KR101298216B1 - 복수 카테고리 인증 시스템 및 방법 - Google Patents

복수 카테고리 인증 시스템 및 방법 Download PDF

Info

Publication number
KR101298216B1
KR101298216B1 KR1020110090937A KR20110090937A KR101298216B1 KR 101298216 B1 KR101298216 B1 KR 101298216B1 KR 1020110090937 A KR1020110090937 A KR 1020110090937A KR 20110090937 A KR20110090937 A KR 20110090937A KR 101298216 B1 KR101298216 B1 KR 101298216B1
Authority
KR
South Korea
Prior art keywords
information
authentication
security module
otp
user
Prior art date
Application number
KR1020110090937A
Other languages
English (en)
Other versions
KR20130027387A (ko
Inventor
이윤승
Original Assignee
주식회사 엔에스에이치씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엔에스에이치씨 filed Critical 주식회사 엔에스에이치씨
Priority to KR1020110090937A priority Critical patent/KR101298216B1/ko
Publication of KR20130027387A publication Critical patent/KR20130027387A/ko
Application granted granted Critical
Publication of KR101298216B1 publication Critical patent/KR101298216B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 복수 카테고리 인증 시스템 및 방법에 대한 것으로서, 더욱 상세히는 기존 디지털 암호화 기술을 이용한 사용자 인증의 취약점을 보완하기 위하여 기기 인증을 추가함으로써 보안성을 높일 수 있는 복수 카테고리 인증 시스템 및 방법에 대한 것이다. 본 발명에 따르면, 기존 OTP 단말기의 분실이나 개인정보의 탈취에 의한 사용자 인증의 취약점을 개선하여 하드웨어 고유정보를 이용한 기기인증을 추가하고 사용자 인증과 기기인증이 동일 사용자 단말기 내에서 구현되도록 구성하여, 권한이 없는 사용자의 접근을 원천적으로 차단할 수 있으며 정당 권리자의 기기가 탈취되더라도 해당 하드웨어 고유정보를 이용하여 해당 기기를 차단하도록 인증서버에 요청하여 용이하게 부정사용을 방지하는 효과가 있다.

Description

복수 카테고리 인증 시스템 및 방법{AUTHENTICATION SYSTEM AND METHOD USING MULTIPLE CATEGORY}
본 발명은 복수 카테고리 인증 시스템 및 방법에 대한 것으로서, 더욱 상세히는 기존 디지털 암호화 기술을 이용한 사용자 인증의 취약점을 보완하기 위하여 기기 인증을 추가함으로써 보안성을 높일 수 있는 복수 카테고리 인증 시스템 및 방법에 대한 것이다.
전자인증(電子認證)은 정보 시스템으로 전기적으로 제공되는 사용자의 신원을 확인하는 과정이다. 전자 인증은 이러한 과정이 네트워크 상의 개인에 대한 원격 인증을 제공할 때 전자 정부와 상업 단체의 목적을 위한 기술적 과제를 제시한다.
이렇듯 전자인증의 핵심은 사용자의 신원을 인증하는 절차이다.
이제껏 전자 통신기기의 활용에 있어 보안성이라 함은 부정 사용자의 도용방지에 초점이 맞추어져 있는 것이 사실이다. 전자기기가 스스로 지능적인 부정한 활동을 하지 못할 것이라는 판단에 모든 부정 사용은 잘못된 사용자의 접근을 막는 쪽으로 보안 대책이 마련되고 실행 되어 왔다.
그러한 전통적인 대응책 중 하나로 사용자 인증(Authentication)이 있다. 이는 사용자 ID와 패스워드(Password)로 대표되는 사용자 인지 상태의 고유정보를 기반으로 올바른 사용자를 구별하는 기술이다.
하지만 이러한 인간의 기억력을 근간으로 한 단순한 인증정보(ID/Password)는 부주의로 쉽게 유출될 수 있고, 유출된 이후 유출여부를 쉽게 확인할 방법이 없어 지금은 그리 믿을만한 인증수단으로서 평가 받지 못하는 것이 사실이다.
이러한 단순 개인 인증정보의 약점을 보완하고자 만들어진 것이 전자(디지털)인증서이다.
디지털 암호화 기술을 이용해 해당 사용자의 고유 전자정보를 생성하고 그것을 저장 매체에 담아 개인의 인증수단으로 사용하는 것이다. 이는 USB 메모리등을 저장매체로 사용해 평상시 저장매체로의 접근을 차단하면 유출의 가능성을 줄일 수 있고 상대적으로 안전한 인증수단으로 평가되어 왔다.
하지만 이 역시 인증서의 복제나 유출이 기술적으로 가능하고 만일 유출이 된다면 그 유출 여부를 확인이 어렵고, 부정 사용시 이를 막을 방법이 없어 결국은 많은 부분 사용자의 주의에 의존하는 것이 사실이다.
최근 이를 보완하기 위하여 이중채널(Two channel) 인증을 도입하고 있다. 이중채널 인증이란 사용중인 단말 이외에 한가지 더 다른 채널을 사용하는 단말(Device)을 통한 인증을 동시에 수행함으로서 업그레이드 된 보안성을 보장하는 방법으로 현재 공식적으로 가장 많이 사용하고 있는 방식이다.
상술한 바와 같은 이중채널 인증의 일례로 도 1에 도시된 바와 같이 사용자의 PC(10)를 이용하여 개인정보와 OTP 요청정보를 인증서버(20)에 전송하면, 인증서버(20)는 상기 개인정보를 인증한 후 해당 시간에 매칭되는 OTP 숫자를 SMS 형태로 OTP 단말(30)로 전송할 수 있으며, 사용자는 상기 OTP 단말(30)로 전송된 OTP 정보를 확인한 후 상기 PC(10)에 수동으로 해당 OTP 정보에 대응하는 입력을 수행하면, OTP정보에 대한 사용자 입력을 수신한 PC(10)는 통신망을 통해 입력된 OTP 정보를 인증서버(20)에 전송한다.
이후, 인증서버(20)는 수신된 OTP 정보를 근거로 사용자 인증을 최종 수행하여 인증결과를 PC(10)에 전송한다.
이때, 상기 OTP(One Time Password) 정보는 로그인할 때마다 그 세션에서만 사용할 수 있는 1회성 패스워드로서, 동일한 패스워드가 반복해서 사용됨으로써 발생할 수 있는 패스워드 도난 문제를 예방할 수 있다.
그러나, 이와 같은 이중채널 인증은 주채널의 인증을 위해 부채널에서 제공되는 암호를 별도의 단말기에서 확인한 후 주채널에서 인증과정을 거치거나, 주 채널의 인증과정을 거친 후 별도의 단말기에서 부채널의 인증과정을 거치는 등의 서로 다른 단말기에서 복수의 인증과정을 거쳐야 하므로, 상기 OTP용 단말기를 분실하는 경우 정당한 권리를 가진 사용자가 인증 자체를 수행할 수 없게 되므로 상당한 번거로움이 따르는 문제점이 있다.
결론적으로, 이러한 소프트웨어적인 사용자 인증만으로 완벽한 인증시스템을 이루기 어려운 것이 현실이다. 따라서, 이러한 사용자의 부주의로 생길 수 있는 보안의 공백을 보완할 수 있는 새로운 인증 시스템의 도입이 요구되고 있다.
더불어, 현재 인터넷 환경을 지원하는 스마트폰이나 태블릿 PC와 같은 사용자 단말기의 활발한 보급과 더불어, 사용자 인증을 요구하는 사이트에서 사용자 단말기 자체에서 OTP 인증이 이루어지도록 하여 편의성과 보안성을 높이고자 하는 시도가 증가하고 있어, 이를 만족시킬만한 시스템 개발이 요구되고 있다.
한국등록특허 제1028882호
본 발명은 현재 활발히 보급되고 있는 스마트폰과 같은 사용자 단말기에서 용이하게 적용가능하며, 기존 사용자 인증에 기기 인증을 추가하여 기존 복수 채널을 이용한 인증과정의 번거로움과 ID와 패스워드를 이용한 인증정보의 유출을 보완하여 보안성을 높일 수 있는 복수 카테고리 인증 시스템을 제공하는데 그 목적이 있다.
또한, 본 발명은 인증시 단말기 사이의 세션 형성을 위하여 난수 발생에 따라 제공되는 OTP 암호를 이용하는 형태의 단방향 인증방식과 달리, OTP 모듈로 추가적인 암호화 알고리즘을 도입하여 양방향 통신을 통한 인증을 수행하도록 함으로써 기존 OTP의 보안성을 더욱 높일 수 있는 시스템을 제공하는데 그 목적이 있다.
더하여, 본 발명은 OTP를 이용한 암호 입력 과정에서 보안 키패드를 이용하여 해킹에 의한 암호 유출 가능성을 최소화할 수 있는 시스템을 제공하는데 그 목적이 있다.
상기한 목적을 달성하기 위한 본 발명에 따른 사용자 단말기에 설치된 보안모듈을 이용하여 인증서버와 사용자 및 기기인증을 수행하는 복수 카테고리 인증 시스템은, 응용 프로그램의 로드시 연동하여 로드되어 기설정된 암호화 알고리즘에 따라 개인키 및 공개키를 생성하여 상기 인증서버와 상기 공개키를 상호 교환하고, 상기 인증서버의 공개키와 자신의 개인키를 조합하여 생성한 세션키로 상기 인증서버와의 통신세션을 통해 송수신되는 모든 정보를 암호화 또는 복호화하며, 사용자 입력을 근거로 수신된 개인정보를 상기 인증서버에 전송하여 사용자인증 결과에 따라 상기 세션키를 근거로 OTP 정보를 생성하고, 사용자 입력을 통해 수신한 상기 OTP 정보에 대응되는 OTP 입력정보와 상기 사용자 단말기의 적어도 하나 이상의 하드웨어 고유정보로부터 얻어진 식별정보를 소정의 일방향 변환 알고리즘에 적용하여 생성한 기기인증정보를 상기 인증서버에 전송하는 보안모듈과, 상기 보안모듈의 개인키 및 공개키 생성에 따라 상기 기설정된 암호화 알고리즘에 따라 개인키 및 공개키를 생성하고 자신의 개인키와 상기 보안모듈의 공개키의 조합으로 생성한 상기 세션키로 상기 보안모듈과의 통신세션을 통해 송수신되는 모든 정보를 암호화 또는 복호화하며, 상기 보안모듈로부터 수신한 개인정보와 DB에 기저장된 개인정보의 비교를 통해 사용자인증 결과정보를 상기 보안모듈로 전송하고, 상기 OTP 정보와 DB에 기저장된 상기 적어도 하나 이상의 하드웨어 고유정보를 근거로 생성한 상기 식별정보를 상기 일방향 변환 알고리즘에 적용하여 생성한 정보와 상기 기기인증정보를 비교하여 기기인증 결과정보를 상기 보안모듈에 전송하는 인증서버를 포함한다.
이때, 상기 하드웨어 고유정보는 MAC 주소, ESN, IEME, ICCID, 단말기 고유 전화번호 중 어느 하나를 포함할 수 있다.
또한, 상기 보안모듈은 서로 다른 복수의 하드웨어 고유정보를 소정의 알고리즘에 적용하여 상기 식별정보를 생성할 수 있다.
더하여, 상기 보안 모듈은 수신된 OTP 정보에 대응하여 분산 키패드 방식으로 키패드를 생성하며, 사용자 입력에 따른 키패드의 위치정보를 대응되는 코드로 변환하여, 이를 상기 OTP 입력정보로 생성할 수 있다.
한편, 상기 보안 모듈은 사용자 입력을 통해 개인정보를 생성하는 개인 인증부와, 상기 사용자 단말기로부터 적어도 하나 이상의 하드웨어 고유정보를 추출하는 단말 인증부와, 분산 키패드 입력 방식으로 키패드를 생성하고, 사용자 입력에 따른 키패드의 위치정보를 대응되는 코드로 변환하여 이를 상기 OTP 입력정보로 생성하는 입력보안부와, 상기 인증서버와 연결될때마다 개인키와 공개키의 생성을 통해 상기 세션키를 생성하여 상기 세션키로 상기 인증서버와 연결된 통신세션을 통해 송수신하는 모든 정보를 암호화 또는 복호화하며, 상기 개인인증부로부터 수신한 개인정보를 상기 인증서버에 전송하고, 상기 사용자인증 결과정보에 따른 사용자 인증 결과에 따라 상기 세션키를 근거로 OTP 정보를 생성하며, 상기 입력보안부의 상기 OTP 정보에 대응되는 OTP 입력정보와 상기 단말인증부의 적어도 하나 이상의 하드웨어 고유정보를 근거로 생성한 상기 식별정보를 상기 일방향 변환 알고리즘에 적용하여 생성한 기기인증정보를 상기 인증서버에 전송하는 OTP 처리부를 포함할 수 있다.
이때, 상기 단말인증부는 적어도 하나 이상의 하드웨어 고유정보를 소정의 알고리즘에 적용하여 상기 식별정보를 생성할 수 있다.
또한, 상기 인증서버는 DB에 기저장된 상기 적어도 하나 이상의 하드웨어 고유정보를 소정의 알고리즘에 적용하여 상기 식별정보를 생성하는 단말 인증부와, 상기 개인정보와 상기 적어도 하나 이상의 하드웨어 고유정보를 상호 매칭하여 상기 DB에 등록하는 서비스 등록부와, 상기 보안모듈과 세션 연결에 따라 개인키 및 공개키를 생성하여 상기 보안모듈과 공개키를 교환하며, 보안모듈의 공개키와 자신의 개인키로 상기 세션키를 생성하여 상기 보안모듈과 연결된 통신세션을 통해 송수신되는 모든 정보를 암호화 또는 복호화하며, 상기 보안모듈로부터 수신된 개인정보와 DB에 기저장된 개인정보의 비교를 통한 사용자인증 결과정보를 상기 보안모듈로 전송하고, 상기 세션키를 근거로 생성한 OTP 정보와 상기 DB에 기저장된 상기 적어도 하나 이상의 하드웨어 고유 식별정보를 상기 일방향 변환 알고리즘에 적용하여 생성한 정보를 상기 기기인증정보와 비교하여 상기 기기인증 결과정보를 생성하는 OTP 인증부를 포함할 수 있다.
이때, 상기 보안모듈 및 인증서버는 상기 개인키 및 공개키를 RSA, ECC 중 어느 하나를 이용하여 생성할 수 있다.
상기한 목적을 달성하기 위한 본 발명에 따른 사용자 단말기에 설치된 보안모듈과 인증서버 사이에 사용자 및 기기인증을 수행하는 복수 카테고리 인증 방법은, 상기 보안모듈이 응용프로그램의 로드에 따라 자동 로드되는 제 1 단계와, 상기 보안모듈과 인증서버가 개인키 및 공개키를 생성하고, 공개키를 상호 교환하여 세션키를 생성하는 제 2단계와, 보안모듈이 상기 사용자 단말기로부터 사용자 입력을 근거로 수신한 개인정보를 상기 세션키로 암호화하여 상기 인증서버로 전송하는 제 3단계와, 상기 인증서버가 상기 세션키로 상기 개인정보를 복호화한 후 DB에 기저장된 개인정보와 비교하여 생성한 사용자인증 결과정보를 상기 세션키로 암호화하여 상기 보안모듈로 전송하는 제 4단계와, 상기 보안모듈이 상기 세션키로 복호화된 상기 사용자인증 결과정보에 따라 상기 세션키를 근거로 OTP 정보를 생성하고, 사용자 입력을 근거로 상기 OTP 정보에 대응되는 OTP 입력정보를 생성하며, 상기 사용자 단말기에 대응되는 적어도 하나 이상의 하드웨어 고유정보를 추출하여 상기 OTP 입력정보와 함께 소정의 일방향 변환 알고리즘에 적용하여 생성한 기기인증정보를 상기 세션키로 암호화하여 상기 인증서버로 전송하는 제 5단계와, 상기 인증서버가 암호화된 상기 기기인증정보를 세션키로 복호화한 후 상기 세션키를 근거로 생성한 OTP 정보와 DB에 기저장된 상기 적어도 하나 이상의 상기 하드웨어 고유정보를 상기 일방향 변환 알고리즘에 적용하여 생성한 정보와 비교하여 생성한 기기인증 결과정보를 상기 세션키로 암호화하여 상기 보안모듈에 전송하는 제 6단계를 포함할 수 있다.
이때, 상기 제 5단계는 상기 보안 모듈이 수신된 OTP 정보에 대응하여 분산 키패드 방식으로 키패드를 생성하며, 사용자 입력에 따른 키패드의 위치정보를 대응되는 코드로 변환하여 이를 상기 OTP 입력정보로 생성하는 것을 특징으로 할 수 있다.
또한, 상기 하드웨어 고유정보는 MAC 주소, ESN, IEME, ICCID, 단말기 고유 전화번호 중 어느 하나인 것을 특징으로 할 수 있다.
더하여, 상기 보안모듈의 상기 기기인증 결과정보 수신에 따라, 상기 보안모듈 및 인증서버는 개인키 및 공개키를 삭제하는 제 7단계를 더 포함할 수 있다.
본 발명에 따르면, 기존 OTP 단말기의 분실이나 개인정보의 탈취에 의한 사용자 인증의 취약점을 개선하여 하드웨어 고유정보를 이용한 기기인증을 추가하고 사용자 인증과 기기인증이 동일 사용자 단말기 내에서 구현되도록 구성하여, 권한이 없는 사용자의 접근을 원천적으로 차단할 수 있으며 정당 권리자의 기기가 탈취되더라도 해당 하드웨어 고유정보를 이용하여 해당 기기를 차단하도록 인증서버에 요청하여 용이하게 부정사용을 방지하는 효과가 있다.
또한, 본 발명에 따르면 동일 사용자 단말기 내에서 어플리케이션 형태로 설치가 가능한 형태로 적용이 가능하여 기존 시스템과 같이 별도의 하드웨어 기기가 요구되지 않으며, OTP 입력을 위한 키패드 인터페이스와 OTP 정보가 동일 사용자 단말기에서 동시 출력되어 별도의 기기에서 OTP를 암기할 필요가 없이 OTP 정보를 확인하면서 상기 키패드 인터페이스 상에서 입력을 수행할 수 있으므로, 기존 시스템과 달리 OTP 정보를 암기할 필요가 없는 편의성을 제공하는 효과가 있다.
또한, 본 발명은 하드웨어적인 인증시 단말기 사이의 세션 형성을 위하여 OTP를 이용한 난수 발생에 따라 제공되는 암호를 이용하는 단방향의 인증을 제공하는 것과 달리, 개인키와 공개키를 이용한 양방향의 인증을 수행하도록 함으로써 기존 OTP의 보안성을 더욱 높일 수 있으며 OTP를 이용한 암호 입력 과정에서 보안 키패드를 이용하여 해킹에 의한 암호 유출 가능성을 최소화할 뿐 아니라 기기인증을 위한 하드웨어 고유정보를 보안모듈에 기설정된 소정의 알고리즘에 적용하여 새로운 식별정보를 생성하여 이를 기기인증에 이용함으로써, 하드웨어 고유정보의 유출에 대비하여 보안성을 더욱 향상시키는 효과가 있다.
도 1은 종래 기술에 따른 OTP를 이용한 사용자 인증 시스템의 구성을 도시한 도면.
도 2는 본 발명에 따른 복수 카테고리 인증 시스템의 구성도.
도 3은 본 발명에 따른 복수 카테고리 인증 시스템의 보안 입력에 대한 실시예를 도시한 도면.
도 4는 본 발명에 따른 복수 카테고리 인증 방법의 순서도.
본 발명은 최근 스마트폰이나 태블릿 PC(아이패드, 갤럭시탭 등)과 같은 인터넷 환경을 지원하는 휴대용 사용자 단말기에서도 용이하게 OTP 방식을 이용한 사용자 인증을 기본으로 추가적인 인증을 수행하도록 한 것이다. 기존 사용자 인증만을 지원하는 방식에서 발생하는 개인정보의 유출이나 복제에 의한 보안성의 한계를 해결하기 위하여 OTP를 이용한 사용자 인증에 기기인증을 추가 적용하여 복수 카테고리 인증을 수행함으로써 보안성을 높일 수 있도록 한다.
상술한 바에 따른 본 발명의 실시예를 도면을 참고로 상세히 설명하기로 한다.
우선, 도 2를 참고하여 본 발명의 실시예에 따른 복수 카테고리 인증 시스템의 상세 구성을 살펴보면, 사용자 단말기(100)에 설치되어 사용자 인증과 기기인증에 필요한 정보를 통신망을 통해 제공하는 보안모듈(110)과, 상기 보안모듈(110)로부터 통신망을 통해 수신한 정보를 근거로 사용자 인증과 기기 인증을 수행하여 인증결과를 상기 보안모듈(110)에 제공하는 인증서버(200)를 포함할 수 있다.
상기 보안모듈(110)은 도시된 바와 같이 응용프로그램(120)과 연동하여 동작하며, 응용프로그램(120)의 로드시 자동 호출되어 해당 응용프로그램(120)에 대한 액세스를 사용자 인증 및 기기 인증이 완료된 사용자에 대해서만 허용하도록 구성될 수 있다.
또한, 도시된 바와 같이 상기 보안모듈(110)은 OTP 처리부(111), 개인 인증부(112), 단말 인증부(113), 입력 보안부(114)를 포함할 수 있다.
우선, 상기 OTP 처리부(111)는 상기 응용프로그램의 호출에 따라 로드되어 기설정된 암호화 알고리즘을 통해 공개키와 개인키를 생성하며, 상기 인증서버(200) 역시 상기 OTP 처리부(111)와 동일한 암호화 알고리즘을 통해 공개키와 개인키를 생성한다. 이때, 보안모듈(110)과 인증서버(200)가 생성하는 상기 공개키와 개인키는 상기 보안모듈(110)과 인증서버(200)간에 통신세션이 연결될때마다 새로 생성되므로, 상기 세션키 역시 새로 생성되어 기존과 상이한 값을 가진다.
이후, 상기 OTP 처리부(111)는 상기 인증서버(200)와 상기 공개키를 상호 교환하고, 상기 인증서버(200)의 공개키를 자신의 개인키와 조합하여 공통적으로 사용할 세션키(ECC 방식에서는 이를 시큐어키라 하기도 한다)를 생성할 수 있다. 이때, 상기 세션키는 상기 인증서버(200)와 상기 OTP 처리부(111) 사이에서 송수신되는 모든 정보를 암호화 또는 복호화하는데 이용되어 통신 세션의 보안성을 유지할 수 있다.
한편, 상기 개인인증부(112)는 사용자 입력을 통해 개인정보를 생성할 수 있으며, 상기 개인정보는 사용자 ID와 암호(Password)를 포함할 수 있다. 또한, 개인정보 입력시 보안 키패드를 적용하여 개인정보에 대한 보안성을 보장할 수 있다.
또한, 상기 단말 인증부(113)는 사용자 단말기로부터 적어도 하나 이상의 하드웨어 고유정보를 추출한 후 이를 소정의 고유한 알고리즘에 적용하여 식별정보를 생성하며, 상기 식별정보는 기기 인증을 위한 정보로 사용된다. 이때, 상기 하드웨어 고유정보는 MAC 주소, ESN(기기 일련번호), IEME, ICCID, 단말기 고유 전화번호 등을 포함할 수 있다.
인터넷의 확산과 함께 보급되기 시작한 거의 모든 전자통신기기는 하드웨어 고유정보를 가지고 있으며, 상기 하드웨어 고유정보는 통신에 있어 필수적인 정보이므로 중복이 없고 기기별로 구분이 가능하므로 상기 기기인증에 용이하게 이용할 수 있다.
더하여, 상기 단말 인증부(113)는 서로 다른 복수의 하드웨어 고유정보를 조합하여 상기 식별정보로 생성할 수도 있다. 이에 따라, 하드웨어 고유정보가 유출되더라도 보안성을 유지할 수 있어, 보안 신뢰성을 높일 수 있다.
한편, 상기 OTP 처리부(111)는 사용자 인증을 수행하기 위하여 상기 개인 인증부(112)로부터 상기 개인정보를 수신하여 상기 인증서버(200)로 전송하며, 이때 상기 개인정보를 상기 세션키로 암호화하여 전송할 수 있다.
이후, 상기 OTP 처리부(111)는 상기 인증서버(200)로부터 상기 개인정보의 인증 성공여부에 대한 사용자인증 결과정보를 수신하면, 기기인증을 위하여 상기 식별정보와 함께 이용하는 OTP 정보를 상기 세션키를 근거로 생성할 수 있으며, 상기 OTP 정보를 디스플레이 상에 출력할 수 있다.
이때, 상기 세션키가 통신세션이 연결될때마다 기존과 상이한 값을 가지도록 생성되므로 상기 OTP 정보 역시 기존과 상이한 값을 가질 수 있다. 이에 따라, OTP 정보의 보안성을 보장할 수 있다.
다음으로, 상기 OTP 처리부(111)는 사용자 단말기(100)를 통한 사용자 입력을 근거로 상기 OTP 정보에 대응하는 OTP 입력정보를 수신하고, 상기 단말 인증부(113)로부터 수신한 식별정보를 상기 OTP 입력정보와 함께 해쉬 함수와 같은 일방향 변환 알고리즘에 적용하여 기기인증정보를 생성할 수 있으며, 이를 상기 세션키로 암호화하여 전송할 수 있다. 이에 따라, 상기 인증서버(200)는 수신한 상기 기기인증정보를 상기 세션키로 복호화하여 기기인증을 수행할 수 있다.
한편, 상기 OTP 처리부(111)는 상기 OTP 정보 생성과 동시에 상기 입력보안부(114)를 호출할 수 있고, 상기 입력보안부(114)는 상기 OTP 처리부(111)의 호출에 대응하여 도 3에 도시된 바와 같이 키패드의 형태나 배열을 임의적으로 변경하여 분산 키패드 방식의 키패드 인터페이스를 상기 사용자 단말기(100)의 디스플레이를 통해 출력할 수 있으며, 상기 키패드 인터페이스를 통한 상기 사용자 입력을 상기 OTP 처리부(111) 대신에 직접 수신하고 상기 사용자 입력에 따른 키패드의 위치정보를 매칭되는 코드로 변환하여 이를 상기 OTP 입력정보로 생성할 수 있다.
더욱 상세히 설명하면, 도 3(a)에 도시된 바와 같이 상기 OTP 처리부(111)는 현재 통신 세션에 이용할 상기 OTP 정보를 생성하며, 도 3(b)에 도시된 바와 같이 생성한 OTP 정보를 상기 사용자 단말기(100)의 디스플레이 중 일부에 출력하는 동시에 상기 입력보안부(114)를 호출하고, 상기 입력보안부(114)는 분산 키패드 방식의 키패드 인터페이스를 사용자 단말기(100)의 디스플레이 중 나머지 일부에 출력하여, 상기 OTP 정보와 키패드 인터페이스가 동시에 출력될 수 있다. 이후, 사용자는 상기 OTP 정보를 확인하여 상기 키패드 인터페이스를 통해 터치입력 방식으로 코드를 입력할 수 있으며, 상기 OTP 처리부(111)는 상기 입력보안부(114)로부터 상기 터치입력(사용자 입력)에 따라 생성한 상기 OTP 입력정보를 수신할 수 있다.
이와 같이, 상기 보안모듈(110)은 OTP 입력정보 생성과정에서 사용자 입력을 통한 수동입력을 지원하여, 해킹 프로그램에 의한 반복된 자동입력에 의해 생성된 복수의 OTP 입력정보가 인증서버(200)로 전송되어 부정하게 인증되는 것을 방지할 수 있다.
이후, 상기 OTP 처리부(111)는 상기 입력보안부(114)로부터 상기 OTP 입력정보를 수신하여 상기 적어도 하나 이상의 하드웨어 고유정보와 함께 일방향 변환 알고리즘에 적용하여 생성한 기기인증정보를 상기 세션키로 암호화하여 상기 인증서버(200)로 전송할 수 있다.
한편, 상기 인증서버(200)는 상기 보안모듈(100)로부터 전송된 인증 관련 정보를 처리하기 위하여, 도시된 바와 같이 OTP 인증부(210), 단말 인증부(220), 서비스 등록부(230)로 구성될 수 있다.
상기 OTP 인증부(210)는 상기 보안모듈의 OTP 처리부(111)와 공개키 교환에 이용할 공개키와 개인키를 생성하며, 상기 OTP 처리부(111)와 교환한 상기 보안모듈(100)의 공개키와 자신의 개인키의 조합을 통해 상기 OTP 처리부가 생성한 세션키와 동일한 세션키를 생성할 수 있으며, 상기 OTP 인증부(210) 역시 상기 OTP 처리부(111)와 연결된 통신 세션의 보안성을 유지하기 위하여 해당 통신 세션을 통해 송수신되는 모든 정보를 상기세션키로 암호화 또는 복호화 할 수 있다.
한편, 상기 OTP 인증부(210)는 상기 OTP 처리부(110)로부터 상기 세션키로 암호화되어 전송된 개인정보를 상기 세션키로 복호화하여 상기 개인정보를 DB(240)에 기저장된 개인정보와 비교하여 인증을 수행할 수 있다.
이에 따라, 상기 OTP 인증부(210)는 인증 성공 여부에 대한 상기 사용자인증 결과정보를 상기 OTP 처리부(111)로 전송할 수 있다.
이후, 상기 OTP 처리부(111)로부터 상기 세션키로 암호화된 기기인증정보를 수신하는 경우 상기 세션키로 복호화할 수 있다.
또한, 상기 보안모듈이 상기 식별정보의 생성에 이용한 하드웨어 고유정보와 동일한 상기 DB에 기저장된 적어도 하나 이상의 하드웨어 고유정보를 근거로 상기 보안모듈과 동일하게 상기 식별정보를 생성하며, 이를 상기 OTP 처리부의 세션키와 동일한 세션키를 기반으로 생성한 동일 OTP 정보와 함께 상기 일방향 변환 알고리즘에 적용하여 생성한 정보와 상기 기기인증정보를 상호 비교하여 동일여부를 판단함으로써 기기인증을 수행할 수 있다.
즉, 보안모듈과 동일하게 인증서버에서 상기 기기인증정보에 대응되는 정보를 생성하여 상기보안모듈로부터 수신된 기기인증정보와 상호 비교를 통해 기기인증을 수행할 수 있다.
이와 같이, 본 발명은 개인정보를 이용한 사용자 인증과 기기인증정보를 이용한 기기인증을 포함하는 복수 카테고리에 대한 인증을 수행할 수 있다.
기기인증이 완료되는 경우 기기인증 성공여부에 대한 기기인증 결과정보를 상기 세션키로 암호화하여 해당 보안모듈(110)로 전송할 수 있으며, 상기 보안모듈(110)은 상기 기기인증 결과정보를 수신하여 기기인증 성공여부에 따라 연동되는 응용 프로그램(120)에 대한 접속을 허가할 수 있다.
이때, 상기 보안모듈(110)이 상기 기기인증 결과정보를 수신하는 경우 상기 인증서버(200)와 보안모듈(110)은 상기 개인키와 공개키 및 세션키를 삭제할 수 있으며, 응용프로그램(120)의 로드에 따른 상기 보안모듈(110)이 호출될때마다 상기 보안모듈(110)과 인증서버(200)는 기존과 상이한 값을 가지는 공개키와 개인키를 새롭게 생성하여 통신세션의 보안성을 유지할 수 있다.
더하여, 상기 보안모듈(110)과 인증서버(200)는 공개키와 개인키의 생성에 있어서 다양한 암호화 알고리즘을 적용할 수 있으며, 일례로 RSA(Rivest Shamir Adleman), ECC(Elliptic Curve Cryptosystem) 등을 적용할 수 있다.
한편, 상기 인증서버(200)의 DB(240)는 상술한 바와 같이 개인정보가 저장된 개인 DB와, 상기 개인정보와 매칭되는 하드웨어 고유정보가 저장된 단말 DB로 구성되어, 복수 카테고리 인증을 지원할 수 있다.
더하여, 상기 인증서버(200)는 서비스 등록부(230)를 통해 정당 권리자의 개인정보와 하드웨어 고유정보를 상기 DB(240)에 등록하여 복수 카테고리 인증을 위한 서비스를 인증된 사용자에 한하여 제공할 수 있다.
이와 같이, 기존 별도의 단말기에서 OTP 처리가 이루어지는 방식과 달리 본 발명은 동일 사용자 단말기 내에서 개인정보를 이용한 사용자 인증, OTP를 이용한 사용자 인증을 모두 처리할 수 있어 OTP 입력 과정을 더욱 용이하게 진행할 수 있을 뿐 아니라 스마트폰에 최적화된 OTP 인증 시스템을 제공할 수 있다.
더하여, 권한이 없는 사용자가 유출된 개인정보와 어플리케이션의 복제를 통해 사용자 인증을 수행하여 정당 권리자로서 서비스를 이용하는 것을 방지하기 위하여, 본 발명은 기기인증을 추가하여 권한이 없는 사용자의 접근을 원천적으로 차단할 수 있으며 정당 권리자의 기기가 탈취되더라도, 하드웨어 고유정보를 근거로 해당 기기를 차단하도록 인증서버에 요청하여 부정사용을 방지함과 아울러 새로운 기기를 등록하여 안전하면서도 즉각적으로 서비스 재이용이 가능하게 된다.
도 4는 본 발명의 실시예에 따른 복수 카테고리 인증 방법에 대한 순서도로서, 도시된 바와 같이 상기 보안모듈(110)은 응용프로그램(120)의 로드에 따라 자동 호출되어 공개키와 개인키를 생성하며, 상기 공개키를 상기 인증서버(200)에 전송할 수 있다. 또한, 상기 인증서버(200) 역시 상기 보안모듈(110)로부터 공개키가 수신되는 경우 공개키와 개인키를 생성하여 상기 보안모듈(110)과 공개키를 상호 교환할 수 있다.
이후, 상기 보안모듈과 인증서버는 각각 교환된 공개키와, 자신의 개인키를 암호화 알고리즘에 적용하여 세션키를 생성한다.
다음으로, 상기 보안모듈(110)이 상기 사용자 단말기(100)로부터 사용자 입력을 근거로 수신한 개인정보를 상기 세션키로 암호화하여 상기 인증서버(200)로 전송하며, 상기 인증서버(200)는 상기 세션키로 암호화된 상기 개인정보를 복호화한 후 복호화된 상기 개인정보와 DB에 기저장된 개인정보의 비교를 통해 인증을 수행하여, 상기 개인정보의 인증결과에 대한 사용자인증 결과정보를 상기 세션키로 암호화하여 상기 보안모듈(110)로 전송할 수 있다.
상기 사용자인증 결과정보를 수신하여 복호화한 보안모듈은 인증결과에 따라 상기 세션키를 기반으로 현재 연결된 통신 세션에서 사용할 OTP 정보를 생성한 후 사용자 입력을 통해 상기 OTP 정보에 대응되는 OTP 입력정보를 수신하고, 하드웨어 고유정보를 추출한 후 이를 소정의 알고리즘에 적용하여 생성한 식별정보를 상기 OTP 입력정보와 함께 일방향 변환 알고리즘에 적용하여 기기인증정보를 생성할 수 있다.
이후, 상기 보안모듈은 상기 기기인증정보를 상기 세션키로 암호화하여 상기 인증서버에 전송할 수 있다.
다음으로, 상기 인증서버(200)는 상기 암호화된 기기인증정보를 복호화한 후, DB에 기저장된 상기 적어도 하나 이상의 하드웨어 고유정보를 소정의 알고리즘에 적용하여 생성한 상기 식별정보를 상기 보안모듈과 동일한 세션키를 기반으로 생성한 상기 OTP 정보와 함께 상기 일방향 변환 알고리즘에 적용하여 생성한 정보를 상기 기기인증정보와 상호 비교하여 상기 사용자 단말기에 대한 기기인증을 수행할 수 있다.
이후, 상기 인증서버(200)는 기기인증 결과에 대한 기기인증 결과정보를 상기 세션키로 암호화하여 상기 보안모듈(110)에 전송하며, 상기 보안모듈(110)은 암호화된 기기인증 결과정보를 상기 세션키로 복호화하여 기기인증 결과에 따라 상기 응응프로그램(120)에 대한 액세스를 허가할 수 있다.
이때, 상기 보안모듈(110)이 상기 기기인증 결과정보를 수신하는 경우 상기 인증서버(200)와 보안모듈(110)은 상기 개인키와 공개키 및 세션키를 삭제할 수도 있으며, 응용프로그램(200)의 로드에 따른 상기 보안모듈(110)이 호출될때마다 상기 보안모듈(110)과 인증서버(200)는 기존과 상이한 값을 가지는 공개키와 개인키를 새롭게 생성하여 통신세션의 보안성을 유지할 수도 있다.
이와 같이, 본 발명의 실시예에 따른 상기 보안모듈은 동일 사용자 단말기 내에서 어플리케이션 형태로 설치가 가능하여 기존 시스템과 같이 별도의 하드웨어 기기가 요구되지 않는다.
또한, 상기 보안모듈은 OTP 입력을 위한 키패드 인터페이스와 OTP 정보가 동일 사용자 단말기에서 동시 출력되어, 별도의 기기에서 OTP를 암기할 필요가 없이 OTP 정보를 확인하면서 상기 키패드 인터페이스 상에서 입력을 수행할 수 있어 기존 시스템과 같이 OTP 정보를 암기할 필요가 없는 편의성을 제공한다.
이외에도, 상기 인증서버는 만일 개인 정보가 누출된다 하더라도 서비스의 도용을 원천적으로 차단할 수 있다. 일례로, 만일 사용자 단말기를 분실하였을 경우에 상기 인증서버의 서비스 등록부는 분실된 사용자 단말기의 하드웨어 고유정보를 블랙리스트로 등록하여 추후 해당 사용자 단말기를 이용한 서비스 접속을 수신하는 경우 상술한 기기인증을 통해 분실된 사용자 단말기를 이용한 권한 없는 사용자의 서비스 접근을 차단할 수 있다.
예를들어, 휴대 단말을 통해 OTP 정보를 SMS로 수신하여 다른 단말에 입력하는 이중 채널 방식의 경우 해당 휴대 단말기를 분실 했을 때, 단말기를 찾기 위해서 주로 발신만을 차단하기 때문에 대단히 용이하게 SMS 방식의 OTP는 무력화될 수 있으나, 본 발명의 경우 단말의 고유정보를 기준으로 인증 차단이 가능하면서도 단말기의 기존 통화를 유지할 수 있어 단말 분실시에도 단말의 수신 기능을 유지시킨 상태로 두어도 보안 문제가 발생하지 않을 수 있다.
100: 사용자 단말기 110: 보안모듈
111: OTP 처리부 112: 개인 인증부
113: 단말 인증부 114: 입력 보안부
120: 응용 프로그램 200: 인증서버
210: OTP 인증부 220: 단말 인증부
230: 서비스 등록부 240: DB

Claims (12)

  1. 사용자 단말기에 설치된 보안모듈을 이용하여 인증서버와 사용자 및 기기인증을 수행하는 복수 카테고리 인증 시스템에 있어서,
    응용 프로그램의 로드시 연동하여 로드되어 기설정된 암호화 알고리즘에 따라 개인키 및 공개키를 생성하여 상기 인증서버와 상기 공개키를 상호 교환하고, 상기 인증서버의 공개키와 자신의 개인키를 조합하여 생성한 세션키로 상기 인증서버와의 통신세션을 통해 송수신되는 모든 정보를 암호화 또는 복호화하며, 사용자 입력을 근거로 수신된 개인정보를 상기 인증서버에 전송하여 사용자인증 결과에 따라 상기 세션키를 근거로 OTP 정보를 생성하고, 사용자 입력을 통해 수신한 상기 OTP 정보에 대응되는 OTP 입력정보와 상기 사용자 단말기의 적어도 하나 이상의 하드웨어 고유정보로부터 얻어진 식별정보를 소정의 일방향 변환 알고리즘에 적용하여 생성한 기기인증정보를 상기 인증서버에 전송하는 보안모듈; 및
    상기 보안모듈의 개인키 및 공개키 생성에 따라 상기 기설정된 암호화 알고리즘에 따라 개인키 및 공개키를 생성하고 자신의 개인키와 상기 보안모듈의 공개키의 조합으로 생성한 상기 세션키로 상기 보안모듈과의 통신세션을 통해 송수신되는 모든 정보를 암호화 또는 복호화하며, 상기 보안모듈로부터 수신한 개인정보와 DB에 기저장된 개인정보의 비교를 통해 사용자인증 결과정보를 상기 보안모듈로 전송하고, 상기 OTP 정보와 DB에 기저장된 상기 적어도 하나 이상의 하드웨어 고유정보를 근거로 생성한 상기 식별정보를 상기 일방향 변환 알고리즘에 적용하여 생성한 정보와 상기 기기인증정보를 비교하여 기기인증 결과정보를 상기 보안모듈에 전송하는 인증서버
    를 포함하는 복수 카테고리 인증 시스템.
  2. 청구항 1에 있어서,
    상기 하드웨어 고유정보는 MAC 주소, ESN, IEME, ICCID, 단말기 고유 전화번호 중 어느 하나를 포함하는 것을 특징으로 하는 복수 카테고리 인증 시스템.
  3. 청구항 1에 있어서,
    상기 보안모듈은 서로 다른 복수의 하드웨어 고유정보를 소정의 알고리즘에 적용하여 상기 식별정보를 생성하는 것을 특징으로 하는 복수 카테고리 인증 시스템.
  4. 청구항 1에 있어서,
    상기 보안 모듈은 수신된 OTP 정보에 대응하여 분산 키패드 방식으로 키패드를 생성하며, 사용자 입력에 따른 키패드의 위치정보를 대응되는 코드로 변환하여, 이를 상기 OTP 입력정보로 생성하는 것을 특징으로 하는 복수 카테고리 인증 시스템.
  5. 청구항 1에 있어서,
    상기 보안 모듈은
    사용자 입력을 통해 개인정보를 생성하는 개인 인증부;
    상기 사용자 단말기로부터 적어도 하나 이상의 하드웨어 고유정보를 추출하는 단말 인증부;
    분산 키패드 입력 방식으로 키패드를 생성하고, 사용자 입력에 따른 키패드의 위치정보를 대응되는 코드로 변환하여 이를 상기 OTP 입력정보로 생성하는 입력보안부; 및
    상기 인증서버와 연결될때마다 개인키와 공개키의 생성을 통해 상기 세션키를 생성하여 상기 세션키로 상기 인증서버와 연결된 통신세션을 통해 송수신하는 모든 정보를 암호화 또는 복호화하며, 상기 개인인증부로부터 수신한 개인정보를 상기 인증서버에 전송하고, 상기 사용자인증 결과정보에 따른 사용자 인증 결과에 따라 상기 세션키를 근거로 OTP 정보를 생성하며, 상기 입력보안부의 상기 OTP 정보에 대응되는 OTP 입력정보와 상기 단말인증부의 적어도 하나 이상의 하드웨어 고유정보를 근거로 생성한 상기 식별정보를 상기 일방향 변환 알고리즘에 적용하여 생성한 기기인증정보를 상기 인증서버에 전송하는 OTP 처리부
    를 포함하는 것을 특징으로 하는 복수 카테고리 인증 시스템.
  6. 청구항 5에 있어서,
    상기 단말인증부는 적어도 하나 이상의 하드웨어 고유정보를 소정의 알고리즘에 적용하여 상기 식별정보를 생성하는 것을 특징으로 하는 복수 카테고리 인증 시스템.
  7. 청구항 1에 있어서,
    상기 인증서버는
    DB에 기저장된 상기 적어도 하나 이상의 하드웨어 고유정보를 소정의 알고리즘에 적용하여 상기 식별정보를 생성하는 단말 인증부;
    상기 개인정보와 상기 적어도 하나 이상의 하드웨어 고유정보를 상호 매칭하여 상기 DB에 등록하는 서비스 등록부; 및
    상기 보안모듈과 세션 연결에 따라 개인키 및 공개키를 생성하여 상기 보안모듈과 공개키를 교환하며, 보안모듈의 공개키와 자신의 개인키로 상기 세션키를 생성하여 상기 보안모듈과 연결된 통신세션을 통해 송수신되는 모든 정보를 암호화 또는 복호화하며, 상기 보안모듈로부터 수신된 개인정보와 DB에 기저장된 개인정보의 비교를 통한 사용자인증 결과정보를 상기 보안모듈로 전송하고, 상기 세션키를 근거로 생성한 OTP 정보와 상기 DB에 기저장된 상기 적어도 하나 이상의 하드웨어 고유 식별정보를 상기 일방향 변환 알고리즘에 적용하여 생성한 정보를 상기 기기인증정보와 비교하여 상기 기기인증 결과정보를 생성하는 OTP 인증부
    를 포함하는 것을 특징으로 하는 복수 카테고리 인증 시스템.
  8. 청구항 1에 있어서,
    상기 보안모듈 및 인증서버는 상기 개인키 및 공개키를 RSA, ECC 중 어느 하나를 이용하여 생성하는 것을 특징으로 하는 복수 카테고리 인증 시스템.
  9. 사용자 단말기에 설치된 보안모듈과 인증서버 사이에 사용자 및 기기인증을 수행하는 복수 카테고리 인증 방법에 있어서,
    상기 보안모듈이 응용프로그램의 로드에 따라 자동 로드되는 제 1 단계;
    상기 보안모듈과 인증서버가 개인키 및 공개키를 생성하고, 공개키를 상호 교환하여 세션키를 생성하는 제 2단계;
    보안모듈이 상기 사용자 단말기로부터 사용자 입력을 근거로 수신한 개인정보를 상기 세션키로 암호화하여 상기 인증서버로 전송하는 제 3단계;
    상기 인증서버가 상기 세션키로 상기 개인정보를 복호화한 후 DB에 기저장된 개인정보와 비교하여 생성한 사용자인증 결과정보를 상기 세션키로 암호화하여 상기 보안모듈로 전송하는 제 4단계;
    상기 보안모듈이 상기 세션키로 복호화된 상기 사용자인증 결과정보에 따라 상기 세션키를 근거로 OTP 정보를 생성하고, 사용자 입력을 근거로 상기 OTP 정보에 대응되는 OTP 입력정보를 생성하며, 상기 사용자 단말기에 대응되는 적어도 하나 이상의 하드웨어 고유정보를 추출하여 상기 OTP 입력정보와 함께 소정의 일방향 변환 알고리즘에 적용하여 생성한 기기인증정보를 상기 세션키로 암호화하여 상기 인증서버로 전송하는 제 5단계; 및
    상기 인증서버가 암호화된 상기 기기인증정보를 세션키로 복호화한 후 상기 세션키를 근거로 생성한 OTP 정보와 DB에 기저장된 상기 적어도 하나 이상의 상기 하드웨어 고유정보를 상기 일방향 변환 알고리즘에 적용하여 생성한 정보와 비교하여 생성한 기기인증 결과정보를 상기 세션키로 암호화하여 상기 보안모듈에 전송하는 제 6단계
    를 포함하는 복수 카테고리 인증 방법.
  10. 청구항 9에 있어서,
    상기 제 5단계는
    상기 보안 모듈이 수신된 OTP 정보에 대응하여 분산 키패드 방식으로 키패드를 생성하며, 사용자 입력에 따른 키패드의 위치정보를 대응되는 코드로 변환하여 이를 상기 OTP 입력정보로 생성하는 것을 특징으로 하는 복수 카테고리 인증 방법.
  11. 청구항 9에 있어서,
    상기 하드웨어 고유정보는 MAC 주소, ESN, IEME, ICCID, 단말기 고유 전화번호 중 어느 하나인 것을 특징으로 하는 복수 카테고리 인증 방법.
  12. 청구항 9에 있어서,
    상기 보안모듈의 상기 기기인증 결과정보 수신에 따라, 상기 보안모듈 및 인증서버는 개인키 및 공개키를 삭제하는 제 7단계를 더 포함하는 것을 특징으로 하는 복수 카테고리 인증 방법.
KR1020110090937A 2011-09-07 2011-09-07 복수 카테고리 인증 시스템 및 방법 KR101298216B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110090937A KR101298216B1 (ko) 2011-09-07 2011-09-07 복수 카테고리 인증 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110090937A KR101298216B1 (ko) 2011-09-07 2011-09-07 복수 카테고리 인증 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20130027387A KR20130027387A (ko) 2013-03-15
KR101298216B1 true KR101298216B1 (ko) 2013-08-22

Family

ID=48178366

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110090937A KR101298216B1 (ko) 2011-09-07 2011-09-07 복수 카테고리 인증 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101298216B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102049585B1 (ko) * 2014-10-21 2019-11-27 에스케이텔레콤 주식회사 Ip 기반 멀티미디어 서비스를 위한 단말 인증 방법 및 이에 따른 ip 기반 멀티미디어 서비스 시스템

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070048815A (ko) * 2005-11-07 2007-05-10 주식회사 아이캐시 스마트카드 또는 스마트카드 칩이 내장된 휴대전화기를이용한 원타임패스워드 인증 방법 및 시스템
KR20070074231A (ko) * 2006-01-09 2007-07-12 주식회사 팬택 멀티미디어 스트리밍 서비스 시스템에서의 사용자 인증장치 및 방법
KR20080087917A (ko) * 2007-01-04 2008-10-02 (주)에이티솔루션 일회용 비밀번호 생성방법과 키 발급 시스템 및 일회용비밀번호 인증 시스템
KR100939725B1 (ko) 2007-08-21 2010-02-01 (주)에이티솔루션 모바일 단말기 인증 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070048815A (ko) * 2005-11-07 2007-05-10 주식회사 아이캐시 스마트카드 또는 스마트카드 칩이 내장된 휴대전화기를이용한 원타임패스워드 인증 방법 및 시스템
KR20070074231A (ko) * 2006-01-09 2007-07-12 주식회사 팬택 멀티미디어 스트리밍 서비스 시스템에서의 사용자 인증장치 및 방법
KR20080087917A (ko) * 2007-01-04 2008-10-02 (주)에이티솔루션 일회용 비밀번호 생성방법과 키 발급 시스템 및 일회용비밀번호 인증 시스템
KR100939725B1 (ko) 2007-08-21 2010-02-01 (주)에이티솔루션 모바일 단말기 인증 방법

Also Published As

Publication number Publication date
KR20130027387A (ko) 2013-03-15

Similar Documents

Publication Publication Date Title
US10595201B2 (en) Secure short message service (SMS) communications
ES2687191T3 (es) Método de autentificación de red para transacciones electrónicas seguras
CN110334503B (zh) 利用一个设备解锁另一个设备的方法
CN109150548B (zh) 一种数字证书签名、验签方法及系统、数字证书系统
US9338163B2 (en) Method using a single authentication device to authenticate a user to a service provider among a plurality of service providers and device for performing such a method
US10050791B2 (en) Method for verifying the identity of a user of a communicating terminal and associated system
US8769289B1 (en) Authentication of a user accessing a protected resource using multi-channel protocol
CN111615105B (zh) 信息提供、获取方法、装置及终端
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
US9445269B2 (en) Terminal identity verification and service authentication method, system and terminal
CN103297403A (zh) 一种实现动态密码认证的方法和系统
JP2012530311A5 (ko)
CN107733652B (zh) 用于共享交通工具的开锁方法和系统及车锁
CN101621794A (zh) 一种无线应用服务系统的安全认证实现方法
TW201729562A (zh) 伺服器、行動終端機、網路實名認證系統及方法
JP2008535427A (ja) データ処理デバイスとセキュリティモジュールとの間のセキュア通信
CN114765534A (zh) 基于国密标识密码算法的私钥分发系统
US20210256102A1 (en) Remote biometric identification
CN104901967A (zh) 信任设备的注册方法
US20240129139A1 (en) User authentication using two independent security elements
KR101172876B1 (ko) 사용자 단말기와 서버 간의 상호 인증 방법 및 시스템
KR101298216B1 (ko) 복수 카테고리 인증 시스템 및 방법
Nishimura et al. Secure authentication key sharing between personal mobile devices based on owner identity
KR100932275B1 (ko) Tpm을 이용한 가입자 식별 모듈의 사용 제한 방법 및이를 위한 이동 단말기
KR100938391B1 (ko) 서버와 클라이언트 상호인증을 통한 로그인 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160608

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170628

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180802

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190807

Year of fee payment: 7