KR101209176B1 - Method for authenticating user - Google Patents

Method for authenticating user Download PDF

Info

Publication number
KR101209176B1
KR101209176B1 KR1020100137792A KR20100137792A KR101209176B1 KR 101209176 B1 KR101209176 B1 KR 101209176B1 KR 1020100137792 A KR1020100137792 A KR 1020100137792A KR 20100137792 A KR20100137792 A KR 20100137792A KR 101209176 B1 KR101209176 B1 KR 101209176B1
Authority
KR
South Korea
Prior art keywords
user
authentication
user terminal
gps
information
Prior art date
Application number
KR1020100137792A
Other languages
Korean (ko)
Other versions
KR20120075895A (en
Inventor
최진영
김영진
김현석
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Priority to KR1020100137792A priority Critical patent/KR101209176B1/en
Publication of KR20120075895A publication Critical patent/KR20120075895A/en
Application granted granted Critical
Publication of KR101209176B1 publication Critical patent/KR101209176B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/13File access structures, e.g. distributed indices
    • G06F16/137Hash-based
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/29Geographical information databases
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Abstract

본 발명은 사용자 인증 방법에 관한 것으로, 사용자가 서비스 제공자의 서버에 접속하여 원하는 서비스를 이용하고자 사용자 인증이 요구되는 경우, 사용자가 미리 지정한 위치(장소) 이외의 위치에서 서비스 제공자의 서버(인증 서버)에 인증을 시도하면 사용자 인증 자체를 할 수 없도록 하여 사용자의 개인 정보 보호의 만전을 기할 수 있는 사용자 인증 방안에 관한 것이다.
본 명세서에서 개시하는 사용자 인증 방법은 (a)사용자의 정당 사용자임을 인증하는 인증 서버가 상기 사용자로부터 인증 요청을 받는 경우, 상기 사용자에 의해 지정되어 상기 인증 서버에 미리 등록된 위치 정보(GPSUSER)를 추출하는 단계; 및 (b)상기 인증 서버가 상기 인증 요청시의 상기 사용자의 위치 정보(GPSU)가 상기 추출된 GPSUSER에 포함됨을 판단하여, 포함되는 경우에만 상기 사용자를 정당 사용자로 인증하는 단계를 포함하여 본 발명의 과제를 해결한다.The present invention relates to a user authentication method, and when a user is required to access a service provider's server and use a desired service, the service provider's server (authentication server) at a location other than the location (place) previously designated by the user. Attempt to authenticate the user's personal information is related to the user's authentication method, which prevents the user's authentication from being performed.
The user authentication method disclosed herein includes (a) location information (GPS USER ) designated by the user and registered in advance in the authentication server when an authentication server that authenticates that the user is a legitimate user of the user receives an authentication request from the user. Extracting; And (b) the authentication server determining that the user's location information (GPS U ) at the time of the authentication request is included in the extracted GPS USER , and authenticating the user as a party user only when included. The problem of the present invention is solved.

Description

사용자 인증 방법{Method for authenticating user}User authentication method {Method for authenticating user}

본 발명은 사용자 인증 방법에 관한 것으로, 보다 상세하게는 사용자가 자신의 단말을 이용하여 서비스 제공자(service provider)가 제공하는 서비스를 이용함에 있어 사용자 인증(user authentication)이 요구되는 경우에 사용자가 지정한 위치(장소)에서 인증을 요구하는 경우에만 사용자 인증이 가능하도록 하는 사용자 인증 방법에 관한 것이다.The present invention relates to a user authentication method, and more particularly, a user designated when user authentication is required in using a service provided by a service provider using a user's terminal. The present invention relates to a user authentication method that enables user authentication only when authentication is required at a location.

사용자 인증은 개인 정보 보호의 필요성 증대에 수반하여 그 중요성이 날로 증가하고 있다. 특히 유비쿼터스(ubiquitous)화 되어가고 있는 작금의 컴퓨팅 환경을 고려하면 개인 정보 유출의 위험성은 한층 배가되므로 개인 정보에 대한 보안성 제고는 정보 처리 분야의 화두가 되고 있다.User authentication is increasing in importance with the increasing need for privacy. In particular, considering the current computing environment, which is becoming ubiquitous, the risk of personal information leakage is doubled, so enhancing the security of personal information is becoming a topic in the information processing field.

기존의 사용자 인증 방안으로는 One Time Password(OTP), 공인 인증서(NPKI), 보안 카드(Secure Card), SMS(Short Message Service) 등을 이용한 인증 방안 등이 있다. 하지만 이러한 방안들은 개인 단말(예를 들어 스마트폰 등)을 분실하거나 도난당했을 때 또는 개인 단말에 내장된 개인 정보가 복제되어 유출되었을 때 개인 정보에 대한 보안에 심각한 문제를 일으킬 수 있다. 개인 단말이 악의적인 사용자에 의해 분실 내지는 도난을 당하여 사용자의 금융결제 관련 비밀번호, 공인 인증서의 비밀번호 등의 개인 정보가 해킹 등을 통하여 유출되면 정당 사용자(authenticated user)는 개인 정보의 유출로 인한 심각한 손해를 볼 수 있다.Existing user authentication methods include one time password (OTP), public certificate (NPKI), secure card (Secure Card), and SMS (Short Message Service). However, these methods may cause serious problems in security of personal information when a personal terminal (for example, a smartphone, etc.) is lost or stolen or when personal information embedded in the personal terminal is copied and leaked. If a personal terminal is lost or stolen by a malicious user and personal information such as the password related to the user's financial settlement or the password of the authorized certificate is leaked through hacking, etc., the authenticated user is seriously damaged by the leakage of personal information. Can be seen.

본 발명은 상기한 문제점을 해결하기 위해 창안된 것으로, 본 발명이 해결하려는 과제는 사용자 인증이 요구되는 경우 소정의 조건을 만족하는 경우에만 사용자인증을 하도록 하여, 상기 소정의 조건을 만족하지 아니한 경우에는 정당 사용자라도 사용자 인증 자체를 불허하여 사용자의 개인 정보를 보호함에 만전을 기할 수 있는 사용자 인증 방안을 제시하는 것이다.The present invention was devised to solve the above problems, and the problem to be solved by the present invention is to perform user authentication only when a predetermined condition is satisfied when user authentication is required, and when the predetermined condition is not satisfied. In this article, even a legitimate user is not allowed to authenticate the user, thereby presenting a user authentication method that can ensure complete protection of the user's personal information.

상기한 과제를 해결하기 위해 본 명세서에서 개시하는 사용자 인증 방법은In order to solve the above problems, the user authentication method disclosed herein

(a)사용자의 정당 사용자임을 인증하는 인증 서버가 상기 사용자로부터 인증 요청을 받는 경우, 상기 사용자에 의해 지정되어 상기 인증 서버에 미리 등록된 위치 정보(GPSUSER)를 추출하는 단계; 및 (b)상기 인증 서버가 상기 인증 요청 시점의 상기 사용자의 위치 정보(GPSU)가 상기 추출된 GPSUSER에 포함됨을 판단하여, 포함되는 경우에만 상기 사용자를 정당 사용자로 인증하는 단계를 포함하여 본 발명의 과제를 해결한다.(a) extracting location information (GPS USER ) designated by the user and registered in advance in the authentication server when an authentication server authenticating that the user is a legitimate user receives the authentication request from the user; And (b) the authentication server determining that the user's location information (GPS U ) at the time of the authentication request is included in the extracted GPS USER , and authenticating the user as a party user only when the authentication server is included. The problem of the present invention is solved.

본 발명에 의할 경우, 사용자의 패스워드 등 사용자의 개인 정보가 임의적으로 유출되더라도, 사용자 인증을 요청한 장소(위치)가 사용자가 미리 지정하여 등록한 위치가 아닌 경우에는 인증 자체가 이루어지지 아니하고 아울러 인증 요청이 발생할 때마다 인증용 패스워드를 달리 발생시키므로 개인 정보 보호의 보안성을 획기적으로 제고할 수 있다.According to the present invention, even if the user's personal information, such as the user's password, is randomly leaked, if the place (location) for which user authentication is requested is not a location registered by the user in advance, the authentication itself is not performed and the authentication request is made. Each time a different password is generated for authentication, the security of personal information protection can be greatly improved.

도 1은 본 발명의 전체적인 흐름을 제시한 도면이다.
도 2a 내지 도 2c는 본 발명의 상세한 흐름을 제시한 도면이다.1 is a view showing the overall flow of the present invention.
2a to 2c show the detailed flow of the present invention.

본 발명을 실시하기 위한 구체적인 내용의 설명에 앞서 이해의 편의를 위해 본 발명이 해결하려는 과제의 해결 방안의 개요를 우선 제시한다.Prior to the description of the concrete contents for carrying out the present invention, for the sake of understanding, an outline of a solution to the problem to be solved by the present invention is firstly presented.

