KR101204980B1 - Method and System of One-Time Password Authentication Scheme Provide Enhanced Randomness - Google Patents

Method and System of One-Time Password Authentication Scheme Provide Enhanced Randomness Download PDF

Info

Publication number
KR101204980B1
KR101204980B1 KR1020110024955A KR20110024955A KR101204980B1 KR 101204980 B1 KR101204980 B1 KR 101204980B1 KR 1020110024955 A KR1020110024955 A KR 1020110024955A KR 20110024955 A KR20110024955 A KR 20110024955A KR 101204980 B1 KR101204980 B1 KR 101204980B1
Authority
KR
South Korea
Prior art keywords
time password
server
value
otp
password
Prior art date
Application number
KR1020110024955A
Other languages
Korean (ko)
Other versions
KR20120107326A (en
Inventor
이임영
김홍기
Original Assignee
순천향대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 순천향대학교 산학협력단 filed Critical 순천향대학교 산학협력단
Priority to KR1020110024955A priority Critical patent/KR101204980B1/en
Publication of KR20120107326A publication Critical patent/KR20120107326A/en
Application granted granted Critical
Publication of KR101204980B1 publication Critical patent/KR101204980B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

시드(Seed) 값과 사용되는 일회용 패스워드의 순서가 노출되어도 사용되는 일회용 패스워드의 값이 랜덤하게 사용되어 다음번에 사용될 일회용 패스워드의 값이 노출되지 않도록 하는 일회용 패스워드 기술에 관한 것으로, 매 일회용 패스워드 인증 시 랜덤하게 값을 이용함으로써 공격자가 다음 패스워드 값을 유추하는 것이 불가능하며 서버에 자신의 랜덤 값 전송없이 동기화 된 타임스템프 값을 이용하여 일회용 패스워드를 생성하고 있어 적은 통신횟수와 임의성을 높이는 구성을 마련한다.
상기와 같은 임의성을 강화시킨 일회용 패스워드 등록 및 인증 방법과 시스템을 이용하는 것에 의해, 비 동기화 방식과 동기화 방식을 혼합한 조합방식으로 질의값의 전송없이 시간 값을 통해 일회용 패스워드를 생성하고 있어, 통신횟수의 감소를 얻을 수 있으며, 생성한 해쉬 테이블을 임의적으로 사용하여 다음번에 사용될 일회용 패스워드의 값을 유추하지 못하게 할 수 있다.The present invention relates to a one-time password technology in which the value of the one-time password used is randomly used so that the value of the one-time password to be used is not exposed even when the seed value and the one-time password used are exposed. By using random values, it is impossible for an attacker to infer the next password value. It creates a one-time password using the synchronized timestamp value without sending its own random value to the server. .
By using the one-time password registration and authentication method and system with enhanced randomness as described above, the one-time password is generated through the time value without transmitting the query value by a combination method of a non-synchronization method and a synchronization method, and the number of communication In addition, the hash table generated can be arbitrarily used to prevent inferring the value of the one-time password to be used next time.

Description

임의성을 강화시킨 일회용 패스워드 등록 및 인증 방법과 시스템{Method and System of One-Time Password Authentication Scheme Provide Enhanced Randomness}Method and System of One-Time Password Authentication Scheme Provide Enhanced Randomness}

본 발명은 임의성을 강화시킨 일회용 패스워드 등록 및 인증 방법과 시스템에 관한 것으로, 특히 등록단계에서 생성한 해쉬 테이블(일회용 패스워드 테이블)을 로그인 단계에서 타임 스템프 값을 이용하여 랜덤하게 사용하는 일회용 패스워드 등록 및 인증 방법과 시스템에 관한 것이다.The present invention relates to a one-time password registration and authentication method and system with enhanced randomness, and in particular, a one-time password registration using a hash table (one-time password table) generated at the registration step randomly using a time stamp value at the login step and It relates to authentication methods and systems.

또 본 발명은 기존의 일회용 패스워드 등록단계 시 생성한 해쉬 테이블을 로그인 단계에서 랜덤하게 사용하는 기술로써, 시드(Seed) 값과 사용되는 일회용 패스워드의 순서가 노출되어도 사용되는 일회용 패스워드의 값이 랜덤하게 사용되어 다음번에 사용될 일회용 패스워드의 값이 노출되지 않도록 하는 일회용 패스워드 기술에 관한 것이다.In addition, the present invention is a technology that uses the hash table generated during the existing one-time password registration step randomly in the login step, even if the seed value and the one-time password used sequence is exposed, the value of the one-time password used at random It relates to a one-time password technique that is used to prevent exposure of the value of the one-time password to be used next time.

최근 들어, 홈 트레이딩(Home trading), 폰 뱅킹(Phone banking) 및 PC 뱅킹(Personal Computer banking) 등과 같은 원격 금융 서비스는 시간적/공간적 제약 없이 용이하게 이용할 수 있다는 점에서 높은 선호도를 보이고 있으며, 그 사용자가 날로 증가하고 있다. Recently, remote financial services such as home trading, phone banking, and personal computer banking have shown high preference in that they can be easily used without any time / space constraints. Is increasing day by day.

이와 같은 원격 금융 서비스를 이용하기 위해서는 금융 서비스 시스템의 인증과 관련된 보안성의 유지가 매우 중요하다. In order to use such a remote financial service, it is very important to maintain security associated with authentication of the financial service system.

이를 위해 원격 금융 서비스를 이용하고자 하는 사용자는 유출이 어려운 패스워드를 설정하거나, 인증서를 발급받아 설치하고, 보안카드를 통하여 사용자 본인임을 인증하는 과정을 여러 번 수행한 후 서비스를 이용할 수 있었다. 그러나, 이러한 방법은 인증서 및 보안카드의 패스워드가 고정되어 있어, 상기 보안카드 및 인증서가 유출될 경우 금융 사고가 일어날 가능성이 높고, 상기 보안카드 및 인증서의 도용을 막기가 어려웠다.For this purpose, a user who wants to use a remote financial service could use the service after setting a password that is difficult to leak, issuing and installing a certificate, and authenticating the user's identity through a security card. However, in this method, since the password of the certificate and the security card is fixed, there is a high possibility of a financial accident when the security card and the certificate are leaked, and it is difficult to prevent the theft of the security card and the certificate.

이에 따라, 고정된 패스워드를 이용한 인증시스템을 보완하는 방법으로, 인증시마다 새로운 패스워드를 입력함으로써 사용자를 인증하는 방법이 제시되었다. 즉, 기존의 일반적인 패스워드가 평문으로 노출되는 문제점과 사용자의 직접적인 교환없이 같은 패스워드를 사용한다는 문제점을 개선하기 일회용 패스워드(One Time Password: OTP) 인증 시스템이 개발되었으며, 이는 사용자가 금융 전산망에 접속하여 인증을 요청할 때마다 패스워드를 수시로 바꾸어주는 보안 솔루션이다. Accordingly, as a method of complementing an authentication system using a fixed password, a method of authenticating a user by inputting a new password every time has been proposed. In other words, the One Time Password (OTP) authentication system has been developed to improve the problem of exposing the conventional password in plain text and using the same password without the direct exchange of users. It is a security solution that changes your password every time you request authentication.

또한, 다수의 확인자가 동시에 서비스를 이용함에 있어 사용자를 확인하는 인증기술이 발달하고, 공격자는 인증기술의 취약점을 이용하여 정당한 사용자를 위장하는 공격이 가능함에 따라 인증기술의 중요성이 증대되고 있다.In addition, the authentication technology for verifying the user in the development of a plurality of verifiers at the same time, the use of the service has been developed, the attacker can use the weakness of the authentication technology to attack the right user to increase the importance of the authentication technology.

상술한 바와 같은 패스워드 인증방식은 지식을 통한 인증을 기반으로 사용법이 간단하여 편리하게 이용할 수 있는 장점이 있다. 그러나 패스워드가 암호화되지 않은 상태로 서버에 전송되기 때문에 공격자에게 패스워드가 노출될 위험이 많다.The password authentication method as described above has an advantage that the usage is simple and convenient to use based on authentication through knowledge. However, because the password is sent to the server unencrypted, there is a high risk that the password will be exposed to the attacker.

상기 일회용 패스워드 방식은 클라이언트가 서버로 전송하는 패스워드의 값을 한 세션의 통신에서 일회용 패스워드를 사용 후 폐기한다. 따라서, 일회용 패스워드가 노출된다 하더라도 한번 사용 후 다른 값을 생성하기 때문에 공격자가 이전 패스워드를 이용하여 인증받을 수 없다. The one-time password method discards the value of the password that the client sends to the server after using the one-time password in one session of communication. Therefore, even if the one-time password is exposed, the attacker cannot authenticate using the previous password because it generates another value after one use.

이러한 일회용 패스워드는 크게 인증 서버의 동기화 여부에 따라 비동기화 방식과 동기화 방식으로 나눌 수 있는데, 비동기화 방식은 사용자가 직접 입력한 임의의 난수 값을 OTP토큰에 입력함으로써 OTP값이 생성되는 방식이다. 서로 질의 값과 응답 값을 주고받기 때문에 상호인증이 제공된다는 장점이 있으나, 매번 사용자가 질의 값을 입력해야하기 때문에 불편함을 초래하며 네트워크 부하가 증가될 수 있다. 동기화 방식은 별도의 질의 값 입력 없이 사용 가능하지만 서로 동기화 시간이나 이벤트 값이 맞지 않는 경우 인증을 받지 못하고, 동기화 시간 동안 계속 같은 값이 요구되기 때문에 재사용 문제가 발생할 수 있다.The one-time password can be largely divided into an asynchronous method and a synchronization method according to whether the authentication server is synchronized. The asynchronous method is a method in which an OTP value is generated by inputting an arbitrary random value directly input by a user into an OTP token. Mutual authentication is provided because the query value and the response value are exchanged with each other. However, since the user must input the query value each time, it causes inconvenience and increases network load. The synchronization method can be used without inputting a separate query value. However, if the synchronization time or the event value does not match, authentication may not be performed, and reuse may occur because the same value is continuously required during the synchronization time.

기존의 비동기식 일회용 패스워드 생성방식은 초기화한 테이블의 값이 순차적으로 기록되어있어 시드(Seed) 값 노출 시 모든 해쉬 테이블을 노출당하는 문제점이 있다. 또한 사용자가 사용하고 있는 인증 횟수를 알게 된다면 다음번에 사용할 패스워드를 유추할 수 있는 문제점이 있다. In the conventional asynchronous one-time password generation method, since the values of the initialized table are sequentially recorded, all hash tables are exposed when the seed value is exposed. In addition, if the user knows the number of times the authentication is being used, there is a problem of inferring the password to be used next time.

또 이벤트 동기화 방식의 경우 사용자가 장치의 오사용 등으로 이벤트 횟수가 인증 서버와 일치하지 않으면, 인증 서버와의 이벤트 동기를 맞추기 위해 장치를 초기화해야하는 문제점이 있다. In the event synchronization method, if the user does not match the authentication server due to misuse of the device, there is a problem that the device must be initialized to synchronize the event with the authentication server.

또한 응답방식의 경우 휴대폰 등을 이용하여 구현되며, 단순 암호 입력 방식이 아니라 사전에 선택된 개인별 질문에 문자를 이용하여 응답을 할 경우, 사용자가 단순 숫자의 입력뿐 아니라 다양한 문자를 입력해야 하는 번거로움이 있다.
In addition, the response method is implemented by using a mobile phone, and when the user answers the question by using a letter instead of a simple password input method, the user has to input various characters as well as simple numbers. There is this.

본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위해 이루어진 것으로서, 매 일회용 패스워드 인증 시 랜덤하게 값을 이용함으로써 공격자가 다음 패스워드 값을 유추하는 것이 불가능하며 서버에 자신의 랜덤 값 전송없이 동기화 된 타임스템프 값을 이용하여 일회용 패스워드를 생성하고 있어 적은 통신횟수와 임의성을 높이는 일회용 패스워드 등록 및 인증 방법과 시스템을 제공하는 것이다.An object of the present invention is to solve the problems as described above, by using a random value in every one-time password authentication, it is impossible for the attacker to infer the next password value and synchronized time without sending its own random value to the server One-time passwords are generated using stamp values, providing a method and system for one-time password registration and authentication that increases the number of communication times and randomness.

본 발명의 다른 목적은 일회용 패스워드 생성방식에 있어서, 서버와 동기화된 시간 값을 통해 등록단계에서 생성한 해쉬 테이블을 랜덤한 순서로 이용하여 일회용 패스워드 생성에 임의성을 강화시킨 일회용 패스워드 등록 및 인증 방법과 시스템을 제공하는 것이다.
Another object of the present invention in the one-time password generation method, using a hash table generated in the registration step through a time value synchronized with the server in a random order to increase the randomness in one-time password generation and one-time password registration and authentication method; To provide a system.

상기 목적을 달성하기 위해 본 발명에 따른 임의성을 강화시킨 일회용 패스워드 등록 방법은 네트워크를 통해 OTP(One Time Password) 단말기(클라이언트)와 서버 간의 일회용 패스워드를 등록하는 일회용 패스워드 등록 방법으로서, (a) 서버에서 안전한 일회용 패스워드 인증방식을 위하여 세션키(ks)를 사용하여 초기값(seed)과 전체 로그인 횟수(N)를 OTP 단말기로 전송해 주는 단계, (b) OTP 단말기에서 암/복호화시 사용한 세션키와 초기값을 XOR연산하여, 연산 값을 이용하여 일회용 패스워드 테이블을 생성하는 단계, (c) OTP 단말기에서 일회용 패스워드 테이블의 마지막에 해당하는 일회용 패스워드 값을 서버에 전송하고 서버에서 검증하는 단계, (d) 상기 단계 (c)에서 검증이 완료되면, 생성한 일회용 패스워드 테이블을 서버와 OTP 단말기에 저장하는 단계를 포함하고, 상기 단계 (d)에서 생성한 일회용 패스워드 테이블은 추후 인증 요구시 사용하는 것을 특징으로 한다.In order to achieve the above object, the one-time password registration method with enhanced randomness according to the present invention is a one-time password registration method for registering a one-time password between an OTP (One Time Password) terminal (client) and a server through a network, which includes (a) a server. Transmitting the initial value (seed) and the total number of logins (N) to the OTP terminal using the session key (k s ) for secure one-time password authentication in (b) the session used for encryption / decryption in the OTP terminal. XOR operation of the key and the initial value to generate a one-time password table using the operation value, (c) transmitting the one-time password value corresponding to the end of the one-time password table in the OTP terminal to the server and verifying in the server, (d) when the verification is completed in step (c), storing the generated one-time password table in the server and the OTP terminal. And also, a one-time password table generated in the step (d) is characterized by using the authentication request at any time.

또 본 발명에 따른 일회용 패스워드 등록 방법에 있어서, 상기 일회용 패스워드 테이블의 생성은 상기 OTP 단말기와 서버에서 동시에 실행되는 것을 특징으로 한다.In addition, in the one-time password registration method according to the invention, the generation of the one-time password table is characterized in that it is executed simultaneously in the OTP terminal and the server.

또한 상술한 바와 같은 본 발명의 목적을 달성하기 위해 본 발명에 따른 임의성을 강화시킨 일회용 패스워드 인증 방법은 네트워크를 통해 OTP(One Time Password) 단말기(클라이언트)와 서버 간의 일회용 패스워드를 등록하는 일회용 패스워드 인증 방법으로서, (a) OTP 단말기가 일회용 패스워드를 요청하는 요청 메시지를 서버로 전송하는 단계, (b) 상기 서버와 OTP 단말기가 동시에 시간값(Ts)을 생성하여 전체 로그인 횟수(N)를 통한 모듈러(modulo) 연산을 수행하는 단계, (c) 상기 단계 (b)에서 연산한 연산 값(P)를 통해 일회용 패스워드 테이블에 저장된 해당 일회용 패스워드 값을 추출하는 단계, (d) 상기 OTP 단말기가 서버에게 일회용 패스워드 값을 세션키(ks)로 암호화하여 전송하는 단계, (e) 일회용 패스워드 검증 후 카운터 값(C)를 증가시켜 전체 로그인 횟수와 비교하는 단계를 포함하는 것을 특징으로 한다.In addition, in order to achieve the object of the present invention as described above, the one-time password authentication method with enhanced randomness according to the present invention is a one-time password authentication for registering a one-time password between an OTP (One Time Password) terminal (client) and a server through a network. A method comprising: (a) an OTP terminal transmitting a request message requesting a one-time password to a server, (b) the server and the OTP terminal simultaneously generating a time value Ts so that the modularity of the total number of logins (N) (mod) extracting a corresponding one-time password value stored in the one-time password table through the operation value P calculated in step (b), and (d) the OTP terminal to the server. Encrypting and sending the one-time password value with the session key (k s ), (e) increasing the counter value (C) after verifying the one-time password and the total number of logins It characterized in that it comprises a step of comparing with.

