이 제1 금융기관(20)에 OTP USB(40)의 발급 신청을 하게 되면, 제1 금융기관(20)은 미리 구입해 놓은 OTP USB(40)를 상기한 소정의 절차를 거쳐 고객(10)에게 발급하게 된다. 이때 제1 금융기관(20)은 자체 서버에 해당 OTP USB(40)의 OTP 핀번호 및 제1 금융기관(20) 의 명칭(즉, 인증값 또는 전자서명)을 저장함으로써, 각 OTP USB에 대한 발급 기록을 저장한다(단계 310).
이어서, 제1 금융기관(20)의 서버는 저장된 OTP 핀번호와 제1 금융기관의 명칭(즉, 인증값 또는 전자서명)을 OTP USB 등록센터(30)의 서버로 전송하고, OTP USB 등록센터(30)의 서버는 전송된 정보에 OTP USB 등록 센터(30)에 관한 정보(즉, 인증값 또는 전자서명 등)를 추가하여 저장하여 등록한다(단계 320).
이후, 고객(20)이 제2 금융기관(25)에 OTP USB(40)의 등록 신청을 하게 되면, 제2 금융기관은 해당 OTP USB(40)에 제2 금융기관(25)의 명칭(즉, 인증값 또는 전자서명)을 추가로 저장함으로써, 각 OTP USB에 대한 등록 기록을 저장한다(단계 330).
이어서, 제2 금융기관(25)의 서버는 저장된 OTP 핀번호와 제1 및 제2 금융기관의 명칭(즉, 인증값 또는 전자서명)을 OTP USB 등록센터(30)의 서버로 전송하고, OTP USB 등록센터(30)의 서버는 전송된 정보를 저장 및 등록한다(단계 340).
한편, OTP USB 등록센터(30)는 해당 OTP 핀번호와 제1 금융기관(20)을 확인하여 제2 금융기관(25)에 해당 OTP USB(40)의 등록 사용료를 과금하고, 제2 금융기관(25)으로부터 징수한 해당 OTP USB(40)의 등록 사용료를 발급기관인 제1 금융기관(20)에 지불하게 된다(단계350).
이상의 등록 사용료 과금 및 등록 사용료 지불 단계(350)는 제2 금융기관(25)의 등록과 함께 실시간으로 수행될 수도 있으며, 소정의 정산 방식을 통해 정기적 또는 부정기적으로 행해질 수도 있다.
도 4는 본 발명의 일 실시예에 따른 객체 지향 OTP USB의 발급 비용 분담 절차를 도시하고 있다.
본 발명에 따르면, 고객이 OTP USB를 분실한 경우에도 매우 효과적으로 대처할 수 있으며, 이 과정을 도 4를 참조하여 상술하기로 한다.
자신의 OTP USB(40)를 분실한 고객(10)이 직접 또는 소정의 분실신고접수기관(개별 금융기관을 포함함)을 통해 OTP USB 등록센터(30)에 분실신고를 접수하게 되면(단계410), OTP USB 등록센터(30)는 해당 OTP USB(40)의 OTP 핀번호와 분실사실을 각 금융기관(20)에 통보한다(단계420).
향후, 해당 OTP USB(40)를 취득한 취득자(50)가 해당 OTP USB(40)를 이용하여 임의의 금융기관(20)에 접속하게 되면, 해당 금융기관(20)은 분실기록을 토대로 해당 OTP USB(40)의 사용이 방지되도록 해당 OTP USB(40)를 로킹(Locking)하고(단계430), 취득자(50)에게 해당 OTP USB(40)를 OTP USB 등록센터(30) 또는 분실신고접수기관에 반납하기를 요청하는 권고문을 발송할 수 있다(단계440).
본 발명에 따르면, 금융기관에서 OTP USB와 같은 OTP 기기를 사용자에게 발급하는 경우 및 이미 발급된 OTP 기기를 타 금융기관이 이용하는 경우에 발급 및 이용에 관련된 정보를 OTP 등록 센터에 등록하도록 함으로써, 다수의 금융기관이 개별 고객에 대해 하나의 OTP 기기를 공동으로 이용할 수 있도록 함으로써 안전하 고 비용효율적인 금융거래 방법 및 시스템이 제공된다.
또한, 본 발명에 따르면, 하나의 OTP 기기를 이용하여 사용자는 복수의 금융기관에 자신의 OTP USB를 사실상 횟수의 제한없이 등록할 수 있으며, 향후 OTP 기기를 이용한 전자금융거래시 금융기관은 해당 OTP 기기의 고유 OTP 핀번호를 확인하고 자사에 해당하는 난수 값을 OTP 기기로부터 자사의 서버로 전송받음으로써 사용자 인증절차를 완료하고, 금융관련거래 서비스를 제공할 수 있는 안전하고, 비용효율적인 금융거래 방법 및 시스템이 제공된다.
또한, 본 발명에 따르면, 하나의 금융기관에서 발급한 OTP 기기를 타 금융기관에서 이용할 때 발급 및 이용에 관련된 정보를 OTP 등록 센터에 등록하도록 함으로써, 다수의 금융기관이 해당 OTP 기기의 발급 및 이용 비용을 상호 간에 정산하도록 함으로써 시스템 운영 비용의 효과적 분담이 가능한 금융거래 방법 및 시스템이 제공된다.
또한, 본 발명에 따르면, OTP 기기 분실시 이를 OTP 등록 센터에서 각 금융기관으로 통보하도록 하고, 각 금융기관은 분실된 OTP 기기의 접속을 제한하는 사용자 보안성이 강화된 금융거래 방법 및 시스템이 제공된다.
이상에서 본 발명의 바람직한 실시예에 따라 본 발명을 설명하였지만, 본 발명의 권리범위는 상기 실시예나 첨부된 도면에 의해 한정되지 않으며, 첨부된 특허청구범위에 기재된 본 발명의 권리범위를 벗어나지 않는 범위에서 다양한 변형이 가능하다.

Claims (16)

  1. OTP 기기의 제1 OTP 키값을 생성하는 단계;
    상기 제1 OTP 키값이 생성된 OTP 기기의 발급을 등록하는 단계;
    상기 등록된 OTP 기기에서 제2 OTP 키값을 생성하는 단계; 및
    상기 제1, 제2 OTP 키값들을 동기시키는 단계를 포함하는 것을 특징으로 하는 OTP 기기를 이용한 금융거래 방법.
  2. 제 1 항에 있어서,
    상기 OTP 기기의 제1 OTP 키값 생성 단계는 상기 OTP 기기의 발급 금융기관에서 수행되며, 상기 OTP 기기 등록 단계는 모든 OTP 기기의 등록을 진행하는 OTP 기기 등록 센터에서 수행되며, 상기 등록된 OTP 기기의 OTP 키값 생성 단계는 고객의 유무선 단말기를 이용하여 수행되며, 상기 OTP 키값들의 동기 단계는 상기 OTP 기기의 발급 금융기관과 상기 고객이 유무선 단말기 사이에서 수행되는 것을 특징으로 하는 OTP 기기를 이용한 금융거래 방법.
  3. 제 2 항에 있어서,
    상기 OTP 기기를 이용하고자 하는 이용 금융기관에서 상기 OTP 기기의 제3 OTP 키값을 생성하는 단계;
    상기 이용 금융기관에서 상기 OTP 기기의 이용을 상기 OTP 기기 등록 센터에 등록하는 단계;
    상기 등록된 OTP 기기에서 제4 OTP 키값을 생성하는 단계;
    상기 제3, 제4 OTP 키값들을 동기시키는 단계를 추가로 포함하는 것을 특징으로 하는 OTP 기기를 이용한 금융거래 방법.
  4. 제 3 항에 있어서,
    상기 OTP 기기의 키값 생성 단계들은 상기 고객이 선택한 난수 생성 객체를 이용하여 상기 고객의 OTP 기기에 관련된 OTP 키값들을 생성하는 단계인 것을 특징으로 하는 OTP 기기를 이용한 금융거래 방법.
  5. 제 4 항에 있어서,
    상기 난수 생성 객체는 OTP 핀번호, 주민등록번호, 계좌번호, 계좌비밀번호, 인증서DN값, 카드번호, 주소, 전화번호, 핸드폰번호, 생일, 차량번호 중에서 선택된 적어도 하나의 값과 OTP비밀번호를 포함하는 것을 특징으로 하는 OTP 기기를 이용한 금융거래 방법.
  6. 제 3 항에 있어서,
    상기 등록된 OTP 기기에서 OTP 키값을 생성하는 단계는,
    상기 OTP 기기의 공인인증서 비밀번호를 검증하는 단계(??? 본 발명의 경우 공인인증서 등록은 언제 수행됩니까 ???); 및
    상기 고객의 유무선 단말기를 통해 선택된 금융기관과 난수 생성 모듈 객체를 이용하여 선택된 금융기관에 관련된 OTP 키값을 생성하는 단계를 포함하는 것을 특징으로 하는 OTP 기기를 이용한 금융거래 방법.
  7. 제 3 항에 있어서,
    상기 OTP 기기를 등록하는 단계는 상기 OTP 기기의 핀번호와 등록을 의뢰하는 금융기관을 등록하는 단계인 것을 특징으로 하는 OTP 기기를 이용한 금융거래 방법.
  8. 제 3 항에 있어서,
    상기 OTP 키값들의 동기 단계는,
    상기 고객의 유무선 단말기에 삽입된 상기 OTP 기기의 OTP 키값이 상기 고객의 유무선 단말기를 통해 선택된 금융기관의 서버로 전송되는 단계를 포함하는 것을 특징으로 하는 OTP 기기를 이용한 금융거래 방법.
  9. 제 3 항에 있어서,
    상기 OTP 기기 발급 금융기관의 상기 OTP 기기 발급 비용과 상기 OTP 기기 이용 금융기관의 상기 OTP 기기 이용 비용을 정산하는 단계를 추가로 포함하는 것을 특징으로 하는 OTP 기기를 이용한 금융거래 방법.
  10. 제 9 항에 있어서,
    상기 비용 정산 단계는,
    상기 OTP 기기 이용 금융기관으로부터 상기 OTP 기기 이용료를 징수하는 단계; 및
    상기 징수된 OTP 기기 이용료의 적어도 일부를 상기 OTP 기기 발급 금융기관에 지불하는 단계를 추가로 포함하는 것을 특징으로 하는 OTP 기기를 이용한 금융거래 방법.
  11. 제 10 항에 있어서,
    상기 OTP 기기 이용료 징수 단계와 지불 단계는, 상기 OTP 기기 등록 센터에서 상기 OTP 기기 이용 금융기관의 상기 OTP 기기 이용 등록과 동시에 실시간으로 수행되는 것을 특징으로 하는 OTP 기기를 이용한 금융거래 방법.
  12. 제 3 항에 있어서,
    상기 OTP 기기의 분실 신고를 접수하는 단계;
    상기 분실 신고된 OTP 기기의 핀번호 및 분실정보를 상기 각 금융기관에 통보하는 단계; 및
    상기 분실 신고된 OTP 기기를 이용한 상기 금융기관으로의 접속을 차단하는 단계를 포함하는 것을 특징으로 하는 OTP 기기를 이용한 금융거래 방법.
  13. 제 12 항에 있어서,
    상기 분실 신고를 접수하는 단계는 상기 각 금융기관을 포함하는 분실신고센터를 통하여 상기 OTP 기기에서 분실 신고를 접수하는 단계인 것을 특징으로 하는 OTP 기기를 이용한 금융거래 방법.
  14. OTP 기기를 장착할 수 있는 USB 포트를 구비한 고객 단말기;
    유무선 통신망을 통해 상기 고객 단말기에 연결될 수 있으며, 고객이 선택한 제1 그룹의 난수 생성 객체를 이용하여 제1 OTP 키값을 생성하고 상기 제1 OTP 키값의 생성에 관련된 OTP 기기 발급 정보를 저장하는 적어도 하나의 발급 금융 서버;
    상기 유무선 통신망을 통해 상기 고객 단말기에 연결될 수 있으며, 상기 고객이 선택한 제2 그룹의 난수 생성 객체를 이용하여 제2 OTP 키값을 생성하고 상기 제2 OTP 키값의 생성에 관련된 OTP 기기 이용 정보를 저장하는 적어도 하나의 이용 금융 서버; 및
    상기 유무선 통신망을 통해 상기 금융 서버에 연결되어 있으며, 상기 발급 금융 서버 및 상기 이용 금융 서버로부터 상기 OTP 기기 발급 정보 및 상기 OTP 기기 이용 정보를 등록받아 저장하는 OTP 기기 등록 서버를 포함하는 것을 특징으로 하는 OTP 기기를 이용한 금융거래 시스템.
  15. 제 14 항에 있어서,
    상기 OTP 기기 등록 서버는 상기 발급 금융 서버로부터의 OTP 기기 발급 정보와 상기 이용 금융 서버로부터의 OTP 기기 이용 정보를 결합하여 상기 OTP 기기 관련 비용을 정산하는 비용 정산 수단을 추가로 포함하는 것을 특징으로 하는 OTP 기기를 이용한 금융거래 시스템.
  16. 제 15 항에 있어서,
    상기 OTP 기기 등록 서버는 상기 OTP 기기의 분실신고를 접수하고 상기 분실신고에 관련된 정보를 상기 발급 금융 서버와 상기 이용 금융 서버로 전송하는 분실 처리 수단을 추가로 포함하는 것을 특징으로 하는 OTP 기기를 이용한 금융거래 시스템.
KR1020060036090A 2006-04-21 2006-04-21 Otp를 이용한 금융거래 방법 및 시스템 KR100830969B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060036090A KR100830969B1 (ko) 2006-04-21 2006-04-21 Otp를 이용한 금융거래 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060036090A KR100830969B1 (ko) 2006-04-21 2006-04-21 Otp를 이용한 금융거래 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20070104025A KR20070104025A (ko) 2007-10-25
KR100830969B1 true KR100830969B1 (ko) 2008-05-20

Family

ID=38818212

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060036090A KR100830969B1 (ko) 2006-04-21 2006-04-21 Otp를 이용한 금융거래 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR100830969B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100982181B1 (ko) * 2008-10-10 2010-09-14 사단법인 금융보안연구원 오티피 통합 인증 처리 시스템과 그 제어방법
KR101699167B1 (ko) * 2015-07-22 2017-01-23 중소기업은행 Otp 인증 시스템, 단말 및 이를 이용한 인증 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001352324A (ja) * 2000-06-07 2001-12-21 Nec Corp ワンタイムパスワード生成装置、認証方法およびワンタイムパスワード生成プログラムを記録した記録媒体
KR20020095776A (ko) * 2001-06-15 2002-12-28 최창원 일회용 비밀키 생성 방법 및 그 장치
KR20030094831A (ko) * 2002-06-08 2003-12-18 강형자 은행간 오티피 통합 서비스 시스템과 그 제어방법
KR20050053967A (ko) * 2003-12-03 2005-06-10 소프트포럼 주식회사 시간 동기 기반 일회용 비밀번호를 이용한 인증시스템 및인증방법
KR20050119515A (ko) * 2004-06-16 2005-12-21 에스케이 텔레콤주식회사 일회용 암호방식을 이용한 통합 인증 시스템과 그 구축 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001352324A (ja) * 2000-06-07 2001-12-21 Nec Corp ワンタイムパスワード生成装置、認証方法およびワンタイムパスワード生成プログラムを記録した記録媒体
KR20020095776A (ko) * 2001-06-15 2002-12-28 최창원 일회용 비밀키 생성 방법 및 그 장치
KR20030094831A (ko) * 2002-06-08 2003-12-18 강형자 은행간 오티피 통합 서비스 시스템과 그 제어방법
KR20050053967A (ko) * 2003-12-03 2005-06-10 소프트포럼 주식회사 시간 동기 기반 일회용 비밀번호를 이용한 인증시스템 및인증방법
KR20050119515A (ko) * 2004-06-16 2005-12-21 에스케이 텔레콤주식회사 일회용 암호방식을 이용한 통합 인증 시스템과 그 구축 방법

Also Published As

Publication number Publication date
KR20070104025A (ko) 2007-10-25

Similar Documents

Publication Publication Date Title
KR102044751B1 (ko) 블록체인 기반 사용자 인증에 따른 보상을 제공하는 방법
ES2599985T3 (es) Validación en cualquier momento para los tokens de verificación
WO2012004838A1 (en) Service provision method
CN101901517A (zh) 指纹支付认证服务端、及指纹支付方法与系统
US20100299259A1 (en) Method and device for generating a single-use financial account number
US20060123465A1 (en) Method and system of authentication on an open network
JP2000222362A (ja) 多重セキュリティ・チェック・ポイントを可能にする方法及び装置
CN101312453A (zh) 用户终端、登录网络服务系统的方法和绑定/解绑定方法
KR100914905B1 (ko) 일회용 패스워드 생성기능을 가진 스마트카드 및 이를이용한 전자금융거래시스템
CN101093562A (zh) 电子验证方法和电子验证系统
UA113415C2 (xx) Спосіб, сервер і система аутентифікації особи
El Madhoun et al. Security enhancements in emv protocol for nfc mobile payment
US20130138571A1 (en) Systems and Protocols for Anonymous Mobile Payments with Personal Secure Devices
CN106330888B (zh) 一种保证互联网线上支付安全性的方法及装置
CN104618307A (zh) 基于可信计算平台的网银交易认证系统
Ahmed et al. A self-sovereign identity architecture based on blockchain and the utilization of customer’s banking cards: The case of bank scam calls prevention
US20190108521A1 (en) Unpredictable number generation
KR100830969B1 (ko) Otp를 이용한 금융거래 방법 및 시스템
KR20070117371A (ko) 객체 지향 otp 난수 생성 장치
KR20070104026A (ko) 객체 지향 otp 난수 발생 방법 및 시스템
KR20210017308A (ko) 디바이스 등록 및 데이터 분산저장을 이용하는 2차인증 서비스 제공방법
KR101551918B1 (ko) 래크형 보안서버를 이용한 보안 데이터 처리 서비스 시스템 및 방법
KR101062363B1 (ko) Otp를 이용한 사용자 정의 인증 시스템
Sun A survey of payment token vulnerabilities towards stronger security with fingerprint based encryption on Samsung Pay
EP3690782A1 (en) Secure and confidential payment

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110513

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee