KR101238687B1 - 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템 - Google Patents
바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템 Download PDFInfo
- Publication number
- KR101238687B1 KR101238687B1 KR1020110040201A KR20110040201A KR101238687B1 KR 101238687 B1 KR101238687 B1 KR 101238687B1 KR 1020110040201 A KR1020110040201 A KR 1020110040201A KR 20110040201 A KR20110040201 A KR 20110040201A KR 101238687 B1 KR101238687 B1 KR 101238687B1
- Authority
- KR
- South Korea
- Prior art keywords
- biometric
- information
- time password
- value
- otp
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Collating Specific Patterns (AREA)
Abstract
본 발명은 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에 관한 것으로, 자신의 개인 정보 및 시간정보를 전송하고, 서버로부터 전송된 도전값에 의해 자신의 의사 바이오메트릭정보를 생성하여 서버로 전송하며, 서버로부터의 승인메시지를 근거로 자신의 바이오메트릭(Biometric) 정보를 변환함수 f 값을 이용하여 역변환 불가 형태로 바이오메트릭 정보 및 해쉬 값을 생성하여 최종적으로 바이오메트릭 일회용 패스워드(B-OTP) 값을 생성하고, 생성된 바이오메트릭 일회용 패스워드(B-OTP) 값을 서버로 전송하는 사용자 단말과; 상기 사용자 단말로부터 전송된 정보를 데이터베이스를 사용하여 사용자 인증을 수행하며, 랜덤한 도전값을 전송하며, 사용자단말로 부터의 바이오메트릭정보에 대한 승인메시지를 생성하여 전송하며, 사용자 단말로부터 전송된 바이오메트릭 일회용 패스워드(B-OTP)값을 서버에서 생성한 바이오메트릭 일회용 패스워드(B-OTP)값과 비교하여 바이오메트릭 일회용 패스워드(B-OTP) 로그인 성공/실패를 확인하는 서버;를 포함하는 것을 특징으로 한다.
Description
본 발명은 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 및 시스템에 관한 것으로, 더욱 상세하게는 각 사용자가 자신의 스마트폰 등을 통해서 사용자 자신이 캡춰한 랜덤 이미지 정보로부터 일회용 패스워드를 생성하여 이를 통해 사용자 인증 과정을 수행하는 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에 관한 것이다.
OTP
기술 분석
OTP(One-Time Password) 기술은 일회용 패스워드를 생성하는 기술이다. OTP 생성기술은 크게 비동기화 방식과 동기화 방식으로 나눌 수 있다.
도 1은 비동기화 OTP 방식을 설명하는 개념도로서, 비동기화 OTP 방식은 도 1에 도시된 바와 같이, Challenge Response 방식으로 작동하는 것이며, 질의 값에 대한 응답 결과로 인증과정을 수행한다. 이 방식은 서버(20)와 사용자단말(10)의 동기화가 필요없는 방식이지만 사용자의 입력이 필요하며 네트워크 과부하를 유발하기도 한다.
도 2는 동기화 OTP 방식을 설명하는 개념도로서, 동기화 OTP 방식은 시간 동기화 방식, 이벤트 동기화 방식, 이벤트-시간 동기화 방식으로 작동하며 사용자단말(10) OTP 토큰과 인증 서버(20) 사이에 정확한 동기화 과정이 필요하며 서버와 OTP 단말간의 동기화된 시간 정보를 기준으로 특정 시간 간격마다 패스워드를 생성하는 방식으로 MITM(Man-In-The-Middle) 공격에 취약하며, 재사용 시간의 제약이 있다는 문제점이 있다.
도 3은 OTP 기반 동작 시나리오를 설명하기 위한 개념도이다.
도 3을 참조하면, OTP 기반 동작 시나리오는 다음과 같다. OTP 사용자는 OTP 값을 생성하여 이를 사용자 PC에 입력하면 인증 서버에서 이를 검증하는 방법을 사용하고 있다. 사용자는 자신이 소유한 비밀키 정보와 동기화 정보를 이용하여 OTP를 생성하고 이를 자신의 사용자 PC에 입력한다. 입력된 정보는 금융기관의 OTP 인증서버에 전달되어 서버내에서 생성된 OTP 값과 비교/검증하는 과정을 수행하게 된다.
기존 이미지 기반 사용자 인증 구조 분석
최근 ConfidentTech에서는 Image Authentication 방식을 제안하고 있다. 사용자 자신이 사용할 이미지 타이틀을 사전에 설정한 후에, ID를 입력과 함께 다양한 조합의 이미지 값들로 구성된 Challenge 값에 대해서 Response 값으로는 자신이 선택한 이미지 타이틀에 해당하는 이미지에 해당하는 타이틀 값을 전송하여 인증을 수행하는 방식이다. 예를들어 사용자가 dog, car, ship 라는 세가지 범주를 선택하였다면 아래 도 3과 같은 Challenge 이미지 정보에 대해 5, X, V 값의 조합으로 된 세자리 access code 값을 Response로 전송하는 방식이다. 다음 단계에서는 이미지와 배열이 바뀌게 되어 새로운 access code 값 F, z, N 값의 조합 중 하나를 입력하는 방식이다.
이 방식은 OTP 방식과 유사한 점을 갖는다고 볼 수 있다. 사용자가 설정한 이미지 타이틀 정보가 각 사용자에 대한 Secret이 될 수 있으며, 매번 다른 형태의 이미지가 서로 다른 배열 및 access code로 할당되기 때문에 일종의 OTP 방식이라고 할 수 있다. 하지만, 만일 사용자가 3개의 이미지 타이틀을 선택한 후에 9개의 이미지 샘플이 제공된다면 결국 전체 조합 코드 504개(9*8*7) 중에서 6개만이 적법한 access code에 해당하므로 1.19%의 확률을 보이게 된다. 그리고 이 방식에서는 공격자가 여러번 접속을 시도하는 과정에서 제공되는 9개의 이미지에 대한 유사성 및 공통성을 분석해 보면 손쉽게 3개의 이미지 범주를 찾을 수 있게 된다는 문제점이 있다. 하지만 이미지 정보를 이용하여 일회용 access code를 생성하였다는 점에서 기존의 일반적인 OTP 방식에도 이미지 또는 기타 멀티미디어 정보 등과 연계할 수 있다는 것을 확인할 수 있다.
본 발명의 목적은 각 사용자가 자신의 스마트폰 등을 통해서 사용자 자신이 캡춰한 랜덤 이미지 정보로부터 일회용 패스워드를 생성하여 이를 통해 사용자 인증 과정을 수행하는 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템을 제공함에 있다.
본 발명의 또 다른 목적은 스마트폰을 이용한 인터넷 뱅킹 및 인터넷전화 서비스에서의 보안성을 강화하고 인증 취약점을 개선하기 위해 스마트폰과 Proxy 서버간 송수신되는 메시지를 중심으로 사용자 인증을 강화하기 위해 바이오메트릭 ID 정보와 인터넷 뱅킹에서 사용되는 OTP 기술을 접목한 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템을 제공함에 있다.
삭제
본 발명의 다른 측면에 있어서, 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증시스템은 자신의 개인 정보 및 시간정보를 전송하고, 서버로부터 전송된 도전값에 의해 자신의 의사 바이오메트릭정보를 생성하여 서버로 전송하며, 서버로부터의 승인메시지를 근거로 자신의 바이오메트릭(Biometric) 정보를 변환함수 f 값을 이용하여 역변환 불가 형태로 바이오메트릭 정보 및 해쉬 값을 생성하여 최종적으로 바이오메트릭 일회용 패스워드(B-OTP) 값을 생성하고, 생성된 바이오메트릭 일회용 패스워드(B-OTP) 값을 서버로 전송하는 사용자 단말과; 상기 사용자 단말로부터 전송된 정보를 데이터베이스를 사용하여 사용자 인증을 수행하며, 랜덤한 도전값을 전송하며, 사용자단말로 부터의 바이오메트릭정보에 대한 승인메시지를 생성하여 전송하며, 사용자 단말로부터 전송된 바이오메트릭 일회용 패스워드(B-OTP)값을 서버에서 생성한 바이오메트릭 일회용 패스워드(B-OTP)값과 비교하여 바이오메트릭 일회용 패스워드(B-OTP) 로그인 성공/실패를 확인하는 서버;를 포함하는 것을 특징으로 한다.
본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에 의하면, 의사 바이오메트릭 정보를 이용하여 OTP 방식과 접목하였기 때문에 기존의 방식보다 안전성을 높일 수 있고 본인 확인 기능을 향상시킬 수 있는 효과가 있다.
또한, OTP 토큰 실제 소유자 인증을 위해 의사 바이오메트릭 이미지에 대해 변환함수를 적용하여 이를 변형시키고 이를 OTP 생성 과정에 적용하여 바이오 정보 사용시 발생하는 프라이버시 문제도 해결할 수 있으며, OTP 정보 기반 다중 인증에도 활용 가능하다는 장점이 있다.
또한, 의사 바이오메트릭 정보에 대해 변환함수 f를 적용하여 OTP 생성 과정에 사용하였기 때문에 사용자 획득 바이오메트릭 정보에 대한 프라이버시 보호 기능을 제공하면서도 일회용 패스워드를 기반으로 인증 과정을 수행할 수 있기 때문에 결국에는 재전송 공격을 방지할 수 있는 효과가 있다. 변환함수 f 적용 과정에서 시간정보 T 값을 사용하였기 때문에 만일 공격자에 의해 재전송 공격이 수행된다 할지라도 이를 검출할 수 있는 효과가 있다. 변환함수 f 에 포함된 ID와 PW 정보 및 시간정보를 이용하여 만일 공격가자 OTP"을 생성하였다면 이는 서버에서 생성되는 정보와 다르기 때문에 재전송 공격에 의해 발생한 일회용 패스워드 변형에 대해 검출이 가능한 효과가 있다.
도 1은 종래기술에 따른 비동기화방식의 일회용 패스워드를 생성하는 과정을 설명하는 개념도이다.
도 2는 종래기술에 따른 동기회방식의 일회용 패스워드를 생성하는 과정을 설명하는 개념도이다.
도 3은 OTP 기반 동작 시나리오를 설명하기 위한 개념도이다.
도 4는 종래 이미지 인증 방식을 설명하기 위한 도면이다.
도 5는 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증시스템의 전체적인 정보 생성 및 절차를 설명하는 개념도이다.
도 6은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 세부구조를 나타낸 도면이다.
도 7은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에서 바이오메트릭-일회용 패스워드 정보 생성과정을 나타낸 도면이다.
도 8은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에서의 인증과정을 수식을 통해 나타낸 도면이다.
도 9는 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 세부구조 및 인증흐름을 구체적으로 나타낸 도면이다.
도 10은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 구현방식의 예를 도시한 도면이다.
도 2는 종래기술에 따른 동기회방식의 일회용 패스워드를 생성하는 과정을 설명하는 개념도이다.
도 3은 OTP 기반 동작 시나리오를 설명하기 위한 개념도이다.
도 4는 종래 이미지 인증 방식을 설명하기 위한 도면이다.
도 5는 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증시스템의 전체적인 정보 생성 및 절차를 설명하는 개념도이다.
도 6은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 세부구조를 나타낸 도면이다.
도 7은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에서 바이오메트릭-일회용 패스워드 정보 생성과정을 나타낸 도면이다.
도 8은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에서의 인증과정을 수식을 통해 나타낸 도면이다.
도 9는 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 세부구조 및 인증흐름을 구체적으로 나타낸 도면이다.
도 10은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 구현방식의 예를 도시한 도면이다.
이하 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 및 시스템에 대하여 첨부도면을 참조로 상세히 설명한다.
도 5는 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 및 시스템의 전체적인 정보 생성 및 절차를 설명하는 개념도이다.
B(
Biometric
)-
OTP
(
One
-
Time
Password
) 기반 사용자 인증 전체 구조
B-OTP 인증을 위한 전체적인 정보 생성 및 절차는 도 5와 같다. 사용자 단말(100)은 자신의 바이오메트릭 정보를 서버(200)로 보낸다. 서버(200)는 난수 도전값을 생성하여 사용자 단말(100)로 전송하며, 자신의 바이오메트릭 정보와 서버(200)로부터 전송받은 도전값, 대칭키를 이용하여 B-OTP를 생성한다. 생성된 B-OTP는 서버(200)로 다시 전송되며, 서버(200)도 사용자 단말(100)에서의 B-OTP 생성과정과 동일하게 B-OTP를 생성한다. 따라서, 사용자 단말(100)로부터 받은 B-OTP와 서버(200)에서 생성한 B-OTP를 비교하여 사용자 인증을 수행하게 된다.
도 6은 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 세부구조를 나타낸 도면이다.
B-
OTP
기반 사용자 인증 세부 구조
B-OTP 기반의 사용자 인증을 위한 세부 구조는 도 6과 같다. 먼저 1단계에서, 사용자 단말(100)은 자신의 스마트폰에 있는 카메라 모듈을 이용하여 캡춰한 바이오메트릭 정보를 서버(200)로 보내며, 서버(200)는 임의의 난수 바이오메트릭 ID 값을 생성한다. 바이오 정보는 사용자 인증을 강화하기 위하여 자신의 얼굴을 이용한다. 이 후, 이 바이오 정보에서 B-OTP 값을 추출하게 됨으로 UAC와 Proxy서버(200)는 바이오 정보를 임시로 보관한다. 이때 사용되는 사용자의 바이오메트릭 정보는 각 사용자로부터 획득된 이미지에서 Proxy 서버(200)로부터 전달받은 도전값에 해당하는 좌표값에 해당하는 이미지 픽셀 정보를 이용하여 B-OTP 정보를 생성하는 방식이다. 이후 2단계에서, 생성된 바이오메트릭 ID는 서버(200)의 프라이버시 DB를 통하여 유효한 ID 인지를 판단하게 된다. 유효한 바이오메트릭 ID는 사용자 단말(100)로 전송된다. 3단계에서, 사용자 단말(100)은 자신의 개인정보를 입력하게 되며, ID 정보만이 서버(200)로 전송된다. 4단계에서, 서버(200)는 수신된 ID 정보가 유효한 ID이면, 난수 도전값을 생성하여 사용자 단말(100)로 전송한다. 5단계에서, 사용자 단말(100)은 자신의 바이오메트릭 정보와 서버(200)로부터 전송받은 도전 값, 자신의 PW 정보로부터 B-OTP를 생성하고 이를 다시 서버(200)로 전송한다. 서버(200)도 사용자 단말(100)에서의 B-OTP과정과 동일하게 B-OTP를 생성하며, 사용자단말(100)로부터 받은 B-OTP와 비교하여 사용자 인증을 수행하게 된다.
도 7은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에서 바이오메트릭-일회용 패스워드 정보 생성과정을 나타낸 도면이다.
B-
OTP
기반 이미지 추출 구조
난수 함수는 암호학적으로 안전한 해쉬함수와 큰 소수 p에 대한 mod 연산을 통해 계산된다. 사용자 단말(100)은 Proxy Server(200)로부터 받은 챌린지 값을 이용하여 사용자 단말(100)의 카메라 모듈로부터 획득된 이미지에 대해 B-OTP를 생성하게 된다. OTP Key 값의 정보를 이용하여 이미지내 특정 위치에 대한 픽셀 값을 추출하고 이 정보를 이용하여 도 7과 같이 B-OTP 정보를 생성하게 된다.
도 8은 본 발명에 따른 바이오 정보를 이용한 사용자 인증 시스템에서의 인증과정을 수식을 통해 나타낸 도면이다.
바이오메트릭 정보 기반
OTP
생성 방식
바이오메트릭 정보를 이용하여 OTP 정보를 생성하고 이를 이용하여 인증 과정에 사용할 수 있다. 전체적인 작동 과정은 아래 도 8과 같다.
1단계 : 사용자는 자신의 스마트폰, 즉 사용자 단말(100)내 카메라 모듈을 이용하여 자신의 얼굴 이미지를 캡춰하여 Biometric Image 정보 Bi를 생성하고 이를 시간정보(Timestamp) Tu와 함께 서버로 전송한다(S22).
2단계 : 서버(200)는 자신의 시간정보 Ts와 클라이언트로부터 전달받은 Tu 값을 비교하여 일정한 오차범위 △T에 속할 경우 이를 받아들이고 서버(200)가 임의로 생성한 난수값 Rs 값을 이용하여 바이오메트릭 정보 기반 사용자 u의 ID값 를 생성한 후에 서버의 시간정보 Ts와 함께 {BIDu, Ts} 값을 클라이언트, 즉 사용자단말(100)에 전송한다(S24).
3단계 : 클라이언트(100)는 서버(200)로부터 전달받은 값에 대해서 Tu-Ts <△T에 속할 경우 이를 받아들이고 다음 [수학식 1]과 같이 TIDu, XIDu 및 Cu 값을 생성한다(S26).
[수학식 1]
이때, TIDu 값은 사용자 ID 정보 IDu와 자신의 카메라 모듈을 통해 캡춰한 바이오메트릭 이미지 정보 Bi 를 포함하고 있는 BIDu 값과 시간정보 Tu 값을 이용하여 생성하게 되며, XIDu 값은 사용자 IDu에 대한 패스워드 정보 PWu와 서버로부터 전달받은 BIDu 값을 이용하여 생성하게 된다. 그리고 이 두 정보를 이용하여 클라이언트(100)는 Cu = H( XIDu | TIDu | Ts )를 생성하게 된다. BIDu 값은 서버(200)가 생성한 난수값 Rs를 이용하여 생성된 일회용 바이오메트릭 ID 정보(One-Time Biometric ID)가 되는 것을 알 수 있다. 클라이언트(100)는 생성된 TIDu 값과 Cu 값을 서버(200)로 전송한다.
4단계 : 이제 서버(200)는 클라이언트(100)로 전달받은 TIDu, Cu 값을 이용하여 우선 다음과 같이 값을 생성하여 자신의 DB에 저장된 IDu 정보에 대해서 IDu == IDu* 인지를 확인하게 된다. 만일 동일한 값을 얻게 되면 클라이언트 ID 정보에 대한 유효성을 확인하게 된다(S28).
그런 다음에 서버(200)는 클라이언트(100)로 전달받은 TIDu, Cu 값을 이용하여 다음과 같이 XIDu* 와 Cu* 값을 생성하여 클라이언트에 대한 인증 과정을 수행하게 된다. XIDu* 값은 서버(200)가 자신의 DB에 저장한 PWu* 값을 이용하여 아래 [수학식 2]와 같이 생성 및 검증이 가능하다.
[수학식 2]
이제 클라이언트(100)로부터 전달받은 Cu 값과 서버(200)에서 생성된 Cu* 값을 비교하여 만일 동일한 값이 생성된다면 서버(200)는 사용자의 일회용 바이오메트릭 ID 정보인 TIDu* 값을 이용하여 챌린지 값 CH = (TIDu* | Rs | rand(Seq)) 값을 생성하여 이를 클라이언트(100)에 전송한다.
5단계 : 클라이언트(100)는 서버(200)로부터 전달받은 CH 값을 이용하여 다음 [수학식 3]과 같이 OTPu 값을 생성하고 이를 다시 서버에 전송하게 된다(S30).
[수학식 3]
OTPu = H( XIDU | CH | BIDu)
6단계 : 서버(200)는 클라이언트(100)로부터 전달받은 OTPu에 대해서 OTPu* 값을 생성하고 동일한 값이 생성되면 사용자에 대한 인증 과정을 완료하게 된다. 이와 같은 과정을 수행하는 과정에서 사용자의 IDu에 대한 패스워드 정보 PWu는 네트워크 전송 과정에서 외부로 유출되지 않으면서도 안전하게 사용자에 대한 인증 과정을 수행할 수 있다.
도 9는 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 세부구조 및 인증흐름을 구체적으로 나타낸 도면이다. 이하 도 9를 참조하여 설명한다.
도 9를 참조하면, 본 발명에 따른 얼굴 바이오메트릭 아이디 정보를 이용한 일회용 패스워드기반 사용자 인증 시스템은 바이오메트릭 정보를 생성하는 바이오메트릭 정보생성부와; 시간정보를 생성하는 시간정보 생성부; 바이오메트릭 아이디정보를 확인하는 아이디확인부; 해쉬함수를 생성하는 해쉬함수생성기; 바이오메트릭 일회용 패스워드를 생성하여 전송하는 바이오메트릭 일회용 패스워드 생성부;를 포함하는 사용자 단말과; 상기 사용자 단말로부터 전송된 바이오메트릭 아이디를 체크하는 아이디체크부; 상기 사용자 단말로부터 전송된 바이오메트릭 아이디정보를 통해 도전값을 생성하는 도전값 생성부; 상기 도전값 생성부에서 생성된 도전값을 사용자단말로 전송하는 도전값 전송부; 해쉬함수를 생성하는 해쉬함수생성기; 바이오메트릭 일회용 패스워드를 생성하는 바이오메트릭 일회용 패스워드 생성부; 상기 사용자단말로부터 전송된 바이오메트릭 일회용 패스워드값을 비교하는 바이오메트릭 일회용 패스워드값 비교부; 및 상기 사용자 단말의 바이오메트릭 아이디정보를 검증하기 위한 정보를 저장관리하는 프라이버시 데이터베이스;를 포함하는 서버;를 포함한다.
다중 인증(
Multi
-
factor
authentication
) 기능 제공
본 방법에서 제시한 기법은 의사 바이오메트릭 정보를 이용하여 OTP 방식과 접목하였기 때문에 기존의 방식보다 안전성을 높일 수 있게 되었다. 기존 OTP 방식은 OTP 토큰에 대한 실제 소유자에 대한 확인 과정이 전혀 제공되지 못하고 있다. OTP 토큰 발급시 비밀키 정보를 이용하여 패스워드를 생성하고 있으나, 실제 사용자에 대한 정보를 포함하고 있지 않아 제 3 자에 의해 사용시 이를 확인할 수 있는 방법이 제공되지 못하고 있다. 하지만 의사 바이오메트릭 정보를 사용하였기 때문에 본인 확인 기능을 향상시킬 수 있다.
스마트폰 기반 소유자 인증/확인 기능 제공
OTP 토큰에 대한 분실시 비동기화/동기화 방식 모두 분실/도난시 대응 방안을 제시하지 못하고 있다. OTP 토큰이 분실되었을 경우 원래 소유주에 대한 확인 과정이 전혀 제공되지 않고 있다. 결국 현재까지 제시된 OTP 방식은 단순히 일회용 패스워드를 생성하는 과정에만 목적을 두고 있을 뿐, OTP 기기 및 모듈에 대한 소유자 인증/확인 과정이 제공되지 못하고 있다. 이에 본 발명에서는 OTP 토큰 실제 소유자 인증을 위해 의사 바이오메트릭 이미지에 대해 변환함수를 적용하여 이를 변형시키고 이를 OTP 생성 과정에 적용하였다. 이와 같은 방식을 사용하게 되면 바이오 정보 사용시 발생하는 프라이버시 문제도 해결할 수 있으며, OTP 정보 기반 다중 인증에도 활용 가능하다는 장점이 있다.
재전송 공격 방지 기능 제공
의사 바이오메트릭 정보에 대해 변환함수 f를 적용하여 OTP 생성 과정에 사용하였기 때문에 사용자 획득 바이오메트릭 정보에 대한 프라이버시 보호 기능을 제공하면서도 일회용 패스워드를 기반으로 인증 과정을 수행할 수 있기 때문에 결국에는 재전송 공격을 방지할 수 있다. 변환함수 f 적용 과정에서 시간정보 T 값을 사용하였기 때문에 만일 공격자에 의해 재전송 공격이 수행된다 할지라도 이를 검출할 수 있다. 변환함수 f 에 포함된 ID와 PW 정보 및 시간정보를 이용하여 만일 공격가자 OTP"을 생성하였다면 이는 서버에서 생성되는 정보와 다르기 때문에 재전송 공격에 의해 발생한 일회용 패스워드 변형에 대해 검출이 가능하다.
도 10은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 구현방식의 예를 도시한 도면이다. 이하 도 10을 참조하여 설명한다.
시스템 구현 결과 및 작동방식
본 발명에서는 클라이언트 시스템으로 안드로이드 OS를 사용하였으며 서버 시스템은 SQL 서버를 사용 하였다. 안드로이드 기반의 개발환경은 JAVA JDK 1.6.x 버전, Android SDK(Software Development Kit), Eclipse galileo-SR2로 구성하였으며, SQL 서버는 MySQL 기반으로 하였다.
안드로이드 환경에서의 사용자는 사전에 서버를 통해 계정발급 받는 과정을 수행한다. 본 발명에서는 안드로이드 환경에서의 Biometric OTP 로그인을 구현하였으며 클라이언트 중심의 B-OTP 로그인 과정은 다음과 같다. 안드로이드 에뮬레이터가 실행이 되면 해당 어플리케이션이 실행이 된다. 사용자는 사전에 계정발급이 되어 있는 상태이므로 로그인을 하여 서버에 접속을 할 수 있다. 사용자는 자신의 ID/PW 기반의 개인 Privacy 정보를 입력창에 입력을 하게 되며, Login 버튼을 누르면 서버로 자신의 ID 정보와 현재 시간이 서버로 전송된다. 서버는 Privacy 데이터베이스의 테이블에서 ID 정보를 체크를 하게 되며, 유효한 ID 정보임을 확인한 서버는 클라이언트로 랜덤한 도전 값을 보내게 된다. 도전값을 수신 받은 클라이언트는 자신의 Biometric 정보를 확인할 수 있는 카메라 UI로 전환되며, 자신의 의사 바이오메트릭 정보를 Shutter 버튼을 누름으로써 획득한다. 획득된 Biometric 정보는 서버로 다시 전송되며, 서버는 응답으로 클라이언트에게 OK 메시지를 보낸다. OK 메시지를 받은 클라이언트는 자신의 Biometric 정보를 변환함수 f 값을 이용하여 역변환 불가 형태로 바이오메트릭 정보 및 해쉬 값을 생성하여 최종적으로 B-OTP 값을 생성하게 된다. 생성된 B-OTP 값은 서버로 전송되며, 서버도 클라이언트와 동일한 과정으로 B-OTP를 생성할 수 있다. 따라서 클라이언트에서 생성한 B-OTP 값과 서버에서 생성한 B-OTP 값을 비교함으로써 Biometric OTP 로그인 성공/실패를 확인할 수 있다.
100: 사용자단말
200: 서버
200: 서버
Claims (8)
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 바이오메트릭 정보를 생성하는 바이오메트릭 정보생성부와;
시간정보를 생성하는 시간정보 생성부;
바이오메트릭 아이디정보를 확인하는 아이디확인부;
해쉬함수를 생성하는 해쉬함수생성기;
바이오메트릭 일회용 패스워드를 생성하여 전송하는 바이오메트릭 일회용 패스워드 생성부;를 포함하는 사용자 단말과;
상기 사용자 단말로부터 전송된 바이오메트릭 아이디를 체크하는 아이디체크부;
상기 사용자 단말로부터 전송된 바이오메트릭 아이디정보를 통해 도전값을 생성하는 도전값 생성부;
상기 도전값 생성부에서 생성된 도전값을 사용자단말로 전송하는 도전값 전송부;
해쉬함수를 생성하는 해쉬함수생성기;
바이오메트릭 일회용 패스워드를 생성하는 바이오메트릭 일회용 패스워드 생성부;
상기 사용자단말로부터 전송된 바이오메트릭 일회용 패스워드값을 비교하는 바이오메트릭 일회용 패스워드값 비교부; 및
상기 사용자 단말의 바이오메트릭 아이디정보를 검증하기 위한 정보를 저장관리하는 프라이버시 데이터베이스;를 포함하는 서버;를 포함하는 것을 특징으로 하는 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템. - 사용자의 개인 정보 및 시간정보를 전송하고, 서버로부터 전송된 도전값에 의해 사용자의 의사 바이오메트릭정보를 생성하여 서버로 전송하며, 서버로부터의 승인메시지를 근거로 사용자의 바이오메트릭(Biometric) 정보를 변환함수 f 값을 이용하여 역변환 불가 형태로 바이오메트릭 정보 및 해쉬 값을 생성하여 최종적으로 바이오메트릭 일회용 패스워드(B-OTP) 값을 생성하고, 생성된 바이오메트릭 일회용 패스워드(B-OTP) 값을 서버로 전송하는 사용자 단말과;
상기 사용자 단말로부터 전송된 정보를 데이터베이스를 사용하여 사용자 인증을 수행하며, 랜덤한 도전값을 전송하며, 사용자단말로 부터의 바이오메트릭정보에 대한 승인메시지를 생성하여 전송하며, 사용자 단말로부터 전송된 바이오메트릭 일회용 패스워드(B-OTP)값을 서버에서 생성한 바이오메트릭 일회용 패스워드(B-OTP)값과 비교하여 바이오메트릭 일회용 패스워드(B-OTP) 로그인 성공/실패를 확인하는 서버;를 포함하는 것을 특징으로 하는 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020110040201A KR101238687B1 (ko) | 2011-04-28 | 2011-04-28 | 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020110040201A KR101238687B1 (ko) | 2011-04-28 | 2011-04-28 | 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120147044A Division KR101297118B1 (ko) | 2012-12-17 | 2012-12-17 | 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20120122181A KR20120122181A (ko) | 2012-11-07 |
KR101238687B1 true KR101238687B1 (ko) | 2013-03-04 |
Family
ID=47508477
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020110040201A KR101238687B1 (ko) | 2011-04-28 | 2011-04-28 | 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101238687B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9749317B2 (en) | 2015-08-28 | 2017-08-29 | At&T Intellectual Property I, L.P. | Nullifying biometrics |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9819676B2 (en) | 2012-06-29 | 2017-11-14 | Apple Inc. | Biometric capture for unauthorized user identification |
US9959539B2 (en) | 2012-06-29 | 2018-05-01 | Apple Inc. | Continual authorization for secured functions |
US9832189B2 (en) | 2012-06-29 | 2017-11-28 | Apple Inc. | Automatic association of authentication credentials with biometrics |
US10212158B2 (en) | 2012-06-29 | 2019-02-19 | Apple Inc. | Automatic association of authentication credentials with biometrics |
US10331866B2 (en) | 2013-09-06 | 2019-06-25 | Apple Inc. | User verification for changing a setting of an electronic device |
US20150073998A1 (en) | 2013-09-09 | 2015-03-12 | Apple Inc. | Use of a Biometric Image in Online Commerce |
US20150220931A1 (en) | 2014-01-31 | 2015-08-06 | Apple Inc. | Use of a Biometric Image for Authorization |
KR101714742B1 (ko) * | 2015-10-22 | 2017-03-10 | 고려대학교 산학협력단 | 원격제어를 위한 인증 방법 및 서버 |
CN107623667B (zh) * | 2016-07-15 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 数据重放判断方法和装置 |
KR102052483B1 (ko) * | 2017-11-14 | 2020-01-08 | 박영경 | 셀룰러 IoT 네트워크에서 멀티미디어 방송 다중 송출 서비스 시스템을 이용한 위치 기반 암호 생성용 시드코드 전송방법 및 시스템 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20080075956A (ko) * | 2007-02-14 | 2008-08-20 | 에스케이씨앤씨 주식회사 | 생체정보를 이용하는 사용자 인증방법 |
US7685629B1 (en) | 2009-08-05 | 2010-03-23 | Daon Holdings Limited | Methods and systems for authenticating users |
US7865937B1 (en) | 2009-08-05 | 2011-01-04 | Daon Holdings Limited | Methods and systems for authenticating users |
-
2011
- 2011-04-28 KR KR1020110040201A patent/KR101238687B1/ko active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20080075956A (ko) * | 2007-02-14 | 2008-08-20 | 에스케이씨앤씨 주식회사 | 생체정보를 이용하는 사용자 인증방법 |
US7685629B1 (en) | 2009-08-05 | 2010-03-23 | Daon Holdings Limited | Methods and systems for authenticating users |
US7865937B1 (en) | 2009-08-05 | 2011-01-04 | Daon Holdings Limited | Methods and systems for authenticating users |
Non-Patent Citations (1)
Title |
---|
장원준 외 1명, 바이오메트릭 정보를 이용한 일회용 패스워드( B-OTP) 생성 기법 개발 및 응용, 한국융합학회논문지 제1권 제1호, pp.93-100 (2010) * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9749317B2 (en) | 2015-08-28 | 2017-08-29 | At&T Intellectual Property I, L.P. | Nullifying biometrics |
US10097545B2 (en) | 2015-08-28 | 2018-10-09 | At&T Intellectual Property I, L.P. | Nullifying biometrics |
US11050744B2 (en) | 2015-08-28 | 2021-06-29 | At&T Intellectual Property I, L.P. | Nullifying biometrics |
US11658967B2 (en) | 2015-08-28 | 2023-05-23 | At&T Intellectual Property I, L.P. | Nullifying biometrics |
Also Published As
Publication number | Publication date |
---|---|
KR20120122181A (ko) | 2012-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101238687B1 (ko) | 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템 | |
US10491587B2 (en) | Method and device for information system access authentication | |
Jiang et al. | Improvement of robust smart‐card‐based password authentication scheme | |
US10530582B2 (en) | Method and device for information system access authentication | |
US20200358614A1 (en) | Securing Transactions with a Blockchain Network | |
Kim et al. | A design of user authentication system using QR code identifying method | |
Li et al. | Applying biometrics to design three‐factor remote user authentication scheme with key agreement | |
CN105024819B (zh) | 一种基于移动终端的多因子认证方法及系统 | |
Jangirala et al. | A multi-server environment with secure and efficient remote user authentication scheme based on dynamic ID using smart cards | |
EP3014836B1 (en) | Method, communication system and computer program product for biometric authentication and authorization | |
KR101297118B1 (ko) | 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 | |
Reddy et al. | A privacy preserving three-factor authenticated key agreement protocol for client–server environment | |
Sureshkumar et al. | A robust mutual authentication scheme for session initiation protocol with key establishment | |
Khan et al. | Offline OTP based solution for secure internet banking access | |
KR101243101B1 (ko) | 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템 | |
Gowthami et al. | Secure three-factor remote user authentication for E-Governance of smart cities | |
Hussain et al. | Secure annihilation of out-of-band authorization for online transactions | |
Pampori et al. | Securely eradicating cellular dependency for e-banking applications | |
Han et al. | A novel multifactor two-server authentication scheme under the mobile cloud computing | |
Wu et al. | A secure strong-password authentication protocol | |
KR101310043B1 (ko) | 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 | |
Kaur et al. | A comparative analysis of various multistep login authentication mechanisms | |
Quan et al. | Cryptanalysis and improvement of a biometric and smart card based remote user authentication scheme | |
Lee et al. | Design of a simple user authentication scheme using QR-code for mobile device | |
Jang et al. | User-Oriented Pseudo Biometric Image Based One-Time Password Mechanism on Smart Phone |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A107 | Divisional application of patent | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20160219 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20180221 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20190311 Year of fee payment: 7 |