또한 상술한 바와 같은 본 발명의 목적을 달성하기 위해 본 발명에 따른 임의성을 강화시킨 일회용 패스워드 시스템은 네트워크를 통해 OTP(One Time Password) 단말기(클라이언트)와 서버 간의 일회용 패스워드를 등록 및 인증하는 시스템으로서, 상기 OTP 단말기는 시드 및 패스워드 저장하는 시드(seed) 및 패스워드 저장부, 서버에서 전체 로그인 횟수와 시드 값을 암호화한 데이터를 전송받는 암호통신부, 상기 암호통신부를 통해 전송된 시드 값과 세션키를 XOR(eXclusive OR) 연산하여 전체 로그인 횟수만큼 해쉬 연산한 일회용 패스워드 테이블을 생성하는 패스워드 테이블 생성부, 상기 패스워드 테이블 생성부에서 일회용 패스워드 테이블가 생성된 후, 전체 로그인 횟수(N)만큼 해쉬 연산한 값을 서버와 OTP 단말기 간 공유된 세션키로 암호화하여 상기 암호통신부를 통해 서버에 전송하는 OTP 생성부를 포함하는 것을 특징으로 한다.
In addition, the one-time password system with enhanced randomness according to the present invention to achieve the object of the present invention as described above is a system for registering and authenticating the one-time password between the OTP (One Time Password) terminal (client) and the server through the network; The OTP terminal may include a seed and password storage unit for storing a seed and a password, an encryption communication unit receiving data for encrypting the total number of logins and a seed value from a server, and a seed value and a session key transmitted through the encryption communication unit. A password table generator for generating a one-time password table hashed by the total number of logins by performing an XOR (eXclusive OR) operation, and after generating the one-time password table in the password table generator, hashing the total number of logins (N). The cipher box is encrypted by using a session key shared between the server and the OTP terminal. It characterized in that it comprises an OTP generated for transmitting to the server through the.

상술한 바와 같이, 본 발명에 따른 임의성을 강화시킨 일회용 패스워드 등록 및 인증 방법과 시스템에 의하면, 비 동기화 방식과 동기화 방식을 혼합한 조합방식으로 질의값의 전송없이 시간 값을 통해 일회용 패스워드를 생성하고 있어, 통신횟수의 감소를 얻을 수 있으며, 생성한 해쉬 테이블을 임의적으로 사용하여 다음번에 사용될 일회용 패스워드의 값을 유추하지 못하게 하는 효과가 얻어진다.
As described above, according to the method and system for one-time password registration and authentication with enhanced randomness according to the present invention, a one-time password is generated through a time value without transmission of a query value in a combination method of a non-synchronization method and a synchronization method. Therefore, the number of communication can be reduced, and the effect of preventing the inference of the one-time password value to be used next by using the generated hash table arbitrarily.

도 1은 본 발명이 적용되는 OTP 단말기에서 생성되는 일회용 패스워드를 기반으로 한 시스템의 네트워크 구성도.
도 2는 일회용 패스워드 등록 및 인증을 위한 OTP 단말기의 구성을 나타내는 도면.
도 3은 본 발명의 실시 예에 따른 OTP 단말기를 서버에 등록하는 등록단계를 설명하는 참고도.
도 4는 본 발명의 실시 예에 따른 OTP 단말기를 서버에 등록하는 등록단계를 설명하는 흐름도.
도 5는 본 발명의 실시 예에 따른 OTP 단말기를 통해 서버에 인증받는 로그인 단계를 설명하는 참고도.
도 6은 본 발명의 실시 예에 따른 OTP 단말기를 통해 서버에 인증받는 로그인 단계를 설명하는 흐름도.1 is a network diagram of a system based on a one-time password generated in an OTP terminal to which the present invention is applied.
2 is a view showing the configuration of an OTP terminal for one-time password registration and authentication.
3 is a reference diagram illustrating a registration step of registering an OTP terminal in a server according to an embodiment of the present invention.
4 is a flowchart illustrating a registration step of registering an OTP terminal with a server according to an embodiment of the present invention.
5 is a reference diagram illustrating a login step of authenticating to a server through an OTP terminal according to an embodiment of the present invention.
6 is a flowchart illustrating a login step of authenticating to a server through an OTP terminal according to an embodiment of the present invention.

본 발명의 상기 및 그 밖의 목적과 새로운 특징은 본 명세서의 기술 및 첨부 도면에 의해 더욱 명확하게 될 것이다.These and other objects and novel features of the present invention will become more apparent from the description of the present specification and the accompanying drawings.

먼저 본 발명의 개념에 대해 설명한다.First, the concept of the present invention will be described.

본 발명은 OTP 단말기(클라이언트)와 서버로 구성되는 통신 네트워크상에서 시간 값을 이용한 일회용 패스워드 등록 및 인증 방법과 시스템에 관한 것으로서, OTP 단말기를 등록하기 위한 단계는 (a) 초기값과 전체 로그인 횟수를 안전하게 전송해 주는 단계, (b) OTP 단말기와 서버 사이에 공유한 세션키와 초기값을 이용하여 해쉬 테이블을 생성하는 단계, (c) 해쉬 테이블의 마지막에 해당하는 OTP의 값을 서버에 전송하여 검증하는 단계를 포함하는 것을 특징으로 한다.The present invention relates to a one-time password registration and authentication method and system using a time value in a communication network composed of an OTP terminal (client) and a server, wherein the steps for registering an OTP terminal include (a) initial value and total number of logins. (B) generating a hash table using the session key and initial value shared between the OTP terminal and the server, and (c) transmitting the OTP value corresponding to the end of the hash table to the server. It characterized in that it comprises a step of verifying.

또한, OTP 단말기(클라이언트)를 통해 인증받기 위한 단계로써, (a) OTP 값을 요구하는 요구메시지 전송단계, (b) 서버와 OTP단말기가 동시에 시간값을 생성하는 단계, (c) 시간값을 통해 해쉬 테이블에 저장된 해당 OTP값을 로드하는 단계, (d) OTP 단말기가 서버에서 OTP값을 전송하는 단계, (e) OTP값 검증후 카운트 값을 증가시키는 단계를 포함하는 것을 특징으로 한다.
In addition, a step for authenticating through an OTP terminal (client), (a) transmitting a request message requesting an OTP value, (b) generating a time value at the same time the server and the OTP terminal, (c) Loading the corresponding OTP value stored in the hash table through; (d) transmitting the OTP value from the server by the OTP terminal; and (e) increasing the count value after verifying the OTP value.

이하, 본 발명의 구성을 도면에 따라서 설명한다.EMBODIMENT OF THE INVENTION Hereinafter, the structure of this invention is demonstrated according to drawing.

또한, 본 발명의 설명에 있어서는 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.In addition, in description of this invention, the same code | symbol is attached | subjected to the same part and the repeated description is abbreviate | omitted.

도 1은 본 발명이 적용되는 OTP 단말기에서 생성되는 일회용 패스워드를 기반으로 한 시스템의 네트워크 구성도이고, 도 2는 일회용 패스워드 등록 및 인증을 위한 OTP 단말기의 구성을 나타내는 도면이다.1 is a network configuration diagram of a system based on a one-time password generated in an OTP terminal to which the present invention is applied, and FIG. 2 is a diagram illustrating a configuration of an OTP terminal for one-time password registration and authentication.

도 1에 도시한 바와 같이 본 발명에 따른 일회용 패스워드 등록 및 인증 시스템은 예를 들어, 금융거래를 위한 사용자 인증 정보를 제공하는 OTP 인증서버(100), 인터넷뱅킹서비스를 제공하는 금융서버(이하 '서버'라고 함)(200), 금융거래를 위해 서버(200)로 전송될 OTP를 생성하는 인터넷 단말기(300) 또는 이동통신단말기(400), 상기 OTP인증 서버(100)와 이동통신단말기(400)를 연결하는 이동통신망(500), 상기 서버(100, 200)와 인터넷단말기(300)를 연결하는 인터넷망(800) 상기 OTP인증 서버(100)와 이동통신단말기(400)를 연결하는 이동통신망(500) 및 이 이동통신망(500)과 상기한 인터넷망(800) 사이를 오고 가는 데이터의 프로토콜을 호환하는 게이트웨이(600)로 구성된다.As shown in FIG. 1, the one-time password registration and authentication system according to the present invention may include, for example, an OTP authentication server 100 that provides user authentication information for financial transactions, and a financial server that provides an internet banking service. Server '), an Internet terminal 300 or a mobile communication terminal 400 generating an OTP to be transmitted to the server 200 for a financial transaction, the OTP authentication server 100 and a mobile communication terminal 400 A mobile communication network 500 connecting the OTP authentication server 100 and the mobile communication terminal 400 to the Internet network 800 connecting the server 100 and 200 to the Internet terminal 300. And a gateway 600 compatible with a protocol of data coming and going between the mobile communication network 500 and the Internet network 800.

이하의 설명에서는 설명의 편의상 OTP 인증서버(100) 및 금융서버(200)를 단순히 '서버'라고 하며, 인터넷 단말기(300) 및 이동통신단말기(400)를 'OTP 단말기 또는 클라이언트'라 하고, 이동통신망(500), 게이트웨이(600) 및 인터넷망(800)을 '네트워크'라 한다.In the following description, for convenience of description, the OTP authentication server 100 and the financial server 200 are simply referred to as 'servers', and the Internet terminal 300 and the mobile communication terminal 400 are referred to as 'OTP terminals or clients'. The communication network 500, the gateway 600, and the internet network 800 are referred to as a 'network'.

도 2에서 보는 바와 같이, 본 발명에 따른 OTP 단말기는 암호통신부(41), 패스워드 테이블 생성부(42), 시드 및 패스워드 저장부(43), OTP 생성부(44)로 구성된다. As shown in FIG. 2, the OTP terminal according to the present invention includes an encryption communication unit 41, a password table generation unit 42, a seed and password storage unit 43, and an OTP generation unit 44.

암호통신부(41)는 서버에서 전체 로그인 횟수(N)와 초기값(Seed)을 암호화한 데이터를 전송받는다. The encryption communication unit 41 receives data encrypted with the total number of logins (N) and the initial value (Seed) from the server.

OTP 단말기의 패스워드 테이블 생성부(42)는 암호통신부(41)를 통해 전송된 초기값과 세션키(ks)를 XOR(eXclusive OR) 연산하여 전체 로그인 횟수만큼 해쉬 연산한 일회용 패스워드 테이블을 생성한다. 이러한 일회용 패스워드 테이블의 생성은 서버에서도 동시에 실행된다. The password table generator 42 of the OTP terminal generates a one-time password table hashed by the total number of logins by performing an XOR (eXclusive OR) operation on the initial value and the session key k s transmitted through the encryption communication unit 41. . This one-time password table is generated at the same time on the server.

OTP 생성부(44)는 패스워드 테이블 생성부(42)에서 일회용 패스워드 테이블가 생성된 후, 전체 로그인 횟수(N)만큼 해쉬 연산한 값을 서버와 OTP 단말기(클라이언트) 간 공유된 세션키(ks)로 암호화하여 암호통신부(41)를 통해 서버에 전송한다. The OTP generator 44 generates a one-time password table in the password table generator 42, and then uses a session key k s shared between the server and the OTP terminal (client) by hashing the value of the total number of logins (N). Encrypted by the transmission through the encryption communication unit 41 to the server.

상술한 바와 같은 OTP 단말기(클라이언트)에 의한 일회용 패스워드 등록 및 인증에 대해 도 3 내지 도 6을 통해 구체적인 실시 예에 대해 설명한다. A detailed embodiment of the one-time password registration and authentication by the OTP terminal (client) as described above will be described with reference to FIGS. 3 to 6.

도 3은 본 발명의 실시 예에 따른 OTP 단말기를 서버에 등록하는 등록단계를 설명하는 참고도이고, 도 4는 본 발명의 실시 예에 따른 OTP 단말기를 서버에 등록하는 등록단계를 설명하는 흐름도이고, 도 5는 본 발명의 실시 예에 따른 OTP 단말기를 통해 서버에 인증받는 로그인 단계를 설명하는 참고도이며, 도 6은 본 발명의 실시 예에 따른 OTP 단말기를 통해 서버에 인증받는 로그인 단계를 설명하는 흐름도이다.3 is a reference diagram illustrating a registration step of registering an OTP terminal in a server according to an embodiment of the present invention, and FIG. 4 is a flowchart illustrating a registration step of registering an OTP terminal in a server according to an embodiment of the present invention. 5 is a reference diagram illustrating a login step of authenticating to a server through an OTP terminal according to an embodiment of the present invention, and FIG. 6 illustrates a login step of authenticating to a server through an OTP terminal according to an embodiment of the present invention. This is a flow chart.

본 발명의 실시 예에 대한 설명에 앞서, 이하 내용에서 사용되는 기호들에 대하여 다음과 같이 정의한다.
Prior to the description of the embodiment of the present invention, the symbols used in the following description are defined as follows.

Client : OTP 단말기Client: OTP terminal

Server : 인증 서버Server: Authentication Server

Seed : 초기값Seed: Initial value

N : 전체 로그인 횟수N: total number of logins

ks : 서버와 클라이언트 간 공유 된 세션키k s : Shared session key between server and client

H() : 일방향 해쉬함수H (): one-way hash function

E*[] : *의 키로 암호화E * []: encrypted with the key of *

OTP_request : OTP 요청 메시지OTP_request: OTP request message

Ts : 서버와 클라이언트 간 동기화 된 시간값Ts: Synchronized time value between server and client

C : 사용횟수를 기록하기 위한 카운터
C: Counter to record the number of use

본 발명은 크게 등록단계와 로그인 단계로 나뉘어 진행된다.The present invention is largely divided into a registration step and a login step.

먼저, 본 발명을 실시하기 위한 등록단계에 대해 도 3과 도 4를 참조하여 설명한다.First, a registration step for implementing the present invention will be described with reference to FIGS. 3 and 4.

초기에 서버는 전체 로그인 횟수(N)와 초기값(Seed)을 암호화하여 전송한다(S11). 다음으로 서버와 클라이언트(OTP 단말기)는 [수학식 1]처럼 초기값(Seed)과 세션키(ks)를 XOR(eXclusive OR) 연산하여 전체 로그인 횟수만큼 해쉬 연산한 일회용 패스워드 테이블을 생성한다(S12, S13).Initially, the server encrypts and transmits the total number of logins (N) and the initial value (Seed) (S11). Next, the server and the client (OTP terminal) generate a one-time password table hashed by the total number of logins by performing an XOR (eXclusive OR) operation on the initial value (Seed) and the session key (k s ) as shown in [Equation 1]. S12, S13).

Figure 112011020611590-pat00001
Figure 112011020611590-pat00001

일회용 패스워드 테이블 생성은 서버와 클라이언트가 동시에 이루어지며, 테이블 생성완료 후, 클라이언트에서는 [수학식 2]와 같이 전체 로그인 횟수(N)만큼 해쉬 연산한 값을 서버와 클라이언트 간 공유된 세션키(ks)로 암호화하여 서버에 전송한다(S14).The one-time password table is created at the same time by the server and the client. After the table is created, the client uses the session key (k s ) that is hashed by the total number of logins (N) as shown in [Equation 2]. And encrypts the data to the server (S14).

Figure 112011020611590-pat00002
Figure 112011020611590-pat00002

서버에서는 서버에서 생성한 값을 통해 비교하여 서버에 일회용 패스워드 전체 테이블을 저장하고, [수학식 3]과 같이 정당한 클라이언트인지 확인한다(S15).The server stores the entire one-time password table in the server by comparing the server-generated value and checks whether the client is a legitimate client as shown in [Equation 3] (S15).

Figure 112011020611590-pat00003
Figure 112011020611590-pat00003

등록단계를 수행하면 서버와 클라이언트는 같은 일회용 패스워드 테이블을 소유하게 된다. After the registration step, the server and client will own the same one-time password table.

등록 완료 후 인증 단계를 수행한다. 본 발명을 실시하기 위한 인증 단계에 대해 도 5와 도 6을 참조하여 설명한다.After the registration is completed, the authentication step is performed. An authentication step for implementing the present invention will be described with reference to FIGS. 5 and 6.

클라이언트는 일회용 패스워드 요청 메시지(OTP_request)를 서버에 전송하여 시간값(Ts)을 동기화 한다(S21). 클라이언트와 서버는 동기화된 시간 값을 전체 로그인 횟수(N)로 [수학식 4]와 같이 모듈러(module) 연산을 수행한다(S22).The client transmits a one time password request message OTP_request to the server to synchronize the time value Ts (S21). The client and server perform a modular operation as shown in [Equation 4] by using the synchronized time value as the total number of logins (N) (S22).

Figure 112011020611590-pat00004
Figure 112011020611590-pat00004

서버와 클라이언트는 P의 값을 통해 일회용 패스워드 테이블 내 OTP값을 [수학식 5]와 같이 추출하여 사용한다(S23). The server and the client extract and use the OTP value in the one-time password table through the value of P as shown in [Equation 5] (S23).

Figure 112011020611590-pat00005
Figure 112011020611590-pat00005

클라이언트는 추출한 OTP값을 세션키(ks)로 암호화하여 서버에 전송하고, 서버에서는 이를 복호화하여 서버에서 추출한 OTP'값과 비교하여 인증한다(S24).The client encrypts the extracted OTP value with the session key (k s ) and sends it to the server, and the server decrypts it and compares it with the OTP 'value extracted from the server (S24).

서버와 클라이언트는 일회용 패스워드 인증 후 카운터 값(C)을 [수학식 6]과 같이 증가시키고 카운터 값(C)과 로그인 횟수(N)가 같다면 등록과정을 다시 수행하여 새로운 일회용 패스워드 테이블을 생성한다(S25).After the one-time password authentication, the server and the client increase the counter value (C) as shown in [Equation 6], and if the counter value (C) is the same as the number of logins (N), the registration process is repeated to generate a new one-time password table. (S25).

Figure 112011020611590-pat00006
Figure 112011020611590-pat00006

이상 본 발명자에 의해서 이루어진 발명을 상기 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 상기 실시 예에 한정되는 것은 아니고 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.
Although the present invention has been described in detail with reference to the above embodiments, it is needless to say that the present invention is not limited to the above-described embodiments, and various modifications may be made without departing from the spirit of the present invention.

본 발명에 따른 임의성을 강화시킨 일회용 패스워드 등록 및 인증 방법과 시스템은 인증 서비스에 유용된다.
The one-time password registration and authentication method and system with enhanced randomness according to the present invention is useful for authentication services.

41 : 암호통신부
42 : 패스워드 테이블 생성부
43 : 시드 및 패스워드 저장부
44 : OTP 생성부41: crypto communication unit
42: password table generation unit
43: seed and password storage
44: OTP generator

Claims (4)

네트워크를 통해 OTP(One Time Password) 단말기(클라이언트)와 서버 간의 일회용 패스워드를 등록하는 일회용 패스워드 등록 방법으로서,
(a) 서버에서 안전한 일회용 패스워드 인증방식을 위하여 세션키(ks)를 사용하여 초기값(seed)과 전체 로그인 횟수(N)를 OTP 단말기로 전송해 주는 단계,
(b) OTP 단말기에서 암/복호화시 사용한 세션키와 초기값을 XOR연산하여, 연산 값을 이용하여 일회용 패스워드 테이블을 생성하는 단계,
(c) OTP 단말기에서 일회용 패스워드 테이블의 마지막에 해당하는 일회용 패스워드 값을 서버에 전송하고 서버에서 검증하는 단계,
(d) 상기 단계 (c)에서 검증이 완료되면, 생성한 일회용 패스워드 테이블을 서버와 OTP 단말기에 저장하는 단계를 포함하고,
상기 단계 (d)에서 생성한 일회용 패스워드 테이블은 추후 인증 요구시 사용하는 것을 특징으로 하는 일회용 패스워드 등록 방법.A one-time password registration method for registering a one-time password between an OTP (client) and a server through a network.
(a) transmitting the initial value (seed) and the total number of logins (N) to the OTP terminal by using a session key (k s ) for a secure one-time password authentication method in the server,
(b) XOR operation of the session key and initial value used for encryption / decryption in the OTP terminal to generate a one-time password table using the operation value,
(c) transmitting, at the OTP terminal, the one-time password value corresponding to the end of the one-time password table to the server and verifying at the server;
(d) if the verification is completed in step (c), storing the generated one-time password table in the server and the OTP terminal,
One-time password registration method characterized in that the one-time password table generated in the step (d) is used in the later authentication request. 제1항에 있어서,
상기 일회용 패스워드 테이블의 생성은 상기 OTP 단말기와 서버에서 동시에 실행되는 것을 특징으로 하는 일회용 패스워드 등록 방법.The method of claim 1,
The one-time password registration method is characterized in that the generation of the one-time password table is executed simultaneously in the OTP terminal and the server. 삭제delete 네트워크를 통해 OTP(One Time Password) 단말기(클라이언트)와 서버 간의 일회용 패스워드를 등록 및 인증하는 시스템으로서,
상기 OTP 단말기는
시드 및 패스워드 저장하는 시드(seed) 및 패스워드 저장부,
서버에서 전체 로그인 횟수와 시드 값을 암호화한 데이터를 전송받는 암호통신부,
상기 암호통신부를 통해 전송된 시드 값과 세션키를 XOR(eXclusive OR) 연산하여 전체 로그인 횟수만큼 해쉬 연산한 일회용 패스워드 테이블을 생성하는 패스워드 테이블 생성부,
상기 패스워드 테이블 생성부에서 일회용 패스워드 테이블가 생성된 후, 전체 로그인 횟수(N)만큼 해쉬 연산한 값을 서버와 OTP 단말기 간 공유된 세션키로 암호화하여 상기 암호통신부를 통해 서버에 전송하는 OTP 생성부를 포함하는 것을 특징으로 일회용 패스워드 시스템.A system for registering and authenticating a one-time password between an OTP (one time password) terminal (client) and a server through a network.
The OTP terminal is
Seed and password storage for storing the seed and password,
Encrypted communication unit that receives the data encrypted the total number of logins and seed value from the server,
A password table generator for generating a one-time password table hashed by the total number of logins by performing an XOR (eXclusive OR) operation on the seed value and the session key transmitted through the encryption communication unit;
After the one-time password table is generated in the password table generator, the OTP generation unit for encrypting the value hashed by the total number of logins (N) with the session key shared between the server and the OTP terminal to transmit to the server through the encryption communication unit; Disposable password system, characterized in that.
KR1020110024955A 2011-03-21 2011-03-21 Method and System of One-Time Password Authentication Scheme Provide Enhanced Randomness KR101204980B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110024955A KR101204980B1 (en) 2011-03-21 2011-03-21 Method and System of One-Time Password Authentication Scheme Provide Enhanced Randomness

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110024955A KR101204980B1 (en) 2011-03-21 2011-03-21 Method and System of One-Time Password Authentication Scheme Provide Enhanced Randomness

Publications (2)

Publication Number Publication Date
KR20120107326A KR20120107326A (en) 2012-10-02
KR101204980B1 true KR101204980B1 (en) 2012-11-26

Family

ID=47279341

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110024955A KR101204980B1 (en) 2011-03-21 2011-03-21 Method and System of One-Time Password Authentication Scheme Provide Enhanced Randomness

Country Status (1)

Country Link
KR (1) KR101204980B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9866551B2 (en) 2014-06-26 2018-01-09 Young Man Hwang One time password generation device and authentication method using the same

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101482232B1 (en) * 2013-04-25 2015-01-14 국민대학교산학협력단 Digital signature method, system performing the same and storage media storing the same
KR101718948B1 (en) * 2015-10-02 2017-03-23 황순영 Integrated certification system using one time random number
KR102036155B1 (en) * 2017-08-16 2019-10-24 (주)디에스멘토링 Method And Apparatus for Managing Password
CN112464211A (en) * 2020-12-21 2021-03-09 合肥大唐存储科技有限公司 Method for verifying information in solid state disk, solid state disk and server

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100737173B1 (en) * 2006-05-09 2007-07-10 경북대학교 산학협력단 One time passwrod generator and the authentication apparatus using said one time password generator

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100737173B1 (en) * 2006-05-09 2007-07-10 경북대학교 산학협력단 One time passwrod generator and the authentication apparatus using said one time password generator

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9866551B2 (en) 2014-06-26 2018-01-09 Young Man Hwang One time password generation device and authentication method using the same

Also Published As

Publication number Publication date
KR20120107326A (en) 2012-10-02

Similar Documents

Publication Publication Date Title
CN108092776B (en) System based on identity authentication server and identity authentication token
US10243742B2 (en) Method and system for accessing a device by a user
CN104796265B (en) A kind of Internet of Things identity identifying method based on Bluetooth communication access
CN101340436B (en) Method and apparatus implementing remote access control based on portable memory apparatus
KR101237632B1 (en) Network helper for authentication between a token and verifiers
CN109728909A (en) Identity identifying method and system based on USBKey
US9635022B2 (en) Method of allowing establishment of a secure session between a device and a server
CN111447214A (en) Method for centralized service of public key and password based on fingerprint identification
CN101631305B (en) Encryption method and system
CN110247881A (en) Identity identifying method and system based on wearable device
CN108809633B (en) Identity authentication method, device and system
CN104901935A (en) Bilateral authentication and data interaction security protection method based on CPK (Combined Public Key Cryptosystem)
CN106789032A (en) The single password tripartite authentication method of privacy sharing between server and mobile device
KR101204980B1 (en) Method and System of One-Time Password Authentication Scheme Provide Enhanced Randomness
CN105281902A (en) Web system safety login method based on mobile terminal
Khan et al. Offline OTP based solution for secure internet banking access
CN102025748A (en) Method, device and system for acquiring user name of Kerberos authentication mode
Peeters et al. n-auth: Mobile authentication done right
Sinnhofer et al. Patterns to establish a secure communication channel
CN112035820B (en) Data analysis method used in Kerberos encryption environment
CN102014136B (en) Peer to peer (P2P) network secure communication method based on random handshake
Mishra et al. Authenticated content distribution framework for digital rights management systems with smart card revocation
Davaanaym et al. A ping pong based one-time-passwords authentication system
CN111010385A (en) RESTful-based secure interaction method
Surya et al. Single sign on mechanism using attribute based encryption in distributed computer networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151113

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161121

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20171121

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20181121

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20191121

Year of fee payment: 8