본 발명은 사용자 인증을 함에 있어 어느 경우에나 인증 실행(허용)을 실시함이 아닌 것을 그 출발 개념으로 한다. 즉, 상기한 바와 같이 소정의 조건을 만족하는 경우에만 사용자 인증을 실행하는(허용하는) 것인데, 여기서 소정의 조건이란 바로 사용자가 서비스 제공자의 서버에 접속하여 원하는 서비스를 이용하고자 사용자 인증이 요구되는 경우, 사용자가 미리 지정한 위치(장소) 이외의 위치에서 서비스 제공자의 서버에 인증을 시도하면 사용자 인증 자체를 할 수 없도록 하는 것이다. 이하에서는 서비스 제공자의 서버는 서비스 제공자가 제공하는 서비스의 이용을 위해 사용자 인증을 필히 요구하는 서버이며, 따라서 간략히 인증 서버라고 칭하기로 한다.In the present invention, the starting concept is that the authentication is not performed (allowed) in any case. That is, as described above, the user authentication is performed only when the predetermined condition is satisfied (allowed), where the predetermined condition is that the user authentication is required to access the service provider's server and use the desired service. In this case, if the user attempts to authenticate the service provider's server at a location other than a predetermined location (place), the user's authentication itself cannot be performed. In the following description, a server of a service provider is a server that requires user authentication for use of a service provided by a service provider, and thus will be referred to simply as an authentication server.

즉, 사용자가 인증 서버에 접속하여 사용자 인증이 가능하게 하기 위해서는 사용자의 ID와 패스워드 등이 올바른 것뿐만이 아니라, 여기에 더해 사용자가 미리 지정한 위치에서 인증을 시도하는 경우에만 사용자 인증이 가능하도록 하는 것이다. 다시 말하면 사용자의 ID와 패스워드 등이 제3자에게 임의적으로 유출되더라도 접속 위치가 미리 지정한 위치가 아닌 경우에는 사용자의 ID와 패스워드만으로는 정당 사용자에게 조차도 사용자 인증 자체를 불허하여 사용자의 개인 정보 보호의 만전을 기하는 것이 본 발명이 해결하고자 하는 과제의 해결 방안의 개요이다.In other words, in order for the user to access the authentication server and authenticate the user, not only the user's ID and password are correct, but also the user authentication is possible only when the user attempts authentication at a predetermined location. . In other words, even if a user's ID and password are randomly leaked to a third party, if the access location is not a predefined location, even the party's user ID and password alone will not allow the user to authenticate themselves, thus ensuring the privacy of the user's personal information. The outline of the solution of the problem to be solved by the present invention.

이하, 본 발명을 실시하기 위한 구체적인 내용을 본 발명의 바람직한 실시예에 근거하여 첨부 도면을 참조하여 상세히 설명하되, 도면의 구성요소들에 참조번호를 부여함에 있어서 동일 구성요소에 대해서는 비록 다른 도면상에 있더라도 동일 참조번호를 부여하였으며 당해 도면에 대한 설명시 필요한 경우 다른 도면의 구성요소를 인용할 수 있음을 미리 밝혀둔다. 아울러 본 발명과 관련된 공지 기능 혹은 구성에 대한 구체적인 설명 그리고 그 이외의 제반 사항이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우, 그 상세한 설명을 생략한다.The present invention will now be described more fully hereinafter with reference to the accompanying drawings, in which exemplary embodiments of the invention are shown. In the following description, It is to be noted that the same reference numerals are given to the drawings and that elements of other drawings can be cited when necessary in the description of the drawings. In the following description, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

도 1은 본 발명의 전체적인 흐름을, 도 2a 내지 도 2c는 본 발명의 상세한 흐름을 제시한 도면이다.Figure 1 shows the overall flow of the present invention, Figures 2a to 2c is a view showing a detailed flow of the present invention.

사용자는 자신의 단말을 이용하여 인증 서버에 접속하여 인증을 요청한다(S21). 접속은 자신의 ID(IDU), 접속용 패스워드(Password)를 이용하여 이루어지며, 이들 두 정보는 사용자가 자신의 단말을 이용하여 인증 서버에 미리 등록한다.The user requests the authentication by accessing the authentication server using his terminal (S21). The connection is made using its ID (ID U ) and a password for the connection, and these two pieces of information are registered in advance in the authentication server by the user using his terminal.

한편 상기한 등록이 이루어질 때에는 사용자가 지정한 위치(장소) 정보도 아울러 등록된다. 사용자가 지정한 위치 정보의 등록은 본 발명의 목적을 달성하기 위해서 즉, 사용자가 지정한 위치에서 인증을 시도하는 경우에만 사용자 인증이 가능하도록 하기 위함이다. 사용자가 지정한 위치 정보의 등록은 예를 들어 다음과 같이 이루어질 수 있다.On the other hand, when the above registration is made, the location (place) information designated by the user is also registered. The registration of the location information designated by the user is for the purpose of achieving the object of the present invention, that is, the user authentication is possible only when attempting authentication at the location designated by the user. Registration of the location information designated by the user may be performed as follows, for example.

사용자가 지정한 위치 정보를 등록을 요청한 시점의 단말의 타임스탬프(Time Stamp: TS) 정보에 연결(concatenation)시키고, 연결된 정보의 해시(hash) 값(GC)의 형태로 인증 서버에 등록한다.The location information specified by the user is concatenated with Time Stamp (TS) information of the terminal at the time of request for registration, and is registered in the authentication server in the form of a hash value (GC) of the connected information.

GC = H( TS || GPSUSER ).GC = H (TS || GPS USER ).

여기서 H()는 해시 함수를, ||는 concatenation을, GPSUSER은 사용자가 지정한 위치 정보를 의미한다. 이 경우 사용자가 지정한 위치 정보(GPSUSER)는 예를 들어 GPS(Global Positioning System)가 제공하는 위치 좌표를 이용할 수 있는데, 이는 이하에 언급될 모든 위치 정보에도 마찬가지이다.Where H () is the hash function, || is the concatenation, and GPS USER is the location information specified by the user. In this case, the user-specified location information (GPS USER ) may use, for example, location coordinates provided by a global positioning system (GPS), which is the same for all location information to be described below.

인증 서버는 사용자로부터 인증 요청을 받으면, GPSUSER를 추출한다(S22). 이를 위해 인증 서버는 자신에 기 등록된 상기한 해시 값(GC)의 독출을 시도하여(S221), 만일 해시 값(GC)의 독출이 실패한 경우에는 사용자에게 인증을 진행할 수 없음(사용자 인증 실패(거부), GPSUSER가 추출되지 아니함)을 통지하고(S222) 다시 인증을 시도할지를 문의하며, 독출된 경우에는 상기한 GPSUSER가 추출된 것으로 간주하고 사용자 인증 절차가 진행될 수 있다는 차원에서 사용자의 정당 사용자임을 인증하기 위한 인증용 패스워드의 발급 허가를 단말에 통지한다(S223).When the authentication server receives the authentication request from the user, the authentication server extracts the GPS USER (S22). To this end, the authentication server attempts to read the hash value GC previously registered in the self (S221), and if the reading of the hash value GC fails, authentication cannot proceed to the user (user authentication failure ( rejected), GPS uSER has SHALL be extracted) notification and (S222), and consult whether to retry the authentication, if the read, the user of the parties considered the aforementioned GPS uSER is extracted from the level that could be undergoing user authentication Notifying the terminal of the issuance permission of the authentication password for authenticating the user (S223).

여기서 인증용 패스워드는 상기한 접속용 패스워드(Password)와는 다른 패스워드로, 사용자가 인증 서버에의 접속에 성공하더라도 정당 사용자임을 인증하는 절차가 따로 요구되는데 이 인증 절차에 요구되는 패스워드이다.In this case, the authentication password is a password different from the above-mentioned connection password, and a procedure for authenticating that the user is a legitimate user even if the user succeeds in accessing the authentication server is a password required for this authentication procedure.

상기한 발급 허가를 통지받은 단말은 인증용 패스워드를 발급하게 되는데(S23), 인증용 패스워드의 발급은 다음과 같이 이루어질 수 있다.The terminal notified of the issuance permission is issued for the authentication password (S23), issuance of the authentication password can be made as follows.

우선 단말은 인증 요청 시점의 자신의 TS 정보(TSU)와 인증 요청 시점의 자신의 위치 정보(GPSU)를 상호 연결(concatenation)한 정보의 해시(hash) 값(GCU)을 산출한다(S231).First, the terminal calculates a hash value GC U of information associated with its TS information TS U at the time of the authentication request and its location information GPS U at the time of the authentication request ( S231).

GCU=H( TSU || GPSU ).GC U = H (TS U || GPS U ).

GCU를 산출한 후 단말은 GCU 산출시의 자신의 카운터(counter) 값(CU)의 HMAC(keyed-Hash Message Authentication Code)(HCU)를 추출한다(S232).After calculating GC U , the terminal extracts a keyed-hash message authentication code (HMAC) HC U of its counter value (C U ) at the time of calculating GC U (S232).

Figure 112010087166036-pat00001
.
Figure 112010087166036-pat00001
.

여기서 HMACa()는 어떤 해시 메시지 a의 인증 코드(authentication code)를 산출하는 함수를 의미한다. 한편 단말의 카운터(counter) 값(CU)은 후술할 인증 서버의 카운터 값(CS)과 동기화(synchronization)되어 있다.Here, HMAC a () means a function for calculating an authentication code of an hash message a. Meanwhile, the counter value C U of the terminal is synchronized with the counter value C S of the authentication server, which will be described later.

HCU를 추출한 후 단말은 HCU를 Dynamic Truncation(DT)한 값을 인증용 패스워드(APU)로 지정하고, APU를 인증 서버에 전송한다(S233).After extracting the HC U , the terminal designates the value of Dynamic Truncation (DT) of HC U as the authentication password (AP U ), and transmits the AP U to the authentication server (S233).

DT(HCU) = APU.DT (HC U ) = AP U.

여기서 DT(a)는 a의 값을 일련의 문자나 숫자로 표현되는 a의 시작 또는 끝을 소정의 기준에 따라(Dynamic) 절단(Truncation)하는 함수를 의미하는 것이다. DT()는 암호화가 요구되는 제반 환경에서 암호 생성에 통상적으로 쓰이는 함수이며, 생성된 암호의 데이터량이 너무 많게 되는 것을 방지하기 위해 쓰이는 함수이다.Here, DT (a) means a function of truncating the start or end of a represented by a series of letters or numbers according to a predetermined criterion (Dynamic). DT () is a function commonly used to generate a cipher in various environments where encryption is required, and is a function used to prevent an excessive amount of data of a generated cipher.

한편 단말로부터의 인증 요청이 발생하면 인증 서버도 사용자 인증을 수행하기 위한 값을 산출한다(S24).On the other hand, when the authentication request from the terminal occurs, the authentication server also calculates a value for performing user authentication (S24).

먼저 인증 서버는 인증 요청 발생 시점의 자신의 TS 정보(TSS)와 위치 정보(GPSUSER)를 상호 연결(concatenation)한 정보의 해시(hash) 값(GCS)을 산출한다(S241).First, the authentication server calculates a hash value GC S of information of concatenating its TS information TS S and location information GPS USER at the time of authentication request generation (S241).

GCS=H( TSS || GPSUSER ).GC S = H (TS S || GPS USER ).

여기서 TSS는 상기한 TSU와 동기화된 인증 서버의 타임스탬프 정보이다.Here, TS S is time stamp information of the authentication server synchronized with the above TS U.

GCS를 산출한 후 인증 서버는 GCS 산출시의 상기 단말의 카운터(counter) 값(CS)의 HMAC(keyed-Hash Message Authentication Code)(HCS)를 추출한다(S242).After calculating GC S , the authentication server extracts a keyed-hash message authentication code (HMAC) HC S of the counter value C S of the terminal at the time of calculating GC S (S242).

Figure 112010087166036-pat00002
.
Figure 112010087166036-pat00002
.

HCS를 추출한 후 인증 서버는 HCS를 Dynamic Truncation(DT)한 값(APS)을 추출(S243)한다.After extracting the HC S , the authentication server extracts the value AP S obtained by Dynamic Truncation (DT) of the HC S (S243).

DT(HCS) = APS.DT (HC S ) = AP S.

APS가 추출되면 인증 서버는 GPSU가 GPSUSER에 포함됨을 판단하는데(S25), 이는 단말로부터 전송받은 APU와 APS가 동일한지를 판단하는 것이다. 동일한 경우에는 인증 요청 사용자를 정당 사용자로 인증하고, 동일하지 아니한 경우에는 인증이 실패했음을 단말에 통보하고 다시 인증을 시도할지를 문의한다.When the AP S is extracted, the authentication server determines that the GPS U is included in the GPS USER (S25), which determines whether the AP U and the AP S received from the terminal are the same. If it is the same, the authentication request user is authenticated as a party user, and if it is not the same, the terminal notifies the terminal that authentication has failed and inquires whether to try again.

한편 상기한 인증용 패스워드(APU)는 One Time Password(OTP)인 것이 바람직하며 APS도 일회성임이 바람직하다. 이의 일환으로, 상기의 설명에 제시된 바와 같이, 인증용 패스워드(APU)의 발급시와 APS의 추출시에 각각 인증 요청 시점의 타임스탬프 정보(TSU, TSS)를 활용한다. 즉, 인증 요청이 발생할 때마다 새로운 타임스탬프 정보를 활용하여 인증용 패스워드(APU) 및 APS를 달리 하므로 사용자의 개인 정보 보호에 대한 보안성을 획기적으로 제고시킬 수 있다.On the other hand, the authentication password (AP U ) is preferably a One Time Password (OTP) and AP S is also preferably a one-time. As part of this, as shown in the above description, the timestamp information TS U and TS S at the time of authentication request is utilized at the time of issuing the authentication password AP U and extracting the AP S , respectively. That is, each time a request for authentication occurs, the new timestamp information is used to change the authentication password (AP U ) and AP S , thereby greatly improving the security of the user's personal information protection.

사용자 인증이 성공하면 사용자는 자신의 단말을 통해 인증 서버가 제공하는 서비스(예를 들어 전자 금융 거래 등)를 안전하게 이용할 수 있게 된다.If the user authentication is successful, the user can securely use the service (for example, electronic financial transaction, etc.) provided by the authentication server through his terminal.

<본 발명의 이점>Advantages of the Invention

1. OTP 생성 불가능1.Cannot create OTP

본 발명의 가장 큰 특징은 위에서 언급한 바와 같이 사용자가 미리 지정하여 등록한 곳에서 인증을 요청하는 경우에만 사용자 인증이 가능하도록 하는 것이다. 이는 다른 지역에서 도청, 해킹, 피싱, 파밍 등의 공격을 통해 해커가 사용자의 개인 정보(결제 정보 등)를 알아냈다고 하더라도 해커는 물리적인 장소에 직접적으로 위치해야 하기 때문에 공격을 어렵게 한다. 또한 직접 위치했다 하더라도 사용자 개인 단말에 대한 해킹이 한 번 더 이루어 져야 하기 때문에 악의적인 사용자의 공격으로부터 안전하다.As described above, the greatest feature of the present invention is that the user can be authenticated only when the user requests authentication from a place designated and registered in advance. This makes the attack difficult even if the hacker finds the user's personal information (such as payment information) through attacks such as eavesdropping, hacking, phishing, and farming in other areas. In addition, even if it is located directly, it is safe from malicious user attack because hacking on user's personal terminal has to be done once more.

2. 세션 하이재킹 공격에 안전2. Safe against session hijacking attacks

만약 공격자가 사용자의 이전 세션을 가로채고, 획득한 세션을 이용하여 사용자로 가장하고 서버와 OTP값을 인증 받으려고 하는 경우에도 공격자는 서버와 OTP 값을 인증받을 수 없다. 세션정보를 획득한다 해도 공격자는 GC 값을 알 수 없기 때문에 다음 OTP 값을 생성해 내지 못한다. 따라서 제안된 인증방식은 세션 하이재킹 공격으로부터 안전하다.If an attacker intercepts a user's previous session, attempts to impersonate the user using the acquired session, and authenticate the server and OTP values, the attacker cannot authenticate the server and OTP values. Even if session information is obtained, the attacker cannot know the GC value and thus cannot generate the next OTP value. Therefore, the proposed authentication method is safe from session hijacking attack.

3. 사전 공격에 안전3. Safe to dictionary attacks

사전 공격의 경우 패스워드를 추측하여 공격하는 방법으로서, 본 발명은 사용자의 OTP 값과 서버의 OTP 값을 서로 비교하여 인증을 하고 서비스를 제공하기 때문에 패스워드를 추측하여 공격하는 사전 공격에 안전하며 본 발명에 의한 해시 함수의 일방향성의 특징 때문에 사전공격으로부터 안전하다.In the case of dictionary attack, a method of attacking by guessing a password, the present invention compares the user's OTP value and the server's OTP value to authenticate and provide a service, so it is safe against a dictionary attack that guesses a password and attacks the present invention. Because of the unidirectional nature of the hash function, it is safe from dictionary attacks.

4. 위장공격에 안전4. Safe to camouflage attack

악의적인 공격자가 정당 사용자로 위장하기 위해서는 위장하고자 하는 사용자의 ID 와 OTP 값을 알아야 한다. 사용자의 ID는 공개된 정보이기 때문에 쉽게 알 수 있지만, 사용자의 OTP 값은 HC(= HMACGC(C)) 값을 알아내고 AP(=DT(HC))를 추출하여야 하기 때문에 추측하기 어렵다. 따라서 위장공격은 불가능하다.A malicious attacker needs to know the ID and OTP value of the user to be disguised as a party user. The user's ID is easy to know because it is public information, but the user's OTP value is difficult to guess because it has to find out the HC (= HMAC GC (C)) value and extract the AP (= DT (HC)). Therefore, camouflage attack is impossible.

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다.The present invention can also be embodied as computer-readable codes on a computer-readable recording medium. A computer-readable recording medium includes all kinds of recording apparatuses in which data that can be read by a computer system is stored.

컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 유무선 네트워크를 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.Examples of the computer-readable recording medium include a ROM, a RAM, a CD-ROM, a magnetic tape, a floppy disk, an optical data storage device, and the like, and also implemented in the form of a carrier wave (for example, transmission over a wired or wireless network) . The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

이제까지 본 발명에 대하여 그 바람직한 실시예를 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 균등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.The present invention has been described above with reference to preferred embodiments thereof. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. Therefore, the disclosed embodiments should be considered in an illustrative rather than a restrictive sense. The scope of the present invention is defined by the appended claims rather than by the foregoing description, and all differences within the scope of equivalents thereof should be construed as being included in the present invention.

Claims (9)

(a)사용자단말의 정당 사용자임을 인증하는 인증 서버가 상기 사용자단말로부터 인증 요청을 받는 경우, 상기 사용자단말에 의해 지정되어 상기 인증 서버에 미리 등록된 위치 정보(GPSUSER)를 추출하는 단계; 및
(b)상기 인증 서버가 상기 인증 요청시의 상기 사용자단말의 위치 정보(GPSU)가 상기 추출된 GPSUSER에 포함됨을 판단하여, 포함되는 경우에만 상기 사용자단말을 정당 사용자로 인증하는 단계를 포함하며,
상기 GPSUSER는 상기 등록을 요청한 시점의 상기 사용자단말의 타임스탬프(Time Stamp: TS) 정보에 연결(concatenation)되고, 상기 연결된 정보의 해시(hash) 값의 형태로 상기 인증 서버에 등록되는 것을 특징으로 하는 사용자 인증 방법.(a) extracting the location information (GPS USER ) designated by the user terminal and registered in advance in the authentication server when the authentication server authenticating that the user terminal is an authorized user of the user terminal receives the authentication request from the user terminal; And
(b) the authentication server determining that the location information (GPS U ) of the user terminal at the time of the authentication request is included in the extracted GPS USER , and authenticating the user terminal as a party user only if included. ,
The GPS USER is concatenated with Time Stamp (TS) information of the user terminal at the time of requesting the registration, and is registered in the authentication server in the form of a hash value of the connected information. User authentication method. 삭제delete 제 1 항에 있어서, 상기 (a)단계는
(a1)상기 인증 서버가 상기 해시 값의 독출을 시도하는 단계; 및
(a2)상기 인증 서버가 상기 해시 값이 독출된 경우에만 상기 사용자단말의 정당 사용자임을 인증하기 위한 인증용 패스워드의 발급 허가를 상기 사용자단말에 통지하는 단계를 포함하는 것을 특징으로 하는 사용자 인증 방법.The method of claim 1, wherein step (a)
(a1) the authentication server attempting to read the hash value; And
and (a2) notifying, by the authentication server, the user terminal of the permission to issue an authentication password for authenticating that the user is a legitimate user of the user terminal only when the hash value is read. 제 3 항에 있어서,
상기 인증용 패스워드는 One Time Password(OTP)를 포함하는 것을 특징으로 하는 사용자 인증 방법.The method of claim 3, wherein
The authentication password comprises a one time password (OTP). 제 4 항에 있어서, 상기 사용자단말에 의한 상기 인증용 패스워드의 발급은
상기 사용자단말이 상기 인증 요청 시점의 자신의 TS 정보와 상기 인증 요청 시점의 자신의 위치 정보(GPSU)를 상호 연결(concatenation)한 정보의 해시(hash) 값(GCU)을 산출하는 단계;
상기 GCU 산출시의 상기 사용자단말의 카운터(counter) 값의 HMAC(keyed-Hash Message Authentication Code)(HCU)를 추출하는 단계; 및
상기 HCU를 Dynamic Truncation(DT)한 값을 상기 인증용 패스워드로 지정하는 단계를 포함하여 이루어지는 것을 특징으로 하는 사용자 인증 방법.The method of claim 4, wherein the issuance of the authentication password by the user terminal is performed.
Calculating, by the user terminal, a hash value (GC U ) of information of concatenating its TS information at the time of the authentication request with its location information (GPS U ) at the time of the authentication request;
Extracting a keyed-hash message authentication code (HMAC) HC U of a counter value of the user terminal when calculating the GC U ; And
And assigning the HC U value to Dynamic Truncation (DT) as the authentication password. 제 5 항에 있어서, 상기 (a)단계는
(a3)상기 발급 허가 통지를 한 경우, 상기 인증 서버가 상기 인증 요청 시점의 자신의 TS 정보와 상기 GPSUSER를 상호 연결(concatenation)한 정보의 해시(hash) 값(GCS)을 산출하는 단계;
(a4)상기 인증 서버가 상기 GCS 산출시의 상기 서버의 카운터(counter) 값의 HMAC(keyed-Hash Message Authentication Code)(HCS)를 추출하는 단계; 및
(a5)상기 인증 서버가 상기 HCS를 Dynamic Truncation(DT)한 값을 추출하는 단계를 더 포함하는 것을 특징으로 하는 사용자 인증 방법.The method of claim 5, wherein step (a)
(a3) when the issuance permission notification is made, the authentication server calculating a hash value GC S of its TS information at the time of the authentication request and information concatenating the GPS USER ; ;
(a4) extracting, by the authentication server, a keyed-hash message authentication code (HMAC) (HC S ) of a counter value of the server when the GC S is calculated; And
(a5) The user authentication method, characterized in that the authentication server further comprises the step of extracting the value of the Dynamic Truncation (DT) of the HC S. 제 6 항에 있어서,
상기 (b)단계는 상기 인증용 패스워드와 상기 HCS를 상기 DT한 값의 일치 여부를 판단하는 것으로 이루어지는 것을 특징으로 하는 사용자 인증 방법.The method according to claim 6,
Step (b) comprises determining whether or not the authentication password and the HC S DT value match. 제 1 항 또는 제 3 항 내지 제 7 항 중 어느 한 항에 있어서,
상기 모든 위치 정보는 GPS(Global Positioning System)를 이용하여 획득되는 것을 특징으로 하는 사용자 인증 방법.The method according to any one of claims 1 or 3 to 7,
All the location information is obtained by using a Global Positioning System (GPS). 제 8 항의 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 판독 가능한 기록 매체.A computer-readable recording medium having recorded thereon a program for executing the method of claim 8 on a computer.
KR1020100137792A 2010-12-29 2010-12-29 Method for authenticating user KR101209176B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100137792A KR101209176B1 (en) 2010-12-29 2010-12-29 Method for authenticating user

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100137792A KR101209176B1 (en) 2010-12-29 2010-12-29 Method for authenticating user

Publications (2)

Publication Number Publication Date
KR20120075895A KR20120075895A (en) 2012-07-09
KR101209176B1 true KR101209176B1 (en) 2012-12-06

Family

ID=46709704

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100137792A KR101209176B1 (en) 2010-12-29 2010-12-29 Method for authenticating user

Country Status (1)

Country Link
KR (1) KR101209176B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150145791A (en) * 2014-06-19 2015-12-31 주식회사 우아한형제들 Delivery order relaying system and providing method thereof
KR101853350B1 (en) * 2017-11-29 2018-04-30 한국과학기술정보연구원 Method and apparatus for the world wide federated authentication
KR102253953B1 (en) * 2020-06-11 2021-05-20 제주대학교 산학협력단 Method and apparatus for securing location tracking information by using k-anonymity model and data perturbation

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040022422A1 (en) 2002-08-02 2004-02-05 Masaki Yamauchi Authentication apparatus and authentication method

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040022422A1 (en) 2002-08-02 2004-02-05 Masaki Yamauchi Authentication apparatus and authentication method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
허성진, GPS 위치정보 인증기반 2D 게임엔진 설계 및 구현, 한국산학기술학회논문지 Vol.9, No.5, pp.1242-1248 (2008.)*

Also Published As

Publication number Publication date
KR20120075895A (en) 2012-07-09

Similar Documents

Publication Publication Date Title
US9544280B2 (en) Utilization of a protected module to prevent offline dictionary attacks
US9094823B2 (en) Data processing for securing local resources in a mobile device
US9350548B2 (en) Two factor authentication using a protected pin-like passcode
US20190281028A1 (en) System and method for decentralized authentication using a distributed transaction-based state machine
WO2018050081A1 (en) Device identity authentication method and apparatus, electric device, and storage medium
CN106452764B (en) Method for automatically updating identification private key and password system
KR101563828B1 (en) Method and apparatus for trusted authentication and logon
CN108259406B (en) Method and system for verifying SSL certificate
US20080016333A1 (en) Method and system for remote password based authentication using smart cards for accessing a communications network
CN106453361B (en) A kind of security protection method and system of the network information
US11714914B2 (en) Secure storage of passwords
KR101531662B1 (en) Method and system for mutual authentication between client and server
CN103414562A (en) Method and device for controlling user right based on URL fingerprint technology
US20180053018A1 (en) Methods and systems for facilitating secured access to storage devices
Choi et al. A secure OTP algorithm using a smartphone application
CN109726578B (en) Dynamic two-dimensional code anti-counterfeiting solution
Klevjer et al. Extended HTTP digest access authentication
KR101209176B1 (en) Method for authenticating user
Schwarz et al. Feido: Recoverable FIDO2 tokens using electronic ids
Gupta et al. Implementing high grade security in cloud application using multifactor authentication and cryptography
CN117040857A (en) User identity verification method for enhancing authorization code security
CN111614458A (en) Method, system and storage medium for generating gateway JWT
Certic The Future of Mobile Security
KR101473576B1 (en) Method for Offline Login based on SW Token and Mobile Device using the same
KR100959201B1 (en) Smartcard-Based Remote User Authentication Method

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151030

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160928

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee