KR101238687B1 - 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템 - Google Patents

바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템 Download PDF

Info

Publication number
KR101238687B1
KR101238687B1 KR1020110040201A KR20110040201A KR101238687B1 KR 101238687 B1 KR101238687 B1 KR 101238687B1 KR 1020110040201 A KR1020110040201 A KR 1020110040201A KR 20110040201 A KR20110040201 A KR 20110040201A KR 101238687 B1 KR101238687 B1 KR 101238687B1
Authority
KR
South Korea
Prior art keywords
biometric
information
time password
value
otp
Prior art date
Application number
KR1020110040201A
Other languages
English (en)
Other versions
KR20120122181A (ko
Inventor
이형우
장원준
조식완
Original Assignee
이형우
한신대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이형우, 한신대학교 산학협력단 filed Critical 이형우
Priority to KR1020110040201A priority Critical patent/KR101238687B1/ko
Publication of KR20120122181A publication Critical patent/KR20120122181A/ko
Application granted granted Critical
Publication of KR101238687B1 publication Critical patent/KR101238687B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Collating Specific Patterns (AREA)

Abstract

본 발명은 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에 관한 것으로, 자신의 개인 정보 및 시간정보를 전송하고, 서버로부터 전송된 도전값에 의해 자신의 의사 바이오메트릭정보를 생성하여 서버로 전송하며, 서버로부터의 승인메시지를 근거로 자신의 바이오메트릭(Biometric) 정보를 변환함수 f 값을 이용하여 역변환 불가 형태로 바이오메트릭 정보 및 해쉬 값을 생성하여 최종적으로 바이오메트릭 일회용 패스워드(B-OTP) 값을 생성하고, 생성된 바이오메트릭 일회용 패스워드(B-OTP) 값을 서버로 전송하는 사용자 단말과; 상기 사용자 단말로부터 전송된 정보를 데이터베이스를 사용하여 사용자 인증을 수행하며, 랜덤한 도전값을 전송하며, 사용자단말로 부터의 바이오메트릭정보에 대한 승인메시지를 생성하여 전송하며, 사용자 단말로부터 전송된 바이오메트릭 일회용 패스워드(B-OTP)값을 서버에서 생성한 바이오메트릭 일회용 패스워드(B-OTP)값과 비교하여 바이오메트릭 일회용 패스워드(B-OTP) 로그인 성공/실패를 확인하는 서버;를 포함하는 것을 특징으로 한다.

Description

바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템{USER AUTHENTICATION SYSTEM USING BIOMETRIC ONE-TIME PASSWORD}
본 발명은 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 및 시스템에 관한 것으로, 더욱 상세하게는 각 사용자가 자신의 스마트폰 등을 통해서 사용자 자신이 캡춰한 랜덤 이미지 정보로부터 일회용 패스워드를 생성하여 이를 통해 사용자 인증 과정을 수행하는 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에 관한 것이다.
OTP 기술 분석
OTP(One-Time Password) 기술은 일회용 패스워드를 생성하는 기술이다. OTP 생성기술은 크게 비동기화 방식과 동기화 방식으로 나눌 수 있다.
도 1은 비동기화 OTP 방식을 설명하는 개념도로서, 비동기화 OTP 방식은 도 1에 도시된 바와 같이, Challenge Response 방식으로 작동하는 것이며, 질의 값에 대한 응답 결과로 인증과정을 수행한다. 이 방식은 서버(20)와 사용자단말(10)의 동기화가 필요없는 방식이지만 사용자의 입력이 필요하며 네트워크 과부하를 유발하기도 한다.
도 2는 동기화 OTP 방식을 설명하는 개념도로서, 동기화 OTP 방식은 시간 동기화 방식, 이벤트 동기화 방식, 이벤트-시간 동기화 방식으로 작동하며 사용자단말(10) OTP 토큰과 인증 서버(20) 사이에 정확한 동기화 과정이 필요하며 서버와 OTP 단말간의 동기화된 시간 정보를 기준으로 특정 시간 간격마다 패스워드를 생성하는 방식으로 MITM(Man-In-The-Middle) 공격에 취약하며, 재사용 시간의 제약이 있다는 문제점이 있다.
도 3은 OTP 기반 동작 시나리오를 설명하기 위한 개념도이다.
도 3을 참조하면, OTP 기반 동작 시나리오는 다음과 같다. OTP 사용자는 OTP 값을 생성하여 이를 사용자 PC에 입력하면 인증 서버에서 이를 검증하는 방법을 사용하고 있다. 사용자는 자신이 소유한 비밀키 정보와 동기화 정보를 이용하여 OTP를 생성하고 이를 자신의 사용자 PC에 입력한다. 입력된 정보는 금융기관의 OTP 인증서버에 전달되어 서버내에서 생성된 OTP 값과 비교/검증하는 과정을 수행하게 된다.
기존 이미지 기반 사용자 인증 구조 분석
최근 ConfidentTech에서는 Image Authentication 방식을 제안하고 있다. 사용자 자신이 사용할 이미지 타이틀을 사전에 설정한 후에, ID를 입력과 함께 다양한 조합의 이미지 값들로 구성된 Challenge 값에 대해서 Response 값으로는 자신이 선택한 이미지 타이틀에 해당하는 이미지에 해당하는 타이틀 값을 전송하여 인증을 수행하는 방식이다. 예를들어 사용자가 dog, car, ship 라는 세가지 범주를 선택하였다면 아래 도 3과 같은 Challenge 이미지 정보에 대해 5, X, V 값의 조합으로 된 세자리 access code 값을 Response로 전송하는 방식이다. 다음 단계에서는 이미지와 배열이 바뀌게 되어 새로운 access code 값 F, z, N 값의 조합 중 하나를 입력하는 방식이다.
이 방식은 OTP 방식과 유사한 점을 갖는다고 볼 수 있다. 사용자가 설정한 이미지 타이틀 정보가 각 사용자에 대한 Secret이 될 수 있으며, 매번 다른 형태의 이미지가 서로 다른 배열 및 access code로 할당되기 때문에 일종의 OTP 방식이라고 할 수 있다. 하지만, 만일 사용자가 3개의 이미지 타이틀을 선택한 후에 9개의 이미지 샘플이 제공된다면 결국 전체 조합 코드 504개(9*8*7) 중에서 6개만이 적법한 access code에 해당하므로 1.19%의 확률을 보이게 된다. 그리고 이 방식에서는 공격자가 여러번 접속을 시도하는 과정에서 제공되는 9개의 이미지에 대한 유사성 및 공통성을 분석해 보면 손쉽게 3개의 이미지 범주를 찾을 수 있게 된다는 문제점이 있다. 하지만 이미지 정보를 이용하여 일회용 access code를 생성하였다는 점에서 기존의 일반적인 OTP 방식에도 이미지 또는 기타 멀티미디어 정보 등과 연계할 수 있다는 것을 확인할 수 있다.
본 발명의 목적은 각 사용자가 자신의 스마트폰 등을 통해서 사용자 자신이 캡춰한 랜덤 이미지 정보로부터 일회용 패스워드를 생성하여 이를 통해 사용자 인증 과정을 수행하는 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템을 제공함에 있다.
본 발명의 또 다른 목적은 스마트폰을 이용한 인터넷 뱅킹 및 인터넷전화 서비스에서의 보안성을 강화하고 인증 취약점을 개선하기 위해 스마트폰과 Proxy 서버간 송수신되는 메시지를 중심으로 사용자 인증을 강화하기 위해 바이오메트릭 ID 정보와 인터넷 뱅킹에서 사용되는 OTP 기술을 접목한 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템을 제공함에 있다.
삭제
본 발명의 다른 측면에 있어서, 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증시스템은 자신의 개인 정보 및 시간정보를 전송하고, 서버로부터 전송된 도전값에 의해 자신의 의사 바이오메트릭정보를 생성하여 서버로 전송하며, 서버로부터의 승인메시지를 근거로 자신의 바이오메트릭(Biometric) 정보를 변환함수 f 값을 이용하여 역변환 불가 형태로 바이오메트릭 정보 및 해쉬 값을 생성하여 최종적으로 바이오메트릭 일회용 패스워드(B-OTP) 값을 생성하고, 생성된 바이오메트릭 일회용 패스워드(B-OTP) 값을 서버로 전송하는 사용자 단말과; 상기 사용자 단말로부터 전송된 정보를 데이터베이스를 사용하여 사용자 인증을 수행하며, 랜덤한 도전값을 전송하며, 사용자단말로 부터의 바이오메트릭정보에 대한 승인메시지를 생성하여 전송하며, 사용자 단말로부터 전송된 바이오메트릭 일회용 패스워드(B-OTP)값을 서버에서 생성한 바이오메트릭 일회용 패스워드(B-OTP)값과 비교하여 바이오메트릭 일회용 패스워드(B-OTP) 로그인 성공/실패를 확인하는 서버;를 포함하는 것을 특징으로 한다.
본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에 의하면, 의사 바이오메트릭 정보를 이용하여 OTP 방식과 접목하였기 때문에 기존의 방식보다 안전성을 높일 수 있고 본인 확인 기능을 향상시킬 수 있는 효과가 있다.
또한, OTP 토큰 실제 소유자 인증을 위해 의사 바이오메트릭 이미지에 대해 변환함수를 적용하여 이를 변형시키고 이를 OTP 생성 과정에 적용하여 바이오 정보 사용시 발생하는 프라이버시 문제도 해결할 수 있으며, OTP 정보 기반 다중 인증에도 활용 가능하다는 장점이 있다.
또한, 의사 바이오메트릭 정보에 대해 변환함수 f를 적용하여 OTP 생성 과정에 사용하였기 때문에 사용자 획득 바이오메트릭 정보에 대한 프라이버시 보호 기능을 제공하면서도 일회용 패스워드를 기반으로 인증 과정을 수행할 수 있기 때문에 결국에는 재전송 공격을 방지할 수 있는 효과가 있다. 변환함수 f 적용 과정에서 시간정보 T 값을 사용하였기 때문에 만일 공격자에 의해 재전송 공격이 수행된다 할지라도 이를 검출할 수 있는 효과가 있다. 변환함수 f 에 포함된 ID와 PW 정보 및 시간정보를 이용하여 만일 공격가자 OTP"을 생성하였다면 이는 서버에서 생성되는 정보와 다르기 때문에 재전송 공격에 의해 발생한 일회용 패스워드 변형에 대해 검출이 가능한 효과가 있다.
도 1은 종래기술에 따른 비동기화방식의 일회용 패스워드를 생성하는 과정을 설명하는 개념도이다.
도 2는 종래기술에 따른 동기회방식의 일회용 패스워드를 생성하는 과정을 설명하는 개념도이다.
도 3은 OTP 기반 동작 시나리오를 설명하기 위한 개념도이다.
도 4는 종래 이미지 인증 방식을 설명하기 위한 도면이다.
도 5는 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증시스템의 전체적인 정보 생성 및 절차를 설명하는 개념도이다.
도 6은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 세부구조를 나타낸 도면이다.
도 7은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에서 바이오메트릭-일회용 패스워드 정보 생성과정을 나타낸 도면이다.
도 8은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에서의 인증과정을 수식을 통해 나타낸 도면이다.
도 9는 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 세부구조 및 인증흐름을 구체적으로 나타낸 도면이다.
도 10은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 구현방식의 예를 도시한 도면이다.
이하 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 및 시스템에 대하여 첨부도면을 참조로 상세히 설명한다.
도 5는 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 및 시스템의 전체적인 정보 생성 및 절차를 설명하는 개념도이다.
B( Biometric )- OTP ( One - Time Password ) 기반 사용자 인증 전체 구조
B-OTP 인증을 위한 전체적인 정보 생성 및 절차는 도 5와 같다. 사용자 단말(100)은 자신의 바이오메트릭 정보를 서버(200)로 보낸다. 서버(200)는 난수 도전값을 생성하여 사용자 단말(100)로 전송하며, 자신의 바이오메트릭 정보와 서버(200)로부터 전송받은 도전값, 대칭키를 이용하여 B-OTP를 생성한다. 생성된 B-OTP는 서버(200)로 다시 전송되며, 서버(200)도 사용자 단말(100)에서의 B-OTP 생성과정과 동일하게 B-OTP를 생성한다. 따라서, 사용자 단말(100)로부터 받은 B-OTP와 서버(200)에서 생성한 B-OTP를 비교하여 사용자 인증을 수행하게 된다.
도 6은 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 세부구조를 나타낸 도면이다.
B- OTP 기반 사용자 인증 세부 구조
B-OTP 기반의 사용자 인증을 위한 세부 구조는 도 6과 같다. 먼저 1단계에서, 사용자 단말(100)은 자신의 스마트폰에 있는 카메라 모듈을 이용하여 캡춰한 바이오메트릭 정보를 서버(200)로 보내며, 서버(200)는 임의의 난수 바이오메트릭 ID 값을 생성한다. 바이오 정보는 사용자 인증을 강화하기 위하여 자신의 얼굴을 이용한다. 이 후, 이 바이오 정보에서 B-OTP 값을 추출하게 됨으로 UAC와 Proxy서버(200)는 바이오 정보를 임시로 보관한다. 이때 사용되는 사용자의 바이오메트릭 정보는 각 사용자로부터 획득된 이미지에서 Proxy 서버(200)로부터 전달받은 도전값에 해당하는 좌표값에 해당하는 이미지 픽셀 정보를 이용하여 B-OTP 정보를 생성하는 방식이다. 이후 2단계에서, 생성된 바이오메트릭 ID는 서버(200)의 프라이버시 DB를 통하여 유효한 ID 인지를 판단하게 된다. 유효한 바이오메트릭 ID는 사용자 단말(100)로 전송된다. 3단계에서, 사용자 단말(100)은 자신의 개인정보를 입력하게 되며, ID 정보만이 서버(200)로 전송된다. 4단계에서, 서버(200)는 수신된 ID 정보가 유효한 ID이면, 난수 도전값을 생성하여 사용자 단말(100)로 전송한다. 5단계에서, 사용자 단말(100)은 자신의 바이오메트릭 정보와 서버(200)로부터 전송받은 도전 값, 자신의 PW 정보로부터 B-OTP를 생성하고 이를 다시 서버(200)로 전송한다. 서버(200)도 사용자 단말(100)에서의 B-OTP과정과 동일하게 B-OTP를 생성하며, 사용자단말(100)로부터 받은 B-OTP와 비교하여 사용자 인증을 수행하게 된다.
도 7은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에서 바이오메트릭-일회용 패스워드 정보 생성과정을 나타낸 도면이다.
B- OTP 기반 이미지 추출 구조
난수 함수는 암호학적으로 안전한 해쉬함수와 큰 소수 p에 대한 mod 연산을 통해 계산된다. 사용자 단말(100)은 Proxy Server(200)로부터 받은 챌린지 값을 이용하여 사용자 단말(100)의 카메라 모듈로부터 획득된 이미지에 대해 B-OTP를 생성하게 된다. OTP Key 값의 정보를 이용하여 이미지내 특정 위치에 대한 픽셀 값을 추출하고 이 정보를 이용하여 도 7과 같이 B-OTP 정보를 생성하게 된다.
도 8은 본 발명에 따른 바이오 정보를 이용한 사용자 인증 시스템에서의 인증과정을 수식을 통해 나타낸 도면이다.
바이오메트릭 정보 기반 OTP 생성 방식
바이오메트릭 정보를 이용하여 OTP 정보를 생성하고 이를 이용하여 인증 과정에 사용할 수 있다. 전체적인 작동 과정은 아래 도 8과 같다.
1단계 : 사용자는 자신의 스마트폰, 즉 사용자 단말(100)내 카메라 모듈을 이용하여 자신의 얼굴 이미지를 캡춰하여 Biometric Image 정보 Bi를 생성하고 이를 시간정보(Timestamp) Tu와 함께 서버로 전송한다(S22).
2단계 : 서버(200)는 자신의 시간정보 Ts와 클라이언트로부터 전달받은 Tu 값을 비교하여 일정한 오차범위 △T에 속할 경우 이를 받아들이고 서버(200)가 임의로 생성한 난수값 Rs 값을 이용하여 바이오메트릭 정보 기반 사용자 u의 ID값
Figure 112011031714293-pat00001
를 생성한 후에 서버의 시간정보 Ts와 함께 {BIDu, Ts} 값을 클라이언트, 즉 사용자단말(100)에 전송한다(S24).
3단계 : 클라이언트(100)는 서버(200)로부터 전달받은 값에 대해서 Tu-Ts <△T에 속할 경우 이를 받아들이고 다음 [수학식 1]과 같이 TIDu, XIDu 및 Cu 값을 생성한다(S26).
[수학식 1]
Figure 112011031714293-pat00002
이때, TIDu 값은 사용자 ID 정보 IDu와 자신의 카메라 모듈을 통해 캡춰한 바이오메트릭 이미지 정보 Bi 를 포함하고 있는 BIDu 값과 시간정보 Tu 값을 이용하여 생성하게 되며, XIDu 값은 사용자 IDu에 대한 패스워드 정보 PWu와 서버로부터 전달받은 BIDu 값을 이용하여 생성하게 된다. 그리고 이 두 정보를 이용하여 클라이언트(100)는 Cu = H( XIDu | TIDu | Ts )를 생성하게 된다. BIDu 값은 서버(200)가 생성한 난수값 Rs를 이용하여 생성된 일회용 바이오메트릭 ID 정보(One-Time Biometric ID)가 되는 것을 알 수 있다. 클라이언트(100)는 생성된 TIDu 값과 Cu 값을 서버(200)로 전송한다.
4단계 : 이제 서버(200)는 클라이언트(100)로 전달받은 TIDu, Cu 값을 이용하여 우선 다음과 같이
Figure 112011031714293-pat00003
값을 생성하여 자신의 DB에 저장된 IDu 정보에 대해서 IDu == IDu* 인지를 확인하게 된다. 만일 동일한 값을 얻게 되면 클라이언트 ID 정보에 대한 유효성을 확인하게 된다(S28).
그런 다음에 서버(200)는 클라이언트(100)로 전달받은 TIDu, Cu 값을 이용하여 다음과 같이 XIDu* 와 Cu* 값을 생성하여 클라이언트에 대한 인증 과정을 수행하게 된다. XIDu* 값은 서버(200)가 자신의 DB에 저장한 PWu* 값을 이용하여 아래 [수학식 2]와 같이 생성 및 검증이 가능하다.
[수학식 2]
Figure 112011031714293-pat00004
이제 클라이언트(100)로부터 전달받은 Cu 값과 서버(200)에서 생성된 Cu* 값을 비교하여 만일 동일한 값이 생성된다면 서버(200)는 사용자의 일회용 바이오메트릭 ID 정보인 TIDu* 값을 이용하여 챌린지 값 CH = (TIDu* | Rs | rand(Seq)) 값을 생성하여 이를 클라이언트(100)에 전송한다.
5단계 : 클라이언트(100)는 서버(200)로부터 전달받은 CH 값을 이용하여 다음 [수학식 3]과 같이 OTPu 값을 생성하고 이를 다시 서버에 전송하게 된다(S30).
[수학식 3]
OTPu = H( XIDU | CH | BIDu)
6단계 : 서버(200)는 클라이언트(100)로부터 전달받은 OTPu에 대해서 OTPu* 값을 생성하고 동일한 값이 생성되면 사용자에 대한 인증 과정을 완료하게 된다. 이와 같은 과정을 수행하는 과정에서 사용자의 IDu에 대한 패스워드 정보 PWu는 네트워크 전송 과정에서 외부로 유출되지 않으면서도 안전하게 사용자에 대한 인증 과정을 수행할 수 있다.
도 9는 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 세부구조 및 인증흐름을 구체적으로 나타낸 도면이다. 이하 도 9를 참조하여 설명한다.
도 9를 참조하면, 본 발명에 따른 얼굴 바이오메트릭 아이디 정보를 이용한 일회용 패스워드기반 사용자 인증 시스템은 바이오메트릭 정보를 생성하는 바이오메트릭 정보생성부와; 시간정보를 생성하는 시간정보 생성부; 바이오메트릭 아이디정보를 확인하는 아이디확인부; 해쉬함수를 생성하는 해쉬함수생성기; 바이오메트릭 일회용 패스워드를 생성하여 전송하는 바이오메트릭 일회용 패스워드 생성부;를 포함하는 사용자 단말과; 상기 사용자 단말로부터 전송된 바이오메트릭 아이디를 체크하는 아이디체크부; 상기 사용자 단말로부터 전송된 바이오메트릭 아이디정보를 통해 도전값을 생성하는 도전값 생성부; 상기 도전값 생성부에서 생성된 도전값을 사용자단말로 전송하는 도전값 전송부; 해쉬함수를 생성하는 해쉬함수생성기; 바이오메트릭 일회용 패스워드를 생성하는 바이오메트릭 일회용 패스워드 생성부; 상기 사용자단말로부터 전송된 바이오메트릭 일회용 패스워드값을 비교하는 바이오메트릭 일회용 패스워드값 비교부; 및 상기 사용자 단말의 바이오메트릭 아이디정보를 검증하기 위한 정보를 저장관리하는 프라이버시 데이터베이스;를 포함하는 서버;를 포함한다.
다중 인증( Multi - factor authentication ) 기능 제공
본 방법에서 제시한 기법은 의사 바이오메트릭 정보를 이용하여 OTP 방식과 접목하였기 때문에 기존의 방식보다 안전성을 높일 수 있게 되었다. 기존 OTP 방식은 OTP 토큰에 대한 실제 소유자에 대한 확인 과정이 전혀 제공되지 못하고 있다. OTP 토큰 발급시 비밀키 정보를 이용하여 패스워드를 생성하고 있으나, 실제 사용자에 대한 정보를 포함하고 있지 않아 제 3 자에 의해 사용시 이를 확인할 수 있는 방법이 제공되지 못하고 있다. 하지만 의사 바이오메트릭 정보를 사용하였기 때문에 본인 확인 기능을 향상시킬 수 있다.
스마트폰 기반 소유자 인증/확인 기능 제공
OTP 토큰에 대한 분실시 비동기화/동기화 방식 모두 분실/도난시 대응 방안을 제시하지 못하고 있다. OTP 토큰이 분실되었을 경우 원래 소유주에 대한 확인 과정이 전혀 제공되지 않고 있다. 결국 현재까지 제시된 OTP 방식은 단순히 일회용 패스워드를 생성하는 과정에만 목적을 두고 있을 뿐, OTP 기기 및 모듈에 대한 소유자 인증/확인 과정이 제공되지 못하고 있다. 이에 본 발명에서는 OTP 토큰 실제 소유자 인증을 위해 의사 바이오메트릭 이미지에 대해 변환함수를 적용하여 이를 변형시키고 이를 OTP 생성 과정에 적용하였다. 이와 같은 방식을 사용하게 되면 바이오 정보 사용시 발생하는 프라이버시 문제도 해결할 수 있으며, OTP 정보 기반 다중 인증에도 활용 가능하다는 장점이 있다.
재전송 공격 방지 기능 제공
의사 바이오메트릭 정보에 대해 변환함수 f를 적용하여 OTP 생성 과정에 사용하였기 때문에 사용자 획득 바이오메트릭 정보에 대한 프라이버시 보호 기능을 제공하면서도 일회용 패스워드를 기반으로 인증 과정을 수행할 수 있기 때문에 결국에는 재전송 공격을 방지할 수 있다. 변환함수 f 적용 과정에서 시간정보 T 값을 사용하였기 때문에 만일 공격자에 의해 재전송 공격이 수행된다 할지라도 이를 검출할 수 있다. 변환함수 f 에 포함된 ID와 PW 정보 및 시간정보를 이용하여 만일 공격가자 OTP"을 생성하였다면 이는 서버에서 생성되는 정보와 다르기 때문에 재전송 공격에 의해 발생한 일회용 패스워드 변형에 대해 검출이 가능하다.
도 10은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 구현방식의 예를 도시한 도면이다. 이하 도 10을 참조하여 설명한다.
시스템 구현 결과 및 작동방식
본 발명에서는 클라이언트 시스템으로 안드로이드 OS를 사용하였으며 서버 시스템은 SQL 서버를 사용 하였다. 안드로이드 기반의 개발환경은 JAVA JDK 1.6.x 버전, Android SDK(Software Development Kit), Eclipse galileo-SR2로 구성하였으며, SQL 서버는 MySQL 기반으로 하였다.
안드로이드 환경에서의 사용자는 사전에 서버를 통해 계정발급 받는 과정을 수행한다. 본 발명에서는 안드로이드 환경에서의 Biometric OTP 로그인을 구현하였으며 클라이언트 중심의 B-OTP 로그인 과정은 다음과 같다. 안드로이드 에뮬레이터가 실행이 되면 해당 어플리케이션이 실행이 된다. 사용자는 사전에 계정발급이 되어 있는 상태이므로 로그인을 하여 서버에 접속을 할 수 있다. 사용자는 자신의 ID/PW 기반의 개인 Privacy 정보를 입력창에 입력을 하게 되며, Login 버튼을 누르면 서버로 자신의 ID 정보와 현재 시간이 서버로 전송된다. 서버는 Privacy 데이터베이스의 테이블에서 ID 정보를 체크를 하게 되며, 유효한 ID 정보임을 확인한 서버는 클라이언트로 랜덤한 도전 값을 보내게 된다. 도전값을 수신 받은 클라이언트는 자신의 Biometric 정보를 확인할 수 있는 카메라 UI로 전환되며, 자신의 의사 바이오메트릭 정보를 Shutter 버튼을 누름으로써 획득한다. 획득된 Biometric 정보는 서버로 다시 전송되며, 서버는 응답으로 클라이언트에게 OK 메시지를 보낸다. OK 메시지를 받은 클라이언트는 자신의 Biometric 정보를 변환함수 f 값을 이용하여 역변환 불가 형태로 바이오메트릭 정보 및 해쉬 값을 생성하여 최종적으로 B-OTP 값을 생성하게 된다. 생성된 B-OTP 값은 서버로 전송되며, 서버도 클라이언트와 동일한 과정으로 B-OTP를 생성할 수 있다. 따라서 클라이언트에서 생성한 B-OTP 값과 서버에서 생성한 B-OTP 값을 비교함으로써 Biometric OTP 로그인 성공/실패를 확인할 수 있다.
100: 사용자단말
200: 서버

Claims (8)

  1. 삭제
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 바이오메트릭 정보를 생성하는 바이오메트릭 정보생성부와;
    시간정보를 생성하는 시간정보 생성부;
    바이오메트릭 아이디정보를 확인하는 아이디확인부;
    해쉬함수를 생성하는 해쉬함수생성기;
    바이오메트릭 일회용 패스워드를 생성하여 전송하는 바이오메트릭 일회용 패스워드 생성부;를 포함하는 사용자 단말과;
    상기 사용자 단말로부터 전송된 바이오메트릭 아이디를 체크하는 아이디체크부;
    상기 사용자 단말로부터 전송된 바이오메트릭 아이디정보를 통해 도전값을 생성하는 도전값 생성부;
    상기 도전값 생성부에서 생성된 도전값을 사용자단말로 전송하는 도전값 전송부;
    해쉬함수를 생성하는 해쉬함수생성기;
    바이오메트릭 일회용 패스워드를 생성하는 바이오메트릭 일회용 패스워드 생성부;
    상기 사용자단말로부터 전송된 바이오메트릭 일회용 패스워드값을 비교하는 바이오메트릭 일회용 패스워드값 비교부; 및
    상기 사용자 단말의 바이오메트릭 아이디정보를 검증하기 위한 정보를 저장관리하는 프라이버시 데이터베이스;를 포함하는 서버;를 포함하는 것을 특징으로 하는 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템.
  8. 사용자의 개인 정보 및 시간정보를 전송하고, 서버로부터 전송된 도전값에 의해 사용자의 의사 바이오메트릭정보를 생성하여 서버로 전송하며, 서버로부터의 승인메시지를 근거로 사용자의 바이오메트릭(Biometric) 정보를 변환함수 f 값을 이용하여 역변환 불가 형태로 바이오메트릭 정보 및 해쉬 값을 생성하여 최종적으로 바이오메트릭 일회용 패스워드(B-OTP) 값을 생성하고, 생성된 바이오메트릭 일회용 패스워드(B-OTP) 값을 서버로 전송하는 사용자 단말과;
    상기 사용자 단말로부터 전송된 정보를 데이터베이스를 사용하여 사용자 인증을 수행하며, 랜덤한 도전값을 전송하며, 사용자단말로 부터의 바이오메트릭정보에 대한 승인메시지를 생성하여 전송하며, 사용자 단말로부터 전송된 바이오메트릭 일회용 패스워드(B-OTP)값을 서버에서 생성한 바이오메트릭 일회용 패스워드(B-OTP)값과 비교하여 바이오메트릭 일회용 패스워드(B-OTP) 로그인 성공/실패를 확인하는 서버;를 포함하는 것을 특징으로 하는 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템.
KR1020110040201A 2011-04-28 2011-04-28 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템 KR101238687B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110040201A KR101238687B1 (ko) 2011-04-28 2011-04-28 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110040201A KR101238687B1 (ko) 2011-04-28 2011-04-28 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020120147044A Division KR101297118B1 (ko) 2012-12-17 2012-12-17 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법

Publications (2)

Publication Number Publication Date
KR20120122181A KR20120122181A (ko) 2012-11-07
KR101238687B1 true KR101238687B1 (ko) 2013-03-04

Family

ID=47508477

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110040201A KR101238687B1 (ko) 2011-04-28 2011-04-28 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템

Country Status (1)

Country Link
KR (1) KR101238687B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9749317B2 (en) 2015-08-28 2017-08-29 At&T Intellectual Property I, L.P. Nullifying biometrics

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9819676B2 (en) 2012-06-29 2017-11-14 Apple Inc. Biometric capture for unauthorized user identification
US9959539B2 (en) 2012-06-29 2018-05-01 Apple Inc. Continual authorization for secured functions
US9832189B2 (en) 2012-06-29 2017-11-28 Apple Inc. Automatic association of authentication credentials with biometrics
US10212158B2 (en) 2012-06-29 2019-02-19 Apple Inc. Automatic association of authentication credentials with biometrics
US10331866B2 (en) 2013-09-06 2019-06-25 Apple Inc. User verification for changing a setting of an electronic device
US20150073998A1 (en) 2013-09-09 2015-03-12 Apple Inc. Use of a Biometric Image in Online Commerce
US20150220931A1 (en) 2014-01-31 2015-08-06 Apple Inc. Use of a Biometric Image for Authorization
KR101714742B1 (ko) * 2015-10-22 2017-03-10 고려대학교 산학협력단 원격제어를 위한 인증 방법 및 서버
CN107623667B (zh) * 2016-07-15 2020-05-22 腾讯科技(深圳)有限公司 数据重放判断方法和装置
KR102052483B1 (ko) * 2017-11-14 2020-01-08 박영경 셀룰러 IoT 네트워크에서 멀티미디어 방송 다중 송출 서비스 시스템을 이용한 위치 기반 암호 생성용 시드코드 전송방법 및 시스템

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080075956A (ko) * 2007-02-14 2008-08-20 에스케이씨앤씨 주식회사 생체정보를 이용하는 사용자 인증방법
US7685629B1 (en) 2009-08-05 2010-03-23 Daon Holdings Limited Methods and systems for authenticating users
US7865937B1 (en) 2009-08-05 2011-01-04 Daon Holdings Limited Methods and systems for authenticating users

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080075956A (ko) * 2007-02-14 2008-08-20 에스케이씨앤씨 주식회사 생체정보를 이용하는 사용자 인증방법
US7685629B1 (en) 2009-08-05 2010-03-23 Daon Holdings Limited Methods and systems for authenticating users
US7865937B1 (en) 2009-08-05 2011-01-04 Daon Holdings Limited Methods and systems for authenticating users

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
장원준 외 1명, 바이오메트릭 정보를 이용한 일회용 패스워드( B-OTP) 생성 기법 개발 및 응용, 한국융합학회논문지 제1권 제1호, pp.93-100 (2010) *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9749317B2 (en) 2015-08-28 2017-08-29 At&T Intellectual Property I, L.P. Nullifying biometrics
US10097545B2 (en) 2015-08-28 2018-10-09 At&T Intellectual Property I, L.P. Nullifying biometrics
US11050744B2 (en) 2015-08-28 2021-06-29 At&T Intellectual Property I, L.P. Nullifying biometrics
US11658967B2 (en) 2015-08-28 2023-05-23 At&T Intellectual Property I, L.P. Nullifying biometrics

Also Published As

Publication number Publication date
KR20120122181A (ko) 2012-11-07

Similar Documents

Publication Publication Date Title
KR101238687B1 (ko) 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템
US10491587B2 (en) Method and device for information system access authentication
Jiang et al. Improvement of robust smart‐card‐based password authentication scheme
US10530582B2 (en) Method and device for information system access authentication
US20200358614A1 (en) Securing Transactions with a Blockchain Network
Kim et al. A design of user authentication system using QR code identifying method
Li et al. Applying biometrics to design three‐factor remote user authentication scheme with key agreement
CN105024819B (zh) 一种基于移动终端的多因子认证方法及系统
Jangirala et al. A multi-server environment with secure and efficient remote user authentication scheme based on dynamic ID using smart cards
EP3014836B1 (en) Method, communication system and computer program product for biometric authentication and authorization
KR101297118B1 (ko) 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법
Reddy et al. A privacy preserving three-factor authenticated key agreement protocol for client–server environment
Sureshkumar et al. A robust mutual authentication scheme for session initiation protocol with key establishment
Khan et al. Offline OTP based solution for secure internet banking access
KR101243101B1 (ko) 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템
Gowthami et al. Secure three-factor remote user authentication for E-Governance of smart cities
Hussain et al. Secure annihilation of out-of-band authorization for online transactions
Pampori et al. Securely eradicating cellular dependency for e-banking applications
Han et al. A novel multifactor two-server authentication scheme under the mobile cloud computing
Wu et al. A secure strong-password authentication protocol
KR101310043B1 (ko) 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 방법
Kaur et al. A comparative analysis of various multistep login authentication mechanisms
Quan et al. Cryptanalysis and improvement of a biometric and smart card based remote user authentication scheme
Lee et al. Design of a simple user authentication scheme using QR-code for mobile device
Jang et al. User-Oriented Pseudo Biometric Image Based One-Time Password Mechanism on Smart Phone

Legal Events

Date Code Title Description
A201 Request for examination
A107 Divisional application of patent
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160219

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180221

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190311

Year of fee payment: 7