KR100862960B1 - Otp 인증장치의 다중등록 방법 - Google Patents

Otp 인증장치의 다중등록 방법 Download PDF

Info

Publication number
KR100862960B1
KR100862960B1 KR1020070015222A KR20070015222A KR100862960B1 KR 100862960 B1 KR100862960 B1 KR 100862960B1 KR 1020070015222 A KR1020070015222 A KR 1020070015222A KR 20070015222 A KR20070015222 A KR 20070015222A KR 100862960 B1 KR100862960 B1 KR 100862960B1
Authority
KR
South Korea
Prior art keywords
otp
server
user
registrar
information
Prior art date
Application number
KR1020070015222A
Other languages
English (en)
Other versions
KR20080075964A (ko
Inventor
이창희
Original Assignee
에스케이씨앤씨 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이씨앤씨 주식회사 filed Critical 에스케이씨앤씨 주식회사
Priority to KR1020070015222A priority Critical patent/KR100862960B1/ko
Publication of KR20080075964A publication Critical patent/KR20080075964A/ko
Application granted granted Critical
Publication of KR100862960B1 publication Critical patent/KR100862960B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

본 발명은 OTP 인증장치의 다중등록 방법에 관한 것으로서, 더욱 상세하게는 온라인 전자금융거래 등에서 사용자에 대한 인증 및 금융거래의 안전성을 확보하기 위해 사용되는 OTP 인증장치에 있어서, 하나의 OTP 인증장치를 다수의 온라인 전자금융거래처에 등록하여 사용할 수 있도록 함으로써, 한층 더 OTP 인증장치의 안전성, 편리성 및 비용 효율성을 제공해주는 OTP 인증장치의 다중등록방법에 관한 것이다.
본 발명에 있어서 OTP 인증장치의 다중등록방법은, 최초 OTP 인증장치의 발급 및 등록 시점에 최초 등록기관의 서버에 온라인으로 접속하기 위한 정보를 OTP 인증장치 내에 저장하는 단계; OTP 인증장치를 신규 등록기관의 서버에 온라인으로 접속하고 사용자 등록을 요청하는 단계; 신규 등록기관의 서버가 서버 인증용 정보 및 사용자 정보를 최초 등록기관의 서버에 전송하여 사용자의 신규 OTP 정보를 요청하는 단계; 최초 등록기관의 서버가 수신된 신규 등록기관의 인증정보를 토대로 신규 등록기관을 인증한 후, 사용자 정보를 토대로 사용자의 기 등록된 OTP 정보를 추출하는 단계; 최초 등록기관의 서버가 상기의 기 등록된 OTP정보로부터 연산된 OTP 정보를 신규 등록기관의 서버로 암호화하여 전송하는 유도된 OTP 정보를 전송하는 단계; 및 신규 등록기관의 서버가 수신된 상기 유도된 OTP 정보를 토대로 사용자 등록을 요청한 OTP 인증장치에 신규 추가 OTP 정보를 저장하는 단계;를 포함하여 이루어진 점을 특징으로 한다.
생체정보, 암호화, OTP(One Time Password), PKI(Public Key Infrastructure), 다중 등록

Description

OTP 인증장치의 다중등록 방법{Method for multiple registration of an OTP authentication device}
도 1은 본 발명에 따른 OTP 인증장치가 구동되는 시스템을 도시한 구성도.
도 2는 본 발명에 따른 OTP 인증장치를 금융기관의 서비스 서버에 등록하는 절차를 보이는 순서도.
도 3는 본 발명에 따른 OTP 인증장치를 다수의 서비스 서버에 등록하는 절차를 도시한 순서도.
도 4는 각 서비스 기관이 등록 요청 사용자에게 OTP 생성용 마스터키를 계산하여 전송하는 절차를 보이는 도면.
본 발명은 OTP 인증장치의 다중등록 방법에 관한 것으로서, 더욱 상세하게는 온라인 전자금융거래 등에서 사용자에 대한 인증 및 금융거래의 안전성을 확보하기 위해 사용되는 OTP 인증장치에 있어서, 하나의 OTP 인증장치를 다수의 온라인 전자금융거래처에 등록하여 사용할 수 있는 메카니즘을 제공함으로써, 한층 더 OTP 인증장치의 안전성, 편리성 및 비용 효율성을 제공해주는 OTP 인증장치의 다중등록방 법에 관한 것이다.
일반적으로 대표적인 온라인 전자거래 중 하나인 금융권의 인터넷 기반 전자금융 서비스에서 그 안전성을 확실히 보장하기 위한 인증수단으로 종이카드가 사용되고 있다. 즉, 사용자 인증 수단의 하나로 사용되고 있는 종이카드에는 약 30개 내외로 사용자마다 다른 4자리 난수를 난수표 형태로 제공하고 있지만, 이 방법은 그 난수의 제한적 개수로 인하여 안전성을 확보하기 힘들기 때문에 이 방법보다 한 단계 고도화된 방법으로 1회용 패스워드 생성기, 즉 OTP(One Time Password) 장치가 사용되거나 HSM(Hardware Security Module)이 내장된 금융 인증 IC 장치가 사용되고 있다. 오늘날에는 일정 규모 이상의 전자금융거래를 이용 시에는 반드시 OTP 장치 또는 금융 인증 IC 장치와 같이 별도의 H/W 인증 디바이스를 사용하도록 국내 전자거래법에서 제한하고 있다.
종래의 OTP 인증장치는 사용자가 전자금융거래망에 접속하여 서비스 서버(금융기관의 서버)에 인증을 요구할 경우, 현재시간과 연관된 난수에 근거하여 패스워드 또는 비밀번호를 수시로 변경하여 표시해 주고, 사용자는 생성된 비밀번호를 호스트 디바이스(사용자측의 PC 등)에 수동으로 입력하는 방식으로 진정한 사용자임을 인증하고 있다.
그러나 사용자가 다수 개의 금융기관을 거래하는 경우에는 각 금융기관 별로 제공하는 다수의 OTP 인증장치를 각각 구비하여야 하기 때문에 소비자가 각 금융기관 별의 OTP 인증장치를 별도로 구매해야 하는 경제적인 부담이 생긴다. 또한 거래은행이 많은 경우에는 다수의 OTP 인증장치를 소지해야 하는 불편함이 있으며, 다 수의 OTP 인증장치 중에서 특정 은행용 인증장치를 일일이 찾아야 하는 번거러움도 있다.
이러한 다중등록의 불편성을 해소하고자 최근에는 OTP 통합 인증센터가 구축되고 있으나, 그 역할 및 등록, 인증절차 등이 구체화가 안되어 있을 뿐만 아니라 현재의 기능으로는 기존 은행권에서 사용하는 각 사용자의 OTP 마스터키 값 등을 OTP 센터가 통합 관리함으로써, 오히려 사용자의 비밀키 정보가 누수될 가능성이 있으며, 또한 한번 OTP 센터가 마비되는 경우는 전 은행권의 온라인 전자거래 자체가 마비될 수 있는 위험요소를 내포하고 있다.
또한 종래의 OTP 인증장치의 경우에는 금융거래 서버와 사용자 OTP 인증장치 간에 공유하는 비밀 마스터 공유키를 안전하게 관리해야 하지만, 현재까지 전자거래를 위해 금융권에서 제공되고 있는 사용자 인증을 위한 별도의 인증 디바이스인 OTP 인증장치는 상기에서 지적한 보안 기능을 제공하기에는 불충분하다.
따라서 전자금융거래 등에서 사용자 인증을 위한 인증장치 내에 안전하고 편리한 비밀키 관리 방법이 요구되며, 또한 하나의 OTP 인증장치를 다중의 금융서버에 금융권 상호 간에 고객 비밀 정보의 누수없이 안전하게 등록 사용할 수 있는 방안이 요구된다.
본 발명의 목적은 앞서 설명한 종래의 사용자 인증 장치의 단점을 극복하는데 있다.
본 발명은 사용자만의 고유 비밀키 값을 안전하게 암호화 관리할 수 있는 하 나의 OTP 인증장치를 제공하여, 다수의 금융기관을 거래하는 사용자가 동일한 OTP 인증장치를 다중으로 다수의 금융서버에 원격으로 등록하여 사용할 수 있도록 하는 안전한 등록관리 방법을 제공하려는 목적을 가지고 있다.
상기 목적을 달성하기 위하여, 사용자 인증 장치의 다중등록 방법은, 최초 OTP 인증장치의 발급 및 등록 시점에 최초 등록기관의 서버에 온라인으로 접속하기 위한 정보를 OTP 인증장치 내에 저장하는 단계; OTP 인증장치를 신규 등록기관의 서버에 온라인으로 접속하고 사용자 등록을 요청하는 단계; 신규 등록기관의 서버가 서버 인증용 정보 및 사용자 정보를 최초 등록기관의 서버에 전송하여 사용자의 신규 OTP 정보를 요청하는 단계; 최초 등록기관의 서버가 수신된 신규 등록기관의 인증정보를 토대로 신규 등록기관을 인증한 후, 사용자 정보를 토대로 사용자의 기 등록된 OTP 정보를 추출하는 단계; 최초 등록기관의 서버가 상기의 기 등록된 OTP정보로부터 연산된 OTP 정보를 신규 등록기관의 서버로 암호화하여 전송하는 유도된 OTP 정보를 전송하는 단계; 및 신규 등록기관의 서버가 수신된 상기 유도된 OTP 정보를 토대로 사용자 등록을 요청한 OTP 인증장치에 신규 추가 OTP 정보를 저장하는 단계;를 포함하여 이루어진 점을 특징으로 한다.
이하, 본 발명의 바람직한 실시예를 첨부 도면에 의거하여 상세하게 설명하면 다음과 같다.
도 1은 본 발명에 따른 OTP 인증장치가 구동되는 시스템을 도시하고 있다.
전자금융거래를 위한 기본 시스템은 사용자측의 호스트 디바이스(100) 및 사 용자 OTP 인증장치(130)와, 금융기관측의 서비스 서버(120)로 구성된다.
사용자가 금융서비스 기관에 연결하기 위해 사용자측에 호스트 디바이스(100)가 구비되고, 상기 호스트 디바이스(100)가 금융기관의 서비스 서버(120)와 유 무선의 네트워크(110)로 연결되어 있으며, 사용자는 금융기관의 서비스 서버(120)에 접근하여 금융거래를 완성하기 위해서 필수적으로 요구되는 사용자 인증을 받기 위해 USB 인터페이스(131)를 가지는 OTP 인증장치(130)를 구비한다. 여기서 USB 인터페이스(131)는 유선 USB, 무선 USB, Zigbee, Bluetooth, CDMA, WiBro 등의 인터페이스 중에서 선택적으로 대치될 수 있다.
특히 본 발명에 따른 OTP 인증장치(130)는 사용자의 생체정보를 이용하여 실시간으로 사용자를 인증하기 위해 생체센서가 포함될 수 있으며, OTP 인증장치(130)로부터 생성되는 OTP 값이 자동으로 호스트 디바이스(100)를 경유하여 서비스 서버(120)로 전달되는 점이 특징이다.
물론 본 발명의 인증장치는 호스트 디바이스를 경유하여 서비스 서버와 유무선으로 채널을 연결할 수 있기 때문에 시도 및 응답(Challenge and Response)방식의 확실한 인증절차를 수립할 수 있으며, 이는 본 특허의 출원인에 의해 출원된 특허 10-2007-0015189에 상세히 기술되어 있다.
따라서 본 발명의 OTP 인증장치(130)가 유 무선 네트워크(110)에 연결된 PC를 비롯한 호스트 디바이스(100)의 USB 슬롯에 삽입되면, 호스트 디바이스(100)로부터 전원이 공급되어 OTP 인증장치(130)가 구동된다. 이때 사용자의 생체정보 중 하나인 지문 정보를 생체센서에 입력하면, 생체정보의 특징점이 추출되어 디지털화 가 수행되어, 상기 디지털화된 생체정보를 바탕으로 진정한 사용자 여부를 인증하고 OTP 값을 생성하게 되어 USB 인터페이스를 통해 호스트 디바이스(100)로 전달되고, 연속해서 호스트 디바이스(100)에 연결된 네트워크(110)를 통해 서비스 서버(120)로 전송되어 전자금융거래를 수행하게 된다.
본 발명의 실시예에 따른 USB 기반의 생체정보를 이용하는 OTP 인증장치를 사용자가 전자금융거래에 편리하게 자동으로 OTP 값을 입력하여 사용하기 위해서는, OTP 인증장치에 대한 초기 키셋업 단계가 필요하며, 그 이후에 전자금융거래처에 OTP 인증장치를 원격으로 등록하는 단계가 필요하다.
본 발명에 따른 USB 기반의 OTP 인증장치(130)의 상세 구성 및 초기 키 셋업 단계는 본 출원인에 의해 출원된 특허출원 10-2007-0015189에 상세히 기재되어 있기에, 본 출원에서는 원격으로 수행되는 사용자 등록절차 및 다중기관 등록절차에 대해 상세히 기술한다.
도 2는 본 발명에 따른 OTP 인증장치를 금융거래기관에 등록하는 사용자 등록 절차를 보이는 순서도이다.
우선, OTP 인증장치의 사용자 등록 절차는 최초 OTP 인증장치의 키셋업 당시에 안전하게 기록/보관된 사용자 인증을 위한 생체정보 특징값을 토대로 사용자 인증을 수행한다(S250). 즉, 사용자 인증장치를 구동하면 사용자 생체정보 입력이 요구되고, 이에 따라 사용자 생체정보를 입력하면 사용자 생체정보의 특징점을 실시간으로 추출하고, 상기 추출된 값과 OTP 인증장치의 최초 키 셋업시에 미리 연산되어 저장된 사용자 생체정보 특징값과 비교하여 진정한 사용자 여부를 인증한다. 한 편 이 단계에서 사용자 OTP 인증장치로부터 사용자 ID가 서비스 서버로 전달된다.
다음 단계는 보안채널 구축 및 응답값 요청단계이다. 사용자 등록을 위해서는 일반적으로 사용자 측의 호스트 디바이스와 금융기관의 서비스 서버 간에 SSL 및 PKI 기반의 안전한 암호화 채널을 구성하고, 이를 통해 안전한 채널이 형성되면 서비스 서버는 사용자 인증을 위해 랜덤한 난수 시도(Challenge) 값 'N'을 생성하여 자신의 서버 ID와 함께 사용자 호스트 디바이스에 안전하게 전송하게 되고, 다시 사용자 호스트 디바이스는 OTP 인증장치에 서비스 서버의 ID 전송 및 시도값 'N'에 대한 응답(Response) 값의 생성을 요청하게 된다(S251).
다음은 비밀키 및 마스터키 산출단계로서, OTP 인증장치는 상술한 S250의 사용자 생체정보 기반 인증을 수행한 후에, 그 생체정보 값으로부터 미리 자신의 OTP 생성을 위한 기반 비밀키 값 "TK" 및 암호전송을 위한 마스터키 값 "MK"를 산출한다(S252).
실질적으로 사용자의 OTP를 등록한다는 것은 상기의 "TK"값을 등록하는 것으로, OTP 인증장치와 호스트 디바이스 및 서비스 서버 사이의 채널에 대한 안전한 전송과 진정한 OTP 인증장치의 적합성을 검증하기 위하여 "MK"값으로 암호화하여 전달하는 것이다. 즉, "MK"값을 키로 하여 "TK"값을 암호화하는 것은 1차적으로 넘겨주는 채널의 안전성을 위함이고 2차적으로 넘겨받는 쪽에서 사용자 정보를 통한 복호화가 정확히 이루어져야 실질적 사용자 OTP 인증장치로부터 전송된 것을 인증하게 되는 것이다.
여기서 S251과 S252는 그 순서가 서로 바뀌어서 수행될 수도 있다.
이후는, 응답값 계산단계로서, OTP 인증장치는 호스트 디바이스로부터 받은 서비스 서버의 ID(IDs)와 랜덤 시도 값 'N'에 대하여 해쉬값 H:=Hash(IDs, TK, N)을 계산하고, 이를 안전하게 전달하기 위하여 S252에서 추출한 마스터키 "MK"로 암호화한 값 T:=Enc(TK;MK)를 계산한다(S253).
다음은 등록인증 단계인데, 산출된 "H"와 "T" 및 서비스 서버 ID(IDs), 사용자 ID(IDu)를 묶은 응답값 "RS"를 호스트 디바이스에 전달하면, 호스트 디바이스는 자신이 이미 서버와 열어놓은 PKI 암호채널을 통해 서비스 서버에 전송하며, 서비스 서버는 미리 고객 ID 정보로부터 고객의 OTP 마스터키를 획득하여 똑같이 "MK"값을 산출하고 이를 킷값으로 전달받은 "T"로부터 복호화 과정을 통해 얻게 되는 결과값 "TK*"를 계산한다. 다시 "TK*" 및 자신의 ID값을 활용하여 인증 체크를 위한 해쉬값 "H*:=Hash(IDs, TK*, N)"을 계산하고 이것과 전송받은 "H" 값을 비교하여 H=H* 이면 TK를 등록하고, 그러하지 않으면 등록을 거부하여 OTP 인증장치를 인증하게 된다.
인증이 성공되면 최종적으로 서비스서버가 사용자 호스트 디바이스를 거쳐 OTP 인증장치에 완료 응답 메시지를 전송하고, 이를 수신한 OTP 인증장치는 최종적으로 자신을 등록한 서비스 서버 ID를 내부에 안전하게 기록/저장함(S254)으로써, OTP 인증장치의 서비스 서버 등록을 완료한다.
여기서, S251은 사용자의 OTP를 원격다중등록을 위한 절차를 예시한 것으로 서, 사용자가 최초 OTP를 금융권 매장에서 발급받을 때는 S251이 생략되고 서비스 서버와 호스트 디바이스는 동일한 발급 터미널이 되며, S254의 공개키 암호화 전송은 간단히 RS값을 전송한는 것으로 간략화 될 수 있다.
다음으로, 상술한 바와 같이 사용자가 OTP 인증장치를 하나의 금융기관 서비스 서버에 등록을 마친 후에, 동일한 OTP 인증장치를 사용하여 다수의 서비스 서버에 등록하는 과정을 살펴본다.
도 3은 본 발명에 따른 OTP 인증장치를 다수의 서비스 서버에 등록하는 절차를 도시한 순서도이다.
본 발명 실시예의 OTP 인증장치가 신규 OTP 등록 기관(서버)에 등록하는 단계(S301)는 도 2를 참조하여 상술된 바와 같다. 즉, OTP 사용자가 최초로 해당 OTP 인증장치를 최초 발급 기관인 Site-A(서버 ID는 SvrID_A)로부터 발급 받을 때 상술한 등록절차를 거쳐 인증 후 OTP 인증장치 내부에 Site-A의 OTP 생성 비밀키가 저장되어 Site-A에서 사용이 가능한 상태로 준비가 완료되어 있다.
이후에는, 사용자가 Site-A로부터 발급은 OTP 인증장치를 다른 금융기관에도 사용할 수 있도록 타 금융기관에 사용등록을 요청하는 경우에, 새로운 금융기관의 서비스 서버가 최초 OTP 발급기관의 서비스 서버로부터 등록 요청을 한 사용자의 OTP 비밀키 값에 대한 유도키(Derived Key)값을 넘겨받고자 PKI 채널 수립 및 서버 인증을 위한 정보와 사용자 ID를 최초 서버-A에 전송하는 절차(S302 ~ S303)가 필요하다.
여기서 유도키는 실제 OTP 인증장치가 최초 발급기관과 공유한 비밀 마스터 키 값을 다른 서비스 기관과 공유하지 않고 서로 다른 독립적 키값 관리체계를 운용할 수 있도록 유도하는데 사용되는데, 이에 대한 구체적인 실시예는 후술되는 도4를 참조하여 설명한다.
사용자가 Site-A로부터 발급받은 OTP 인증장치를 다른 금융기관에도 사용할 수 있도록 사용등록을 요청하는 절차를 살펴보기 위해 우선 새로 등록할 서비스 기관을 Site-C(서버 ID는 SvrID_C)라고 가정한다.
우선 첫 단계는 사용자 등록요청 단계로서, 사용자는 OTP 인증장치를 통해 Site-C에 등록 요청을 하게되고, Site_C의 서버는 요청한 OTP 인증장치에 관련 정보를 요청한다. 이때 OTP 인증장치로부터 Site_C에 업로드되는 정보에는 자신의 인증장치 ID(사용자 IDu)와 인증장치의 최초 발급기관(서버)의 ID(SvrID_A)가 전송된다(S302).
그 다음은 사용자의 신규 OTP 정보요청 단계로서, Site_C는 최초 발급서버 ID(사실상 최초 발급서버의 서버 접속 URL등을 포함하고 있음)를 이용하여 Site_A에 안전한 공개키 채널을 통해 자신의 ID값(SvrID_C), 자신의 공개키가 포함된 인증서(Cert_C), OTP 인증장치 ID값, 그리고 랜덤한 Nonce(Challenge값) ‘N'을 생성하여 Site-A에 암호화 전송한다(S303).
다음은 기 등록된 OTP 정보 추출 단계인데, 서버-A가 서버-C로부터 수신된 C의 인증정보(인증서=Cert_C)를 토대로 서버-C를 인증하고, 또한 수신된 OTP 인증장치의 사용자 ID 값으로부터 해당 OTP 사용자-비밀키 값을 추출하는 단계(S304)로 서, Site-A는 상기의 값을 수신한 후 Site-C의 인증서를 인증하고 OTP의 ID값으로부터 기 등록된 해당 OTP 인증장치의 OTP 생성 비밀키(Key_OTP)를 추출한다.
즉, Site-A는 이미 사용자에게 최초 OTP 장치를 발급하는 시점에서 OTP 인증장치와 Site-A의 서버 사이에 OTP 마스터키 값(Key_OTP="TK")을 공유한 상태이며, 서버는 그 시점에 안전한 DB에 그 값을 사용자 ID와 함께 저장/관리하고 있는 상태로서 사용자의 ID값만 있으면 해당 값을 시스템 내부에서 검색하여 추출한다.
그리고, 일단 서버-A가 서버-C를 인증하면 관련 사용자 OTP 정보로부터 유도된 유도키 값(유도키 값은 후술되는 도4의 K2.1, K3.1, K4.1)을 공개키로 암호화 하여 안전하게 전송하는 유도된 OTP 정보전송 단계(S305)로서, 서버-A는 랜덤 Nonce 'N'에 대한 인증값 R:=Hash(Key_OTP, SvrID_C, N)를 계산하고, Site-C가 추가적인 자신의 OTP 인증장치 관리용 마스터키를 생성할 수 있도록 ENV:=Hash(Key_OTP, SvrID_C)를 Site-C의 공개키로 암호화하여 안전하게 전송한다. 즉, ENV 및 R 값을 Pubkey_C로 암호화하여 전송한다.
최종적으로, 서버-C가 서버-A로부터 OTP-유도키값(=Hash(Key_OTP, SvrID_C))을 수신 및 복원하고, 서버-C의 정책에 부합하는 신규 추가 OTP 킷값을 등록 요청한 OTP 인증장치에 안전하게 탑재(Download, Write)하는 신규 OTP 저장단계(S306)가 수행된다.
상세한 절차를 살펴보면, Site-C의 서버는 똑같은 랜덤 Nonce 'N'과 자신의 ID값(SvrID_C)를 OTP 인증장치에 내려보내 그 답신(Response)값을 요청하게 되고, 다시 OTP 인증장치는 Site-A가 계산한 절차를 따라 그 답신값을 되돌려 준다. 이 과정 및 인증 방식은 이미 앞서 기술한 OTP 인증장치의 등록절차(도 2)를 따르는데, 도 2에서 설명한 TK 값이 바로 상기의 Key_OTP를 의미한다.
이러한 인증 과정이 성공적으로 마쳐지면 Site-C는 자신이 해당 OTP 인증장치에 부여할 비밀키 값과 자신의 ID값(SvrID_C)을 안전하게 상기의 ENV값으로 암호화하여 내려주며, OTP 인증장치는 이를 복호화하여 자신의 안전한 메모리에 기록/관리하게 되는데 이 값은 물론 새로이 등록되는 기관의 ID값(SvrID_C)과 함께 기록/관리 운용된다.
이와 같이 사용자 인증을 위한 OTP 인증장치를 구성할 때 사용자 입장에서 하나의 인증장치로 다중 서비스 기관에 안전하게 OTP 인증장치를 원격/온라인으로 등록하고 사용할 수 있도록 하기 위하여, 최초 OTP 인증장치의 발급과 등록 시점에 상술한 바와 같은 절차로 사용자의 생체정보를 인증한 후 최초 발급기관의 ID(온라인 접속을 위한) 값을 OTP 인증장치 내에 등록 및 저장하며, 이 최초 발급기관의 등록정보를 제3 금융기관의 등록에 사용하는 방법은 본원 발명의 독특한 특징이라 할 수 있다.
도 4는 각 서비스 기관이 등록 요청한 사용자에게 OTP 생성용 비밀키를 계산해서 전송하는 절차를 도시한 도면이다.
도시된 바와 같이, 최초 발급기관인 A는 사용자의 OTP 인증장치에 최초 OTP 생성용 비밀키 K1를 삽입시켜 놓게 된다. 그리고 사용자는 자신의 OTP 인증장치를 이후 다른 서비스 기관인 B, C, D 와 같은 서비스 서버에 등록할 때 각 기관은 한 사용자에 대한 서로의 OTP생성 비밀키를 알 수 없게끔 서비스 기관과 사용자만의 OTP 생성 비밀키를 만들어야 한다.
서비스 기관 B에 등록하는 절차를 예시로 설명한다. 우선 최초 등록기관으로부터 유도된 키 값을 전달받는 단계(S401)로서, 기관 B는 A로부터 사용자에게 발급할 OTP 비밀키 생성을 위한 유도킷값 K2.1:= Hash(K1, ID_B)을 전달받는다.
다음은 서비스 기관의 비밀키를 생성하는 단계(S402)로서, 서비스 기관 B는 자신이 사용자에게 할당할 자신만의 고유 비밀키 MK_B를 생성한다. 여기서 MK_B는 해당 기관이 각 사용자마다 OTP 비밀 마스터키 값을 생성하기 위해 처음에 한번 랜덤하게 생성해서 관리하는 키값이거나, 혹은 매 사용자의 등록 요청 시마다 램덤하게 생성하는 값이다.
다음의 단계에서는 다시 상기의 K2.1과 MK_B, 그리고 사용자의 ID값 ID_U를 이용하여 사용자 OTP 인증장치에 탑재할 새로운 OTP 생성용 비밀키밀 K2.2를 계산하는 비밀키 생성단계(S403)이며, 최종적으로 상기의 생성된 서비스 기관 B의 비밀키가 사용자 인증장치에 다운로드되어 저장된다(S404). 이때 K2.2는 Hash(K2.1,MK_B,ID_U)로 계산되고 다운로드 시킬 때는 사용자와 호스트 디바이스 사이에 공개키 암호 채널을 열어서 안전하게 암호화 전송하게 된다.
상술한 바와 같은 동일한 방법을 이용하여, 발급기관 C의 경우에도 기관 A로부터 사용자에게 발급할 OTP 비밀키 생성을 위한 유도킷값 K3.1:= Hash(K1, ID_C)을 전달받은 후 자신이 사용자에게 할당할 자신만의 고유 비밀키 MK_C를 생성하고 다시 상기의 K3.1과 MK_C, 그리고 사용자의 ID값 ID_U를 이용하여 사용자 OTP 인증장치에 탑재할 새로운 OTP 생성용 비밀킷값 K3.2를 연산한다.
결과적으로, 본 발명은, 일단 사용자가 자신의 OTP 인증장치를 최초 발급/등록한 후에 다른 서비스 기관에 인증 및 등록하는 과정에서 대상 서비스 기관(서버)이 OTP 인증장치로부터 전달받은 최초 발급기관 ID를 통하여 최초 발급서버에 PKI 기반의 안전한 채널을 통해 접속, 사용자 OTP 인증장치에 해당하는 OTP 생성 기반 비밀코드값에 대한 2차에 걸친 유도값(K2.1, K3.1, K4.1)을 얻고, 다시 이 코드값을 자신 기관의 전용 OTP 생성 기반 비밀코드값으로 유도한 값(K2.2, K3.2, K4.2)을 등록 요청한 사용자 OTP 인증장치와 공유 비밀키로 활용하는 점이 특징적인 발명이다.
또한 본 발명은, 사용자 인증을 위한 보조 수단으로서 OTP 인증장치를 구성할 때 사용자 입장에서 하나의 인증장치로 다중 서비스 기관에 안전하게 OTP 인증장치를 원격/온라인으로 등록하고 사용할 수 있도록 하기 위하여 최초 OTP 인증장치의 발급과 등록 시점에 사용자의 생체정보를 인증한 후 최초 등록기관의 ID(온라인 접속을 위한) 값을 OTP 인증장치 내에 등록/저장하는 절차를 구비하는 점에 특징이 있다.
또한 일단 사용자가 자신의 OTP 인증장치를 최초 등록한 후에 다른 서비스 기관에 인증 및 등록하는 과정에서 대상 서비스 기관(서버)이 OTP 인증장치로부터 전달받은 최초 등록기관 ID를 통하여 최초 등록서버에 PKI 기반의 안전한 채널을 통해 접속, 사용자 OTP 인증장치에 해당하는 OTP 생성 기반 비밀코드값에 대한 2차 유도값을 얻고, 다시 이 코드값을 자신 기관의 전용 OTP 생성 기반 비밀코드값으로 유도한 값을 등록 요청한 사용자 OTP 인증장치와 공유 비밀키로 활용하는 점이 특 징적이라 할 수 있다.
이와 같이, 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범주에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며, 후술하는 특허청구범위 뿐만 아니라 이 청구범위와 균등한 것들에 의해 정해져야 한다.
이상에서 상술한 바와 같이 본 발명에 따른 OTP 인증장치의 다중 등록방법은 다수의 금융기관을 거래하는 사용자를 위해 하나의 OTP 인증장치를 다중 서비스 기관에 안전하게 등록, 사용할 수 있는 메카니즘을 제공함으로써, 기존의 인증 디바이스 대비, 안전성, 편리성, 비용 효율성 등을 얻도록 하는 효과를 가질 뿐만 아니라, 다수 개의 OTP를 소지할 필요가 없으며, 너트워크를 이용하여 원격으로 다수의 금융기관에 사용자 등록을 할 수 있도록 하여 사용자의 편의성을 극대화하는 효과도 얻을 수 있다.

Claims (7)

  1. 하나의 사용자 인증장치를 다중의 서비스 기관에 안전하게 등록하여 사용할 수 있도록 하기 위한 다중등록방법에 있어서,
    최초 OTP 인증장치의 발급 및 등록 시점에 최초 등록기관의 서버에 온라인으로 접속하기 위한 정보를 OTP 인증장치 내에 저장하는 단계;
    OTP 인증장치를 신규 등록기관의 서버에 온라인으로 접속하고 사용자 등록을 요청하는 단계;
    신규 등록기관의 서버가 서버 인증용 정보 및 사용자 정보를 최초 등록기관의 서버에 전송하여 사용자의 신규 OTP 정보를 요청하는 단계;
    최초 등록기관의 서버가 수신된 신규 등록기관의 인증정보를 토대로 신규 등록기관을 인증한 후, 사용자 정보를 토대로 사용자의 기 등록된 OTP 정보를 추출하는 단계;
    최초 등록기관의 서버가 상기의 기 등록된 OTP정보로부터 연산된 OTP 정보를 신규 등록기관의 서버로 암호화하여 전송하는 유도된 OTP 정보를 전송하는 단계; 및
    신규 등록기관의 서버가 수신된 상기 유도된 OTP 정보를 토대로 사용자 등록을 요청한 OTP 인증장치에 신규 추가 OTP 정보를 저장하는 단계;
    를 포함하여 이루어진 점을 특징으로 하는 OTP 인증장치의 다중등록방법.
  2. 제 1항에 있어서, 상기 사용자 등록을 요청하는 단계는,
    신규 등록기관의 서버가 등록을 요청한 OTP 인증장치에게 인증장치와 관련된 정보를 요청하는 단계와,
    OTP 인증장치의 사용자 ID와 OTP 인증장치의 최초 등록기관의 ID가 OTP 인증장치로부터 신규등록기관의 서버로 업로드되는 단계를 포함하는 점을 특징으로 하는 OTP 인증장치의 다중등록방법.
  3. 제 1항에 있어서, 상기 사용자의 신규 OTP 정보를 요청하는 단계는,
    신규 등록기관의 서버가 최초 등록기관 서버의 URL을 포함하는 최초 등록서버 ID를 이용하여, 신규 등록기관의 ID, 신규 등록기관의 공개키가 포함된 인증서, OTP 인증장치의 사용자 ID 및 랜덤한 시도(Challenge)값을 최초 등록기관의 서버로 전송하여 해당 사용자의 OPT 정보를 요청하는 점을 특징으로 하는 OTP 인증장치의 다중등록방법.
  4. 제 1항에 있어서, 상기 사용자의 기 등록된 OTP 정보를 추출하는 단계는,
    최초 등록기관의 서버가 수신된 신규 등록기관의 인증서를 토대로 신규 등록기관의 서버를 인증하는 단계와,
    최초 등록기관의 서버가 수신된 OTP 인증장치의 사용자 ID를 이용해 기 등록된 해당 OTP 인증장치의 OTP 비밀키를 추출하는 단계를 포함하는 점을 특징으로 하는 OTP 인증장치의 다중등록방법.
  5. 제 1항에 있어서, 상기 유도된 OTP 정보를 전송하는 단계는,
    최초 등록기관의 서버가 등록을 요청한 OTP 인증장치의 비밀키 정보로부터 유도된 유도키 값을 산출하는 단계와,
    최초 등록기관의 서버가 신규등록기관의 서버에서 보낸 랜덤한 시도값에 대한 인증값을 연산한 후, 신규 등록기관의 서버가 OTP 인증장치용 추가 비밀키를 생성할 수 있도록 상기 인증값 및 유도키 값을 공개키로 암호화하여 전송하는 단계를 포함하는 점을 특징으로 하는 OTP 인증장치의 다중등록방법.
  6. 제 1항에 있어서, 상기 신규 추가 OTP 정보 저장단계는,
    신규 등록기관의 서버가 OTP 인증장치를 인증하는 단계와,
    신규 등록기관의 서버가 OTP 인증장치에 부여할 비밀키 값과 신규 등록기관의 ID를 암호화하여 OTP 인증장치로 전송하는 단계와,
    OTP 인증장치가 상기 비밀키 값과 신규등록기관의 ID 정보를 복호화하여 OTP 인증장치 내의 메모리에 기록하는 단계를 포함하는 점을 특징으로 하는 OTP 인증장치의 다중등록방법.
  7. 제 6항에 있어서, 상기 OTP 인증장치로 전송하는 단계는,
    신규 등록기관의 서버가 사용자에게 할당할 신규 등록기관의 고유 비밀키를 생성하는 신규 등록기관 비밀키 생성 단계와,
    최초 등록기관으로부터 전송받은 유도키 값과 상기 고유 비밀키 및 사용자 ID를 이용하여 사용자 OTP 인증장치에 탑재할 새로운 OTP 생성용 비밀키 값을 계산하는 2차 유도키 값 생성단계와,
    상기의 2차 유도키 값을 공개키 암호 채널을 통해 열어서 OTP 인증장치로 전송하는 단계를 포함하는 점을 특징으로 하는 OTP 인증장치의 다중등록방법.
KR1020070015222A 2007-02-14 2007-02-14 Otp 인증장치의 다중등록 방법 KR100862960B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070015222A KR100862960B1 (ko) 2007-02-14 2007-02-14 Otp 인증장치의 다중등록 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070015222A KR100862960B1 (ko) 2007-02-14 2007-02-14 Otp 인증장치의 다중등록 방법

Publications (2)

Publication Number Publication Date
KR20080075964A KR20080075964A (ko) 2008-08-20
KR100862960B1 true KR100862960B1 (ko) 2008-10-13

Family

ID=39879301

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070015222A KR100862960B1 (ko) 2007-02-14 2007-02-14 Otp 인증장치의 다중등록 방법

Country Status (1)

Country Link
KR (1) KR100862960B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100982181B1 (ko) * 2008-10-10 2010-09-14 사단법인 금융보안연구원 오티피 통합 인증 처리 시스템과 그 제어방법
KR102000164B1 (ko) 2016-03-08 2019-07-16 한국전자통신연구원 복수개의 otp들을 이용한 otp 인증 강화 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050053967A (ko) * 2003-12-03 2005-06-10 소프트포럼 주식회사 시간 동기 기반 일회용 비밀번호를 이용한 인증시스템 및인증방법
KR20050071768A (ko) * 2004-01-02 2005-07-08 에스케이 텔레콤주식회사 원타임 패스워드 서비스 시스템 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050053967A (ko) * 2003-12-03 2005-06-10 소프트포럼 주식회사 시간 동기 기반 일회용 비밀번호를 이용한 인증시스템 및인증방법
KR20050071768A (ko) * 2004-01-02 2005-07-08 에스케이 텔레콤주식회사 원타임 패스워드 서비스 시스템 및 방법

Also Published As

Publication number Publication date
KR20080075964A (ko) 2008-08-20

Similar Documents

Publication Publication Date Title
KR100876003B1 (ko) 생체정보를 이용하는 사용자 인증방법
TWI667585B (zh) 一種基於生物特徵的安全認證方法及裝置
US9160732B2 (en) System and methods for online authentication
US9860245B2 (en) System and methods for online authentication
EP2648163B1 (en) A personalized biometric identification and non-repudiation system
US20120191977A1 (en) Secure transaction facilitator
JP2004506361A (ja) デバイスの検証ステータスを提供することによる電子通信におけるエンティティ認証
KR20040066605A (ko) 공개키 기반 구조(pki) 도메인간의 이동 사용자를 위한스마트카드 인증서 등록 및 검증 시스템 및 방법
KR100939725B1 (ko) 모바일 단말기 인증 방법
KR20100006004A (ko) 카드를 이용한 인증 처리 방법 및 시스템, 카드를 이용한인증 처리를 위한 카드 단말기
KR100862960B1 (ko) Otp 인증장치의 다중등록 방법
AU2015202661B2 (en) System and methods for online authentication
KR101700833B1 (ko) 카드 사용자 인증 시스템 및 그를 위한 인증서버와 휴대단말기
KR101619282B1 (ko) 클라우드 기반 비밀번호 통합관리 시스템 및 이의 제어 방법
US20240236067A9 (en) Secure online authentication method using mobile id document
KR101682678B1 (ko) 카드 트랜잭션 시스템 및 그를 위한 암복호화 서버
KR101598993B1 (ko) 인증서 운영 방법
KR20190012898A (ko) 마스터패스워드 및 일회용사설인증서 기반의 간편 본인인증 방법
KR20160057362A (ko) 지정 단말을 이용한 비대면 거래 제공 방법
TWM520168U (zh) 產生多因子信物之系統
KR20140105699A (ko) 인증서 운영 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110909

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140916

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170810

Year of fee payment: 12