KR100884376B1 - 질의기를 이용한 일회용패스워드 시스템 및 방법 - Google Patents

질의기를 이용한 일회용패스워드 시스템 및 방법 Download PDF

Info

Publication number
KR100884376B1
KR100884376B1 KR1020060012770A KR20060012770A KR100884376B1 KR 100884376 B1 KR100884376 B1 KR 100884376B1 KR 1020060012770 A KR1020060012770 A KR 1020060012770A KR 20060012770 A KR20060012770 A KR 20060012770A KR 100884376 B1 KR100884376 B1 KR 100884376B1
Authority
KR
South Korea
Prior art keywords
query
server
fixed key
response value
otp
Prior art date
Application number
KR1020060012770A
Other languages
English (en)
Other versions
KR20070081048A (ko
Inventor
양기호
황재엽
Original Assignee
(주)솔메이즈
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)솔메이즈 filed Critical (주)솔메이즈
Priority to KR1020060012770A priority Critical patent/KR100884376B1/ko
Priority to US12/278,945 priority patent/US20090300732A1/en
Priority to PCT/KR2007/000728 priority patent/WO2007091869A2/en
Priority to EP07708878A priority patent/EP1987435A4/en
Publication of KR20070081048A publication Critical patent/KR20070081048A/ko
Application granted granted Critical
Publication of KR100884376B1 publication Critical patent/KR100884376B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09BEDUCATIONAL OR DEMONSTRATION APPLIANCES; APPLIANCES FOR TEACHING, OR COMMUNICATING WITH, THE BLIND, DEAF OR MUTE; MODELS; PLANETARIA; GLOBES; MAPS; DIAGRAMS
    • G09B15/00Teaching music
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09BEDUCATIONAL OR DEMONSTRATION APPLIANCES; APPLIANCES FOR TEACHING, OR COMMUNICATING WITH, THE BLIND, DEAF OR MUTE; MODELS; PLANETARIA; GLOBES; MAPS; DIAGRAMS
    • G09B19/00Teaching not covered by other main groups of this subclass
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09FDISPLAYING; ADVERTISING; SIGNS; LABELS OR NAME-PLATES; SEALS
    • G09F17/00Flags; Banners; Mountings therefor
    • GPHYSICS
    • G10MUSICAL INSTRUMENTS; ACOUSTICS
    • G10DSTRINGED MUSICAL INSTRUMENTS; WIND MUSICAL INSTRUMENTS; ACCORDIONS OR CONCERTINAS; PERCUSSION MUSICAL INSTRUMENTS; AEOLIAN HARPS; SINGING-FLAME MUSICAL INSTRUMENTS; MUSICAL INSTRUMENTS NOT OTHERWISE PROVIDED FOR
    • G10D9/00Details of, or accessories for, wind musical instruments
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response

Abstract

본 발명은 일반적인 OTP토큰의 높은 비용 문제와, 높은 비용 문제 해결을 위해 휴대폰에 OTP프로그램을 탑재한 모바일OTP의 해킹위험성 문제를 해결한 것으로서, 사용자가 고정키로서 이미지패스워드를 정하고, 생성된 OTP를 고정키인 이미지들에게 나누어 대응시킨 질의화면을 질의단말기에서 출력시키고, 질의화면을 확인한 사용자가 자신의 고정키인 이미지패스워드와 대응된 숫자들을 연이어 입력하여, 서버내에 준비되어 있는 응답값과 일치하는지에 따라 사용자인증결과를 처리하는 시스템 및 방법이 소개되어 있다.

Description

질의기를 이용한 일회용패스워드 시스템 및 방법 {Method and apparatus of OTP based on Challenge/Response}
도 1은 종래 OTP의 예이다.
도 2는 본 발명의 기본 개념을 나타낸 그림이다.
도 3은 본 발명의 일 실시예이다.
도 4는 본 발명의 또 다른 실시예이다.
도 5는 질의프로그램 설치과정을 나타낸 것이다.
도 6은 실시예를 이용한 인증과정을 나타낸 것이다.
사용자인증 방식은 크게 그 사람만이 알고 있는 것을 확인하거나, 그 사람만이 가지고 있는 것을 확인하거나, 그 사람만의 신체적 특성을 확인하는 것으로 분류할 수 있는데, 패스워드, 스마트카드, 지문인식 등이 각각 그 방식들의 대표적인 예이다.
이중에서도 그 사람만이 가지고 있는 것을 확인하는 방식이 그 안전성 면에서 많이 각광 받아 왔는데, 예전부터 사용해 오던 은행보안카드(이하 보안카드)나 최근 들어 관심을 받고 있는 OTP(One-Time Password, 일회용 패스워드)가 모두 그러한 방식이라 할 수 있다.
그런데, 이런 보안카드나 OTP는 매우 높은 안전성을 보장하고 있음에도 불구하고, 도난, 분실 등에 취약성이 있다는 것이 단점이었다. 그 사람만이 가진 것을 확인하는 방식이란, 역으로 말하면, 그것을 가진 사람이라면 그 진위여부에 관계없이 그 사람 본인으로 본다는 것이기 때문에, 타인이라도 그것을 훔치거나 습득하면 그 물건의 주인으로 행세할 수 있다는 단점이 있는 것이다.
도 1은 종래 OTP의 예이다.
이와 같은 단점을 해결하고자 하는 노력은 전에도 있었다. OTP를 그 예로 들 수 있는데, 도 1과 같이 패스워드 입력이 두 부분으로 나뉘어 있어서, 고정 패스워드 4자리와 OTP를 함께 입력받아 인증하는 방식이 바로 그것이다. 즉, 그 사람만이 가지고 있는 것을 확인하는 방식과 그 사람만이 알고 있는 것을 동시에 확인하는 것이다. 이러한 것을 이중요소인증이라 하며, 단일요소인증에 비해 안전도가 매우 높아지게 된다.
그러나, 이와 같은 방법도 고정 패스워드 자체가 워낙 취약하여 완전하다고 할 수도 없으며, 사용의 편리성 면에서는 안전해진 만큼 불편해진 점도 있었다.
본 발명은 이러한 단점을 해결하고자 하는 것으로서, 그 사람만이 가진 것을 확인하면서도 그 사람만이 가진 그것을 분실하거나 도난을 당해도 안전한 새로운 방식을 제시하는 것이다.
도 2는 본 발명의 기본 개념을 나타낸 그림이다.
서버(1)에는 고정키(2)와, 고정키(2)를 확인할 때 사용될 일회용 질의를 생성하는 질의함수(3)와, 질의에 맞는 일회용 응답값(4)이 준비되어 있다. 고정키(2)는 이미지로 설정될 수 있다.
질의단말기(5)에는 서버(2)에 있는 질의함수(3)와 동일한 질의함수(3)가 준비되어 있다. 질의함수(3)는 이미지별로 임의의 숫자를 대응시키는 함수일 수 있으며, 질의 단말기(5)는 도 4에 도시된 바와 같이 각 이미지와 각각 대응되는 숫자들을 표시할 수 있다. 더 나아가, 질의함수(3)는 이미지들을 무작위로 섞는 함수일 수 있으며, 질의단말기(5)는 질의함수(3)에 의해 무작위로 섞여진 이미지들을 표시할 수 있다.
이런 시스템은 질의단말기(5)에는 고정키(2)나 질의에 대한 응답값(4)이 없기 때문에 질의단말기(5)를 분실 또는 도난을 당해도 불안할 이유가 없다.
이하에서는, 이런 시스템을 응용한 간단한 예를 들어 본 발명의 개념을 좀
이용자가 고정키로서 ‘2314’를 설정했고, 질의단말기에는 다음과 같이 출력이 되었다고 가정한다. 이때, 질의에 대한 응답값은, 고정키의 각 자리수 ‘2’, ‘3’, ‘1’, ‘4’’에 각각 짝으로 지어져 있는 ‘48’, ‘65’, ‘22’, ‘02’를 차례로 입력하는 ‘48652202’가 된다.
1 22 6 64
2 48 7 50
3 65 8 34
4 02 9 75
5 04 0 99
이 질의표에 있는 숫자들은 매번 달라지며, 달라지게 하는 함수는 서버와 질의단말기가 서로 공유하고 있다. 따라서, 이용자는 매번 다른 8자리수를 입력하게 되고, 질의단말기를 입수한 타인은 고정키를 모르고서는 응답값을 쉽게 입력할 수가 없다. 또한, 패스워드 입력란에 고정키를 입력하지 않으므로 노출될 염려도 줄 어든다.
상기 예의 경우, 아무런 사전정보도 얻지 못한 공격자가 임의로 응답값을 맞힐 확률은 8자리 숫자를 맞힐 확률인 1억분의 1이 되며, 질의단말기를 입수한 사람이 고정키를 모르는 상태에서 임의로 응답값을 맞출 확률은 4자리 숫자를 맞힐 확률인 1만분의 1이 된다.
그런데, 상기의 예와 같은 방식은 고정키가 일반 패스워드로 되어 있어 쉽게 깨질 수 있다.
이하에서는, 본 발명의 바람직한 실시예를 설명하기로 한다.
[ 실시예 1]
이미지패스워드를 고정키로 사용하는 OTP (이하, 그래픽 OTP)
도 4는 본 발명의 일 실시예이다.
자신의 이미지패스워드(고정키)가 '
Figure 112007074041681-pat00007
'과 같다면, 도 4의 질의표에 의한 응답값은 ‘23 90 50 99'이다.
이 실시예에 의하면 타인의 이미지패스워드를 유추하기는 거의 불가능하기 때문에 일반 패스워드를 고정키로 사용하는 것보다 훨씬 안전해질 수 있다. 또한, 이 실시예에서는 이미지패스워드와 OTP의 장점만을 취할 수 있어서 거의 약점이 없게 된다. 즉, 이미지패스워드는 기본적으로 기억속에 있기 때문에 물리적인 분실이나 도난의 염려가 없고 유추하기는 어렵지만, 숄더서핑이나 화면캡쳐 등에 취약하 고, OTP는 해킹에는 강하지만 분실, 도난에 취약하나, 이 실시예에 따르면 모든 약점이 사라지게 되는 것이다.
또한, 이미지패스워드는 화면모니터 없이 사용하는 텔레뱅킹에서는 사용할 수가 없는데 이 실시예에 따르면 화면모니터가 없는 전화기에서도 사용이 가능하다.
[ 실시예 2]
미로방식을 고정키로 사용하는 OTP (이하, 미로OTP)
도 3은 본 발명의 또 다른 실시예이다.
자신의 고정키가 도 3의 예에서 보듯이 '
Figure 112007074041681-pat00008
'과 같다면, 도 3과 같은 질의에 대한 응답값은‘↓,↓,확인,→,→,→,확인,↓,←,확인'이 된다. 미로통과 방법은 첫번째 키(예를 들면, '
Figure 112007074041681-pat00009
')에서 출발하여 차례로 다음 이미지가 위치한 키로 이동한 후 확인키를 누르는 것인데, 미로방식에 대한 자세한 설명은 대한민국특허 출원번호 10-2004-0068356에 자세히 설명되어 있다.
미로OTP를 이용하여 텔레뱅킹에서 사용하고자 할 때는 전화기에 있는 숫자패드를 방향키 삼아 이용하면 된다. 예를 들어, 2, 8, 4, 6 버튼을 각각 상하좌우 방향키로 사용하는 것이다. 확인키는 *표 등을 이용할 수 있다. 텔레뱅킹 사용시 자신의 고정키가 '
Figure 112007074041681-pat00010
'과 같다면 응답값은 '88*666*84*'가 된다.
이 실시예 역시 질의단말기를 분실하거나 도난 당해도 질의단말기 자체에는 고정키나 응답값에 대한 아무런 힌트도 없기 때문에 이용자는 안전할 수 있는 것이다.
[ 실시예 3]
이는 앞서 설명한 실시예 1과 실시예 2에서 공통으로 적용할 수 있는 방법인데, 질의단말기 대신 질의프로그램을 휴대전화기나 MP3플레이어 등의 휴대형 정보기기에 탑재하면 시스템의 비용을 대폭 줄일 수 있는 장점이 있다. 이하부터는 이 실시예를 모바일그래픽OTP, 모바일미로OTP라고 지칭하기로 한다.
기존의 휴대전화기에 탑재해서 사용하는 OTP는 휴대전화기 자체가 네트워크에 연결되어 있어서 해킹의 위험에 안전할 수 없었던 단점이 있었는데, 본 발명에 따른 방식들은 휴대전화기에 탑재되어도 프로그램 자체에는 고정키나 응답값에 대한 아무런 힌트를 포함하고 있지 않아 해킹을 당해도 충분히 안전하다는 장점이 있다.
이는 기존 OTP토큰 방식이 비용이 가장 큰 걸림돌로 작용하고, 휴대전화기형 OTP 방식이 해킹에 약한 점이 가장 큰 걸림돌로 작용했었던 문제를 매우 훌륭하게 해결하는 것이다.
이상에서 본 발명에 따른 실시예를 설명하였다.
다음은, 본 발명에 따른 실시예들에 대한 구현 과정에 대한 설명이다.
실시예 3에서, 이용자가 고정키로 사용하는 이미지를 설정하고 자신의 질의프로그램을 휴대형 정보기기에 다운받는 과정은, 먼저, 인터넷 등의 온라인을 통해 제공되는 다양한 이미지로 구성된 설정화면에서 이용자에게 입력받은 고정키가 설 정되면, 서버는 설정된 고정키 이외에 들러리 이미지들을 채워서 개인세트를 만들고, 각 이미지에 무작위 숫자를 짝짓거나 (모바일그래픽OTP) 무작위로 섞을(모바일미로OTP) 때 사용하는 OTP함수를 포함하여 개인별 질의프로그램패키지를 생성하게 된다. 질의프로그램패키지가 생성되면 일반적인 무선전송방식에 의해 프로그램이 휴대정보기기로 다운로드되어 설치되는 것이다. 이때 다운로드되는 질의프로그램패키지에는 이용자의 고정키가 포함되어 있지 않다. 고정키는 서버에만 저장된다. 또한 생성된 질의프로그램은 서버에 똑같이 저장되어 있어 휴대용 질의프로그램과 항상 같은 질의를 생성하게 된다.
서버 내의 질의프로그램은 질의를 생성한 후, 고정키를 참조하여 질의에 대한 응답값을 계산하여 서버 내의 메모리에 보관하고 있다가, 이용자가 응답값을 입력하면 보관중인 응답값과 대조하여 맞으면 인증성공, 다르면 인증실패로 처리하면 되는 것이다.
도 5는 질의프로그램 설치과정을 나타낸 것이다.
100:고정키 설정화면 제공과정 - 서버는 다수의 아이콘에 번호를 붙여 출력하여 사용자가 고정키 역할을 하는 아이콘을 고를 수 있도록 고정키 설정화면을 제공한다.
200:고정키 설정과정 - 사용자는 상기 고정키 설정화면에서 고정키를 선택하여 확인버튼을 누르면 서버는 상기 고정키를 사용자DB에 기록한다.
300:개인세트 생성과정 - 서버는 상기 고정키 아이콘과 임의의 들러리 아이콘들과 섞어 다수의 아이콘으로 구성된 사용자 개인세트를 생성 저장한다.
400:OTP함수 생성과정 - 서버는 상기 개인세트정보를 파라메터로 갖는 OTP함수를 생성하고 저장한다. 이 과정에서 상기 개인세트정보 대신 특정 시리얼넘버 등을 파라메터로 사용할 수 있다.
500:질의프로그램패키지 생성과정 - 서버는 상기 개인세트와 상기 OTP함수를 구동할 프로그램 등, 질의단말기에서 실행될 구성요소를 모아 질의프로그램패키지를 생성한다.
600:질의프로그램패키지 다운로드과정 - 서버는 휴대폰 다운로드 기능을 통하여 상기 질의프로그램패키지를 휴대폰에 전송한다.
700:질의프로그램패키지 설치과정 - 사용자의 휴대폰은 상기 질의프로그램패키지를 다운로드받아 소정에 절차에 따라 질의프로그램과 개인세트정보를 설치한다.
도 6은 텔레뱅킹 실시 예를 이용한 인증과정을 나타낸 것이다.
1000:인증서버 호출과정 - 질의를 위해 텔레뱅킹 서버는 인증서버를 호출한다.
2000:서버의 질의 및 응답값 생성과정 - 호출된 인증서버는 상기 "OTP함수 생성과정"에서 생성된 OTP함수를 이용하여 질의를 생성하고 해당 질의에 대한 응답 값을 생성한다. 질의를 생성할 때 질의단말기와 같은 질의를 생성하기 위해 현재시간과 같은 공동으로 사용할 수 있는 시간, 인증횟수와 같은 파라메터를 사용한다.
3000:휴대용 질의프로그램의 질의 생성과정 - 사용자가 휴대폰의 질의프로그 램을 실행하면 인증서버와 동일한 OTP함수와 파라메터를 이용하여 인증서버와 동일한 질의를 생성시킨다.
4000:질의에 대한 응답 값 입력과정 - 사용자가 상기 질의를 보고 해당 응답 값을 전화기를 통해 입력하면 입력정보는 인증서버에 전달된다.
5000:응답값 대조과정 - 인증서버는 미리 생성된 응답 값과 전화망을 통해 입력된 응답 값을 대조한다.
6000:인증결과 출력과정 - 인증서버는 상기 대조 결과를 출력하여 텔레뱅킹서버로 전달한다.
[안전성을 더 강화한 실시예 ]
모바일그래픽OTP나 모바일미로OTP의 경우에, 질의프로그램이 해킹당한 상태에서 응답값까지 도청당한다면 고정키가 유추될 수 있다. 고정키까지 노출되고 나면 질의프로그램이 더 이상 안전하지 않게 되므로, 응답값 입력과정에 입력정보노출방지 기술이 적용됨이 바람직하다.
일반적인 웹환경에서 사용되는 이러한 기술로는 안티키로거 기술이 널리 사용되고 있고, 텔레뱅킹 환경에서 사용할 수 있는 안티키로거 기술로는 대한민국 특허 제0503924호 "전화망 정보보호 시스템 및 방법"에 소개되어 있다.
이상과 같은 조치만으로도 모바일그래픽OTP나 모바일미로OTP는 매우 경제적이고도 완벽에 가까운 안전성을 확보한 사용자인증방식이 될 수 있는 것이다.
한 가지 더 추가한다면, 트랩개념을 도입하면 무차별대입에 의한 공격까지 원천봉쇄가 가능하다.
모바일그래픽OTP와 모바일미로OTP에 트랩을 거는 방법은, 최초 질의프로그램패키지가 휴대용 정보기기에 다운로드될 때의 단말기 정보(휴대전화번호 등)를 기록해 두었다가, 모바일그래픽OTP와 모바일미로OTP 인증에 실패할 경우 해당 단말기에 알람메시지를 전송해주는 것이다. 알람메시지를 받은 사람은 그 인증실패건이 자신의 실수에 의한 것이면 무시하면 되고, 타인이 공격중인 것이라고 판단되면 신고를 하면 되는 것이다.
이상에서 본 바와 같이, 본 발명은 기존 OTP방식들이 가지고 있었던 비용문제와 도난, 분실에 대한 문제를 완벽하게 해소해주는 효과가 있다.

Claims (5)

  1. 사용자인증 시스템에 있어서,
    사용자의 고정키를 설정할 수 있도록 고정키 설정화면을 제공하여 제공된 고정키 설정화면을 통해 고정키를 설정하고, 일회용 질의를 위한 OTP(One-Time Password: 일회용 패스워드)함수를 생성하여 상기 OTP함수를 포함하는 질의프로그램패키지를 제공하는 인증서버; 및
    상기 인증서버로부터 상기 제공된 질의프로그램패키지를 실행하는 질의단말기를 포함하되,
    상기 사용자의 고정키는 이미지로 설정되고,
    상기 인증서버는, 상기 OTP함수를 이용하여 질의 및 응답값을 생성하고, 상기 질의 단말기에 설치된 질의프로그램의 실행에 따라 표시된 질의에 의거하여 응답값 입력장치를 통해 응답값을 수신하고 수신된 응답값과 상기 생성된 응답값을 비교하여 일치하면 인증성공으로, 일치하지 않으면 인증실패로 처리하는 것을 특징으로 하는 사용자인증 시스템.
  2. 제 1항에 있어서,
    상기 OTP함수는 상기 이미지별로 임의의 숫자를 대응시키는 함수이고,
    상기 응답값은 상기 고정키에 해당하는 이미지와 대응되는 숫자이고,
    상기 질의단말기는 각 이미지와 각각 대응되는 숫자들이 전부 표시되는 것을 특징으로 하는 사용자인증 시스템
  3. 제 1항에 있어서,
    상기 사용자의 고정키는 시작점인 키이미지와 통과 경유점인 경유좌표이미지와 종착점인 종착좌표이미지로 구성되고,
    상기 OTP함수는 상기 이미지들을 무작위로 섞는 함수이고,
    상기 응답값은 상기 고정키를 통과하기 위해 상기 응답값 입력장치를 통해 선택된 입력값이고,
    상기 질의단말기는 상기 OTP함수에 의해 무작위로 섞여진 이미지들을 표시하는 것을 특징으로 하는 사용자인증 시스템.
  4. 제 1항에 있어서,
    상기 질의단말기는 휴대전화기에 질의프로그램이 탑재된 것을 특징으로 하는 사용자인증 시스템
  5. 사용자인증 방법에 있어서,
    서버가 사용자의 고정키를 설정할 수 있도록 고정키 설정화면을 제공하는 단계;
    상기 서버가 상기 고정키 설정화면을 통해 고정키를 설정하는 단계;
    상기 서버가 일회용 질의를 위한 OTP(One-Time Password: 일회용 패스워드)함수를 생성하는 단계;
    상기 서버가 상기 생성된 OTP함수를 포함하는 질의프로그램패키지를 생성하는 단계;
    상기 서버가 상기 생성된 질의프로그램패키지를 사용자의 질의단말기로 제공하는 단계; 및
    상기 서버가 상기 제공된 질의프로그램패키지를 상기 질의단말기에 설치되도록 지원하는 단계를 포함하는 인증 서비스 준비 단계와,
    상기 서버가 질의 호출을 수신하는 단계;
    상기 서버가 상기 호출에 따라 상기 인증 서비스 준비 단계에 의해 생성된 OTP함수를 이용하여 질의를 생성하고 해당 질의에 대한 응답값을 생성하는 단계;
    상기 서버가 상기 질의단말기에 설치된 질의프로그램의 실행에 따라 생성된 질의에 의거하여 해당 질의에 대한 응답값을 응답값 입력장치를 거쳐 수신하는 단계; 및
    상기 서버가 상기 수신된 응답값과 상기 인증 서비스 준비 단계에 의해 생성된 질의에 대한 응답값을 비교하여 일치하면 인증 성공으로, 일치하지 않으면 인증 실패로 처리하는 단계를 포함하는 사용자 인증 단계로 이루어진 것을 특징으로 하는 사용자인증 방법.
KR1020060012770A 2006-02-09 2006-02-09 질의기를 이용한 일회용패스워드 시스템 및 방법 KR100884376B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020060012770A KR100884376B1 (ko) 2006-02-09 2006-02-09 질의기를 이용한 일회용패스워드 시스템 및 방법
US12/278,945 US20090300732A1 (en) 2006-02-09 2007-02-09 Method and apparatus of otp based on challenge/response
PCT/KR2007/000728 WO2007091869A2 (en) 2006-02-09 2007-02-09 Method and apparatus of otp based on challenge/response
EP07708878A EP1987435A4 (en) 2006-02-09 2007-02-09 METHOD AND APPARATUS ASSOCIATED WITH SINGLE-USE PASSWORD BASED ON QUESTION / IDENTIFICATION RESPONSE

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060012770A KR100884376B1 (ko) 2006-02-09 2006-02-09 질의기를 이용한 일회용패스워드 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20070081048A KR20070081048A (ko) 2007-08-14
KR100884376B1 true KR100884376B1 (ko) 2009-02-17

Family

ID=38345563

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060012770A KR100884376B1 (ko) 2006-02-09 2006-02-09 질의기를 이용한 일회용패스워드 시스템 및 방법

Country Status (4)

Country Link
US (1) US20090300732A1 (ko)
EP (1) EP1987435A4 (ko)
KR (1) KR100884376B1 (ko)
WO (1) WO2007091869A2 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101850929B1 (ko) 2017-02-28 2018-05-30 주식회사 앱소위즈 위치정보를 이용한 인증 시스템 및 그 방법

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009013551A1 (de) 2009-03-17 2010-09-23 Giesecke & Devrient Gmbh Einmalkennwortmaske zum Ableiten eines Einmalkennworts
US8214645B2 (en) 2009-04-08 2012-07-03 Research In Motion Limited Systems, devices, and methods for securely transmitting a security parameter to a computing device
US8171292B2 (en) * 2009-04-08 2012-05-01 Research In Motion Limited Systems, devices, and methods for securely transmitting a security parameter to a computing device
GB0910545D0 (en) 2009-06-18 2009-07-29 Therefore Ltd Picturesafe
US20110145899A1 (en) * 2009-12-10 2011-06-16 Verisign, Inc. Single Action Authentication via Mobile Devices
KR101039909B1 (ko) * 2010-04-19 2011-06-09 인하대학교 산학협력단 해킹에 강한 사용자 인증 시스템 및 방법
US9135426B2 (en) 2010-12-16 2015-09-15 Blackberry Limited Password entry using moving images
US8769641B2 (en) 2010-12-16 2014-07-01 Blackberry Limited Multi-layer multi-point or pathway-based passwords
US8635676B2 (en) 2010-12-16 2014-01-21 Blackberry Limited Visual or touchscreen password entry
US8863271B2 (en) 2010-12-16 2014-10-14 Blackberry Limited Password entry using 3D image with spatial alignment
US8745694B2 (en) 2010-12-16 2014-06-03 Research In Motion Limited Adjusting the position of an endpoint reference for increasing security during device log-on
US8931083B2 (en) 2010-12-16 2015-01-06 Blackberry Limited Multi-layer multi-point or randomized passwords
US8631487B2 (en) 2010-12-16 2014-01-14 Research In Motion Limited Simple algebraic and multi-layer passwords
US8661530B2 (en) 2010-12-16 2014-02-25 Blackberry Limited Multi-layer orientation-changing password
US8650635B2 (en) 2010-12-16 2014-02-11 Blackberry Limited Pressure sensitive multi-layer passwords
US9258123B2 (en) 2010-12-16 2016-02-09 Blackberry Limited Multi-layered color-sensitive passwords
US8650624B2 (en) 2010-12-16 2014-02-11 Blackberry Limited Obscuring visual login
US8769668B2 (en) 2011-05-09 2014-07-01 Blackberry Limited Touchscreen password entry
JP5143258B2 (ja) * 2011-06-17 2013-02-13 株式会社東芝 情報処理装置、情報処理方法及び制御プログラム
US9223948B2 (en) 2011-11-01 2015-12-29 Blackberry Limited Combined passcode and activity launch modifier
US8650627B2 (en) * 2011-12-28 2014-02-11 Tata Consultancy Services Ltd. Computer implemented system and method for providing challenge-response solutions to authenticate a user
US20130182576A1 (en) * 2012-01-13 2013-07-18 Qualcomm Incorporated Context-aware mobile computing for automatic environment detection and re-establishment
US9648490B2 (en) 2012-03-01 2017-05-09 Qualcomm Incorporated Context-aware mobile computing for automatic environment detection and re-establishment
KR101381799B1 (ko) * 2012-06-21 2014-04-07 아주대학교산학협력단 그래픽컬 패스워드 인증기법을 활용한 확장된 otp인증을 수행하기 위한 모바일 단말기 및 그 방법
ES2603157T3 (es) 2012-09-26 2017-02-23 Wincor Nixdorf International Gmbh Procedimiento y sistema para la introducción segura de datos de identificación para la autenticación de una transacción realizada mediante un terminal de autoservicio
CN105224858A (zh) * 2014-06-05 2016-01-06 阿里巴巴集团控股有限公司 一种密码输入界面显示方法及系统
JP6454493B2 (ja) * 2014-08-13 2019-01-16 株式会社野村総合研究所 認証システム、認証方法および認証プログラム
JP6460679B2 (ja) * 2014-08-13 2019-01-30 株式会社野村総合研究所 認証システム、認証方法および認証プログラム
JP6322549B2 (ja) * 2014-10-28 2018-05-09 株式会社野村総合研究所 認証システム、認証方法および認証プログラム
KR101758575B1 (ko) * 2016-11-14 2017-07-26 이선관 모바일 디바이스를 이용한 금융 결제 방법 및 결제 시스템
CN112636910B (zh) * 2020-12-29 2021-08-24 北京深思数盾科技股份有限公司 临时密码的生成与验证方法、设备及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060021614A (ko) * 2004-09-03 2006-03-08 학교법인 포항공과대학교 의사 난수 매핑 테이블을 이용한 일회용 비밀 번호시스템과 이를 이용한 사용자 인증 방법

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU4785096A (en) * 1995-04-27 1996-11-18 Ornella Lo Piano Method and security system for ensuring the security of a de vice
DE19620346A1 (de) * 1996-05-21 1997-11-27 Bosch Gmbh Robert Grafische Paßworteingabe
US6209104B1 (en) * 1996-12-10 2001-03-27 Reza Jalili Secure data entry and visual authentication system and method
US6934860B1 (en) * 2000-05-08 2005-08-23 Xerox Corporation System, method and article of manufacture for knowledge-based password protection of computers and other systems
US20040030934A1 (en) * 2001-10-19 2004-02-12 Fumio Mizoguchi User selectable authentication interface and universal password oracle
CN1302408C (zh) * 2002-09-12 2007-02-28 三菱电机株式会社 认证系统、认证装置、终端装置以及认证方法
FI20030920A0 (fi) * 2003-06-19 2003-06-19 Nokia Corp Menetelmä ja järjestelmä graafisen salasanan tuottamiseksi sekä päätelaite
US7873995B2 (en) * 2003-09-29 2011-01-18 Avaya Inc. Method and apparatus for generating and reinforcing user passwords
US8190893B2 (en) * 2003-10-27 2012-05-29 Jp Morgan Chase Bank Portable security transaction protocol

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060021614A (ko) * 2004-09-03 2006-03-08 학교법인 포항공과대학교 의사 난수 매핑 테이블을 이용한 일회용 비밀 번호시스템과 이를 이용한 사용자 인증 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101850929B1 (ko) 2017-02-28 2018-05-30 주식회사 앱소위즈 위치정보를 이용한 인증 시스템 및 그 방법

Also Published As

Publication number Publication date
US20090300732A1 (en) 2009-12-03
EP1987435A2 (en) 2008-11-05
WO2007091869A2 (en) 2007-08-16
KR20070081048A (ko) 2007-08-14
WO2007091869A3 (en) 2007-10-11
EP1987435A4 (en) 2009-07-29

Similar Documents

Publication Publication Date Title
KR100884376B1 (ko) 질의기를 이용한 일회용패스워드 시스템 및 방법
JP5764203B2 (ja) パスワードキーの移動値を利用するパスワード安全入力システム及びそのパスワード安全入力方法
US7770002B2 (en) Multi-factor authentication
US7337466B2 (en) Information hiding through time synchronization
US9679123B2 (en) Password authentication system and password authentication method using consecutive password authentication
RU2720563C2 (ru) Способ и система аутентификации
JP2007525767A (ja) ユーザ認証
US9660981B2 (en) Strong authentication method
AU2004282865B2 (en) Authentication system
AU2007309051B2 (en) User authentication system and method
JP2018536931A (ja) 傍受防止認証および暗号化システムならびに方法
US20060179471A1 (en) System and method for providing secure disclosure of a secret
KR20050070381A (ko) 원타임 패스워드 기반 인증 시스템
CN101175324B (zh) 一种用户卡的安全保障方法
JP2011180987A (ja) サーバ装置及び情報処理システム
KR101432936B1 (ko) 랜덤 매칭을 이용한 안전한 사용자 인증 방법 및 장치
KR101170822B1 (ko) 다양한 비밀퍼즐을 이용한 승인 방법
Bindhu et al. Preventing A Shoulder Surfing Attack Using Graphical Authentication System
JP2008512765A (ja) ランダムな部分デジタル経路認識に基づく認証システム及び方法
KR101503051B1 (ko) 토큰정보를 이용한 사이트 인증 방법
JP2007336546A (ja) サーバによるユーザ認証方法及びその装置
JP2013250714A (ja) 入力情報認証装置、サーバ装置、入力情報認証システムおよび装置のプログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
N231 Notification of change of applicant
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee