KR101367621B1 - Otp 기반 인증 시스템 및 방법 - Google Patents

Otp 기반 인증 시스템 및 방법 Download PDF

Info

Publication number
KR101367621B1
KR101367621B1 KR1020120069910A KR20120069910A KR101367621B1 KR 101367621 B1 KR101367621 B1 KR 101367621B1 KR 1020120069910 A KR1020120069910 A KR 1020120069910A KR 20120069910 A KR20120069910 A KR 20120069910A KR 101367621 B1 KR101367621 B1 KR 101367621B1
Authority
KR
South Korea
Prior art keywords
authentication
client
server
account information
authentication request
Prior art date
Application number
KR1020120069910A
Other languages
English (en)
Other versions
KR20140002932A (ko
Inventor
송성대
황한응
김승국
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020120069910A priority Critical patent/KR101367621B1/ko
Priority to US14/411,680 priority patent/US9503453B2/en
Priority to PCT/KR2013/005471 priority patent/WO2014003362A1/ko
Publication of KR20140002932A publication Critical patent/KR20140002932A/ko
Application granted granted Critical
Publication of KR101367621B1 publication Critical patent/KR101367621B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

인증 시스템 및 방법이 개시된다. 본 발명의 일 실시예에 따른 인증 시스템은, 클라이언트로부터 클라이언트측 OTP 및 암호화된 계정 정보를 포함하는 인증 요청을 수신하고, 상기 인증 요청에 따른 인증 결과를 상기 클라이언트로 송신하는 송수신 모듈, 상기 암호화된 계정 정보를 복호화하여 상기 클라이언트의 계정 정보 및 인증 요청 시각을 계산하는 복호화 모듈, 계산된 상기 클라이언트의 계정 정보 및 상기 인증 요청 시각을 이용하여 서버측 OTP를 생성하는 서버측 OTP 생성 모듈; 및 상기 인증 요청에 포함된 클라이언트측 OTP 및 상기 서버측 OTP를 비교하여 상기 클라이언트를 인증하는 인증 모듈을 포함한다.

Description

OTP 기반 인증 시스템 및 방법{SYSTEM AND METHOD FOR AUTHENTICATION BASED ON ONE-TIME PASSWORD}
본 발명은 네트워크상에서 시스템의 보안 및 인증을 위한 기술과 관련된다.
원타임패스워드(OTP; One-Time Password)는 네트워크 보안 기술 중 하나로서, 사용자가 인증을 받고자 할 때 매번 새로운 패스워드를 사용하여야 하는 보안 시스템이다. 이는 일반적인 아이디/패스워드 기반의 보안 시스템에서 고정된 패스워드의 누출 시 보안에 심각한 문제가 발생하는 것을 해결하기 위한 것으로서, 최근 들어 높은 수준의 보안이 요구 되는 기업 또는 금융기관 등에서 그 이용이 증가하고 있다.
OTP의 종류로는 S/Key 방식, 챌린지-리스폰스 방식, 시간 동기화 방식 등이 있으며, 이 중 시간 동기화 방식은 그 이름에서 알 수 있듯이 시간을 일회용 비밀번호의 생성에 사용하는 방식이다. 사용자가 클라이언트측 OTP를 생성해 PIN(사용자 비밀번호, 비밀키)과 함께 인증 서버에 전달하면, 서버는 클라이언트의 ID와 일치하는 사용자의 init-secret과 PIN을 활용하여 서버측 OTP를 생성하고, 생성된 서버측 OTP가 수신한 것과 일치하는 지를 확인한다. 시간 동기화 방식은 인증 서버와 사용자 모두 같은 시간을 OTP의 입력값으로 넣어야 하기 때문에 인증 서버와 사용자 토큰 사이에 시간이 일치하지 않으면 사용자 인증에 실패할 수 밖에 없다. 그러나 각 사용자 단말의 시간을 서버와 항상 동기화하기는 현실적으로 어렵다. 따라서, 많은 경우 시간의 오차 범위를 설정해서 그 범위 안에서는 인증이 성공하도록 허용하고 있다. 예를 들어, 인증 서버에서는 사용자로부터 인증 요청을 받은 시각을 기준으로 앞뒤로 일정 시간만큼(예를 들어, -180초 ~ + 180초)의 유효 범위를 설정하고, 해당 유효 범위 내의 시간 정보로 생성한 서버측 OTP 중 하나와 사용자의 OTP가 일치할 경우 인증에 성공한 것으로 판단한다.
그러나 이 경우 상기 유효 시간의 범위에 따라 인증 서버에서 다수 개의 OTP를 생성하여야 하므로 인증 과정에서 서버 측의 부담이 커지게 된다. 특히 OTP의 경우 OTP가 MD5 등을 이용하여 암호화되므로 일반적인 패스워드 방식보다 OTP 생성에 따른 오버헤드가 크다. 예를 들어 상기 유효 범위 내에서 n개의 서버측 OTP를 생성할 경우 하나의 클라이언트의 인증을 위해 O(n)의 시간이 걸리게 된다. 더구나 각 클라이언트 별로 m개의 디바이스가 등록된 경우에는 각각의 디바이스에 대하여 상기 인증 과정을 반복해야 하므로 이 경우 하나의 클라이언트의 인증을 위해 O(n*m)의 시간이 걸리게 되는 문제가 발생하게 된다.
[선행기술문헌] 한국공개특허 제10-2010-0040369호(오티피 통합 인증 처리 시스템과 그 제어방법, 공개일 2010.04.20)
본 발명은 상기와 같은 과제를 해결하기 위한 것으로서, 본 발명은 시간 동기화 방식의 OTP 인증 시스템에서 인증 서버에서의 처리 성능을 향상시키는 방법을 제공하기 위한 것이다.
본 발명의 일 실시예에 따른 인증 시스템은, 클라이언트로부터 클라이언트측 OTP 및 암호화된 계정 정보를 포함하는 인증 요청을 수신하고, 상기 인증 요청에 따른 인증 결과를 상기 클라이언트로 송신하는 송수신 모듈, 상기 암호화된 계정 정보를 복호화하여 상기 클라이언트의 계정 정보 및 인증 요청 시각을 계산하는 복호화 모듈, 계산된 상기 클라이언트의 계정 정보 및 상기 인증 요청 시각을 이용하여 서버측 OTP를 생성하는 서버측 OTP 생성 모듈; 및 상기 인증 요청에 포함된 클라이언트측 OTP 및 상기 서버측 OTP를 비교하여 상기 클라이언트를 인증하는 인증 모듈을 포함한다.
한편, 본 발명의 일 실시예에 따른 인증 방법은, 인증 서버에서, 클라이언트로부터 클라이언트측 OTP 및 암호화된 계정 정보를 포함하는 인증 요청을 수신하는 단계, 상기 인증 서버에서, 상기 암호화된 계정 정보를 복호화하여 상기 클라이언트의 계정 정보 및 인증 요청 시각을 계산하는 단계, 상기 인증 서버에서, 계산된 상기 클라이언트의 계정 정보 및 상기 인증 요청 시각을 이용하여 서버측 OTP를 생성하는 단계, 및 상기 인증 서버에서, 상기 인증 요청에 포함된 클라이언트측 OTP 및 상기 서버측 OTP를 비교하여 상기 클라이언트를 인증하는 단계를 포함한다.
본 발명의 실시예들에 따를 경우 클라이언트로부터 송신된 인증 요청을 이용하여 정확한 인증 요청 시각을 알 수 있으므로, 인증 처리에 소요되는 시간을 종래에 비해 획기적으로 감소시킬 수 있다. 즉, 전술한 예에서와 같이 사용자별로 m개의 디바이스가 있는 환경에서 n개의 후보 시간대별 OTP 검증을 실시할 경우, 종래에는 O(m*n)의 시간이 소요되었으나 본 발명에 따를 경우 O(m+n)의 시간 내에 가능하다.
또한, 본 발명의 실시예들에 따를 경우, 계정 정보가 암호화되어 인증 서버로 전송된다. 따라서 인증을 위한 메시지 송수신 과정에서 사용자 계정이 노출되지 않으므로 인증 시간을 감소하는 동시에 보안을 강화할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 인증 시스템(100)을 설명하기 위한 블록도이다.
도 2는 본 발명의 일 실시예에 따른 클라이언트(102)의 상세 구성을 나타낸 블록도이다.
도 3은 본 발명의 일 실시예에 따른 인증 서버(104)의 상세 구성을 나타낸 블록도이다.
도 4는 본 발명의 일 실시예에 따른 인증 서버(104)에서의 인증 방법(400)을 설명하기 위한 순서도이다.
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하의 실시예는 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.
도 1은 본 발명의 일 실시예에 따른 인증 시스템(100)을 설명하기 위한 블록도이다. 도시된 바와 같이 본 발명의 일 실시예에 따른 인증 시스템(100)은 클라이언트(102) 및 인증 서버(104)를 포함한다. 클라이언트(102) 및 인증 서버(104)는 유선 또는 무선 네트워크를 통하여 서로 연결되어 데이터를 송수신할 수 있도록 구성된다.
클라이언트(102)는 인증 서버(104)로 클라이언트(102) 사용자의 인증을 요청하고, 인증 서버(104)로부터 상기 인증 요청에 따른 인증 결과(인증 응답)를 수신한다. 상기 인증 요청은 클라이언트측 OTP 및 암호화된 계정 정보를 포함한다. 먼저, 클라이언트(102)는 상기 사용자의 계정 정보(AO), 클라이언트(102)의 접속 토큰(token) 및 인증 요청 시각 정보(Ta)를 이용하여 클라이언트측 OTP를 생성한다. 상기 OTP 생성 알고리즘에 대해서는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 잘 알려져 있으며, 또한 이에 대한 상세한 설명은 본 발명의 범위를 벗어나는 것이므로 이에 대해서는 상세한 설명을 생략하기로 한다.
또한 클라이언트(102)는 상기 클라이언트측 OTP와 별도로 암호화된 계정 정보(Ae)를 생성한다. 구체적으로, 클라이언트(102)는 기 설정된 키 생성 알고리즘을 이용하여 인증 요청 시각 정보(Ta)로부터 계정 암호화 키(Ka)를 생성하고, 상기 계정 암호화 키(Ka)를 이용하여 계정 정보(Ao)를 암호화한다. 이후, 클라이언트(102)는 생성된 클라이언트측 OTP 및 암호화된 계정 정보(Ae)를 포함하는 인증 요청을 인증 서버로 송신한다.
인증 서버(104)는 클라이언트(102)로부터 인증 요청을 수신하고, 수신된 상기 인증 요청에 따라 클라이언트(102)를 인증한 결과(인증 응답)을 클라이언트(102)로 회신한다. 먼저, 인증 서버(104)는 클라이언트(102) 사용자의 계정 정보 및 클라이언트(102)의 접속 토큰을 클라이언트와 공유하여 저장한다. 이 때 상기 사용자가 사용하는 클라이언트 디바이스가 복수 개일 경우, 인증 서버(104)는 각 디바이스 별 접속 토큰을 함께 저장하게 된다.
클라이언트(102)로부터 인증 요청이 수신되면, 인증 서버(104)는 수신된 상기 인증 요청에 포함된 암호화된 계정 정보를 복호화하여 클라이언트(102)의 계정 정보(Ao) 및 인증 요청 시각(Ta)을 계산한다. 먼저, 인증 서버(104)는 상기 인증 요청 수신 시각에 기초하여 복수 개의 OTP 생성 추정 시각을 생성한다. 예를 들어 인증 서버(104)는 인증 요청을 클라이언트(102)로부터 수신한 시각의 앞, 뒤로 각 180초씩 10초 간격으로 OTP 생성 추정 시각을 생성할 수 있으며, 이는 인증 서버(104)의 OTP 정책 등에 따라 달라질 수 있다.
다음으로, 인증 서버(104)는 각 OTP 생성 추정 시각 별로 키 생성 알고리즘을 이용하여 복호화 키를 생성한다. 이때 상기 복호화 키는 클라이언트측에서 암호화된 계정 정보를 복호화하기 위한 것이므로, 상기 키 생성 알고리즘은 클라이언트(102)와 동일한 것을 사용하여야 한다.
복호화 키가 생성되면, 인증 서버(104)는 각각의 복호화 키를 이용하여 상기 암호화된 계정 정보에 대한 복호화를 시도한다. 이 경우, 만약 복호화에 사용된 복수 개의 복호화 키 중 하나가 클라이언트(102)에서 암호화에 사용된 키와 동일하다면, 상기 복호화의 결과로 암호화되지 않은 원래의 계정 정보(Ao)가 도출되며, 인증 서버(104)는 해당 복호화 키에 대응되는 OTP 생성 추정 시각을 실제 인증 요청 시각(Ta)으로 추정하게 된다. 즉, 본 발명에서는 암호화된 계정 정보를 복호화하는 계정에서 정확한 인증 요청 시각을 추론해 낼 수 있는 장점이 있다.
이와 같은 과정을 거쳐 계정 정보(Ao) 및 인증 요청 시각(Ta)이 계산되면, 인증 서버(104)는 상기 계정 정보(Ao), 인증 요청 시각(Ta) 및 해당 사용자의 디바이스별 접속 토큰 값을 이용하여 각각의 접속 토큰 별로 복수 개의 서버측 OTP를 생성하고, 생성된 서버측 OTP를 클라이언트측 OTP와 비교하여 일치하는 서버측 OTP가 존재하는 경우 인증에 성공한 것으로 판단한다. 그러나 만약 수신된 상기 클라이언트측 OTP가 상기 서버측 OTP 중 어느 하나와도 일치하지 않는 경우에는 인증에 실패한 것으로 판단한다.
도 2는 본 발명의 일 실시예에 따른 클라이언트(102)의 상세 구성을 나타낸 블록도이다. 도시된 바와 같이, 클라이언트(102)는 클라이언트측 OTP 생성 모듈(200), 암호화 모듈(202) 및 송수신 모듈(204)을 포함한다.
클라이언트측 OTP 생성 모듈(200)은 사용자의 계정 정보(Ao) 및 인증 요청 시점 정보(Ta)를 이용하여 클라이언트측 OTP를 생성한다.
암호화 모듈(202)은 기 설정된 키 생성 알고리즘을 이용하여 인증 요청 시각 정보(Ta)로부터 계정 암호화 키(Ka)를 생성하고, 상기 계정 암호화 키(Ka)를 이용하여 계정 정보(Ao)를 암호화한다.
송수신 모듈(202)은 상기 클라이언트측 OTP 및 암호화된 계정 정보를 인증 서버(104)로 송신하고, 인증 서버(104)로부터 상기 인증 요청에 대응하는 인증 응답을 수신한다.
도 3은 본 발명의 일 실시예에 따른 인증 서버(104)의 상세 구성을 나타낸 블록도이다. 도시된 바와 같이, 본 발명의 일 실시예에 따른 인증 서버(104)는 송수신 모듈(300), 복호화 모듈(302), 서버측 OTP 생성 모듈(304) 및 인증 모듈(306)을 포함한다.
송수신 모듈(300)은 클라이언트로(102)부터 클라이언트측 OTP 및 암호화된 계정 정보를 포함하는 인증 요청을 수신하고, 상기 인증 요청에 따른 인증 결과를 상기 클라이언트로 송신한다.
복호화 모듈(302)은 송수신 모듈(300)에서 수신된 상기 암호화된 계정 정보를 복호화하여 이로부터 계정 정보 및 인증 요청 시각을 계산한다. 이를 구체적으로 설명하면 다음과 같다.
먼저, 복호화 모듈(302)은 상기 인증 요청의 수신 시각에 기초하여 복수 개의 OTP 생성 추정 시각을 생성한다. 예를 들어, 인증 요청의 수신 시각의 앞, 뒤로 180초의 범위 내에서 10초 간격으로 OTP 생성 추정 시각을 생성할 경우, 복호화 모듈(302)은 다음과 같이 36개의 OTP 생성 추정 시각을 생성할 수 있다.
T1 : T - 180 (이때, T는 인증 요청의 수신 시각)
T2 : T - 170
T3 : T - 160
...
T36 : T + 170
다음으로, 복호화 모듈(302)은 기 설정된 키 생성 알고리즘을 이용하여 생성된 각각의 OTP 생성 추정 시각으로부터 복수 개의 복호화 키를 생성한다. 전술한 바와 같이 상기 키 생성 알고리즘은 클라이언트(102)에서의 키 생성 알고리즘과 동일한 것이어야 한다. 상기 예의 경우 T1 내지 T36의 36개의 OTP 생성 추정 시각으로부터 다음과 같이 36개의 복호화 키가 생성된다.
K1, K2, K3, ..., K36
복호화 키가 생성되면, 복호화 모듈(302)은 기 설정된 복호화 알고리즘을 이용하여 상기 암호화된 계정 정보에 대한 복호화를 시도한다. 구체적으로, 복호화 모듈(302)은 상기 복호화 알고리즘에 상기 복호화 키를 순차적으로 적용하여 도출되는 결과가 기 저장된 클라이언트(102)의 계정 정보 중 하나와 일치하는지의 여부를 판단한다. 이때, 만약 특정 복호화 키를 이용한 복호화 결과가 기 저장된 계정 정보들 중 하나와 일치하는 경우에는 복호화에 성공한 것이고, 어떠한 복호화 키로도 일치하는 계정 정보가 없을 경우 복호화는 실패한 것이 된다. 복호화가 실패한 경우 인증 모듈(306)은 상기 인증 요청에 대한 인증이 실패한 것으로 판단한다.
상기 복호화 시도 결과 복호화가 성공한 경우, 복호화 모듈(302)은 성공한 복호화 키에 대응되는 OTP 생성 추정 시각을 상기 인증 요청 시각(Ta)으로 설정한다. 상기 예에서, 복호화 키 K4를 이용하여 복호화한 결과가 기 저장된 계정 정보 중 하나와 일치하는 경우, 복호화 모듈(302)은 상기 K4에 대응되는 시각, 즉 T-150을 클라이언트(102)측에서의 인증 요청 시각(Ta)으로 설정하게 된다.
다음으로, 서버측 OTP 생성 모듈(304)은 복호화 모듈(302)에서 계산된 상기 클라이언트의 계정 정보 및 상기 인증 요청 시각을 이용하여 서버측 OTP를 생성한다. 만약 상기 계정 정보에 대응되는 접속 토큰이 복수 개 존재하는 경우, 서버측 OTP 생성 모듈(304)은 각각의 접속 토큰 별로 복수 개의 서버측 OTP를 생성한다.
인증 모듈(306)은 상기 인증 요청에 포함된 클라이언트측 OTP 및 서버측 OTP 생성 모듈(304)에서 생성된 상기 서버측 OTP를 비교하여 클라이언트(102)를 인증한다. 만약 상기 비교 결과, 서버측 OTP와 클라이언트측 OTP가 일치하는 경우, 인증 모듈(306)은 상기 인증 요청에 따른 인증이 성공한 것으로 판단하고, 일치하지 않는 경우에는 인증에 실패한 것으로 판단한다. 만약 서버측 OTP 생성 모듈(304)에서 생성된 서버측 OTP가 복수 개인 경우, 인증 모듈(306)은 생성된 상기 복수 개의 서버측 OTP 중 하나의 서버측 OTP와 상기 클라이언트측 OTP가 일치하는 경우 인증에 성공한 것으로 판단하고, 모든 서버측 OTP와 클라이언트측 OTP가 일치하지 않을 경우에는 인증에 실패한 것으로 판단한다.
도 4는 본 발명의 일 실시예에 따른 인증 서버(104)에서의 인증 방법(400)을 설명하기 위한 순서도이다.
먼저, 송수신 모듈(300)은 클라이언트(102)로부터 클라이언트측 OTP 및 암호화된 계정 정보를 포함하는 인증 요청을 수신한다(402).
다음으로, 복호화 모듈(302)은 상기 인증 요청에 포함된 상기 암호화된 계정 정보를 복호화하여 클라이언트(102)의 계정 정보 및 인증 요청 시각을 계산한다(404). 구체적으로, 복호화 모듈(302)은 상기 인증 요청의 수신 시각에 기초하여 복수 개의 OTP 생성 추정 시각을 생성하고, 생성된 각각의 OTP 생성 추정 시각으로부터 복수 개의 복호화 키를 생성하며, 상기 복수 개의 복호화 키를 이용하여 상기 암호화된 계정 정보를 복호화하도록 구성되며, 상기 암호화된 계정 정보의 복호화에 성공한 경우, 성공한 복호화 키에 대응되는 OTP 생성 추정 시각을 상기 인증 요청 시각으로 설정하게 된다. 만약 상기 404 단계의 수행 결과 상기 암호화된 계정 정보의 복호화에 실패할 경우에는 인증에 실패한 것으로 판단한다(406, 408).
그러나 이와 달리 복호화에 성공하여 계정 정보 및 인증 요청 시각이 계산된 경우, 서버측 OTP 생성 모듈(304) 계산된 상기 클라이언트의 계정 정보 및 상기 인증 요청 시각을 이용하여 서버측 OTP를 생성한다(410). 이때 상기 계정 정보에 대응되는 대응되는 접속 토큰이 복수 개 존재하는 경우, 서버측 OTP 생성 모듈(304)은 각각의 접속 토큰 별로 복수 개의 서버측 OTP를 생성할 수 있다.
이후, 인증 모듈(306)은 상기 인증 요청에 포함된 클라이언트측 OTP 및 상기 406 단계에서 생성된 서버측 OTP를 비교하여 상기 클라이언트를 인증한다(412). 구체적으로, 인증 모듈(306)은 상기 클라이언트측 OTP와 서버측 OTP가 일치할 경우 인증에 성공한 것으로 판단하고(414), 일치하지 않을 경우 인증에 실패한 것으로 판단한다(408). 만약 상기 406 단계에서 생성된 서버측 OTP가 복수 개인 경우, 인증 모듈(306)은 생성된 상기 복수 개의 서버측 OTP 중 하나의 서버측 OTP와 상기 클라이언트측 OTP가 일치하는 경우 인증에 성공한 것으로 판단하고, 모든 서버측 OTP와 클라이언트측 OTP가 일치하지 않을 경우에는 인증에 실패한 것으로 판단한다.
한편, 본 발명의 실시예는 본 명세서에서 기술한 방법들을 컴퓨터상에서 수행하기 위한 프로그램을 포함하는 컴퓨터 판독 가능 기록매체를 포함할 수 있다. 상기 컴퓨터 판독 가능 기록매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야에서 통상의 지식을 가진 자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광 기록 매체, 플로피 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다.
그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
100: 인증 시스템
102: 클라이언트
104: 인증 서버
200: 클라이언트측 OTP 생성 모듈(200)
202: 암호화 모듈
204: 송수신 모듈
300: 송수신 모듈
302: 복호화 모듈
304: 서버측 OTP 생성 모듈
306: 인증 모듈

Claims (11)

  1. 클라이언트로부터 클라이언트측 OTP 및 암호화된 계정 정보를 포함하는 인증 요청을 수신하고, 상기 인증 요청에 따른 인증 결과를 상기 클라이언트로 송신하는 송수신 모듈;
    상기 암호화된 계정 정보를 복호화하여 상기 클라이언트의 계정 정보 및 인증 요청 시각을 계산하는 복호화 모듈;
    계산된 상기 클라이언트의 계정 정보 및 상기 인증 요청 시각을 이용하여 서버측 OTP를 생성하는 서버측 OTP 생성 모듈; 및
    상기 인증 요청에 포함된 클라이언트측 OTP 및 상기 서버측 OTP를 비교하여 상기 클라이언트를 인증하는 인증 모듈을 포함하는 인증 시스템.
  2. 청구항 1에 있어서,
    상기 복호화 모듈은, 상기 인증 요청의 수신 시각에 기초하여 복수 개의 OTP 생성 추정 시각을 생성하고, 생성된 각각의 OTP 생성 추정 시각으로부터 복수 개의 복호화 키를 생성하며, 생성된 상기 복수 개의 복호화 키를 이용하여 상기 암호화된 계정 정보를 복호화하는, 인증 시스템.
  3. 청구항 2에 있어서,
    상기 복호화 모듈은, 상기 암호화된 계정 정보의 복호화에 성공한 경우, 성공한 복호화 키에 대응되는 OTP 생성 추정 시각을 상기 인증 요청 시각으로 설정하는, 인증 시스템.
  4. 청구항 1에 있어서,
    상기 서버측 OTP 생성 모듈은, 상기 계정 정보에 대응되는 접속 토큰이 복수 개 존재하는 경우, 각각의 접속 토큰 별로 복수 개의 서버측 OTP를 생성하는, 인증 시스템.
  5. 청구항 4에 있어서,
    상기 인증 모듈은, 생성된 상기 복수 개의 서버측 OTP 중 하나의 서버측 OTP와 상기 클라이언트측 OTP가 일치하는 경우 인증에 성공한 것으로 판단하는, 인증 시스템.
  6. 인증 서버에서, 클라이언트로부터 클라이언트측 OTP 및 암호화된 계정 정보를 포함하는 인증 요청을 수신하는 단계;
    상기 인증 서버에서, 상기 암호화된 계정 정보를 복호화하여 상기 클라이언트의 계정 정보 및 인증 요청 시각을 계산하는 단계;
    상기 인증 서버에서, 계산된 상기 클라이언트의 계정 정보 및 상기 인증 요청 시각을 이용하여 서버측 OTP를 생성하는 단계; 및
    상기 인증 서버에서, 상기 인증 요청에 포함된 클라이언트측 OTP 및 상기 서버측 OTP를 비교하여 상기 클라이언트를 인증하는 단계를 포함하는 인증 방법.
  7. 청구항 6에 있어서,
    상기 계정 정보 및 인증 요청 시각을 계산하는 단계는,
    상기 인증 요청의 수신 시각에 기초하여 복수 개의 OTP 생성 추정 시각을 생성하는 단계;
    생성된 각각의 OTP 생성 추정 시각으로부터 복수 개의 복호화 키를 생성하는 단계; 및
    상기 복수 개의 복호화 키를 이용하여 상기 암호화된 계정 정보를 복호화하는 단계를 더 포함하는, 인증 방법.
  8. 청구항 7에 있어서,
    상기 계정 정보 및 인증 요청 시각을 계산하는 단계는, 상기 암호화된 계정 정보의 복호화에 성공한 경우, 성공한 복호화 키에 대응되는 OTP 생성 추정 시각을 상기 인증 요청 시각으로 설정하는, 인증 방법.
  9. 청구항 6에 있어서,
    상기 서버측 OTP 생성 단계는, 상기 계정 정보에 대응되는 접속 토큰이 복수 개 존재하는 경우, 각각의 접속 토큰 별로 복수 개의 서버측 OTP를 생성하는, 인증 방법.
  10. 청구항 9에 있어서,
    상기 인증 단계는, 생성된 상기 복수 개의 서버측 OTP 중 하나의 서버측 OTP와 상기 클라이언트측 OTP가 일치하는 경우 인증에 성공한 것으로 판단하는, 인증 방법.
  11. 청구항 6 내지 10 중 어느 한 항에 기재된 방법을 컴퓨터상에서 실행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020120069910A 2012-06-28 2012-06-28 Otp 기반 인증 시스템 및 방법 KR101367621B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020120069910A KR101367621B1 (ko) 2012-06-28 2012-06-28 Otp 기반 인증 시스템 및 방법
US14/411,680 US9503453B2 (en) 2012-06-28 2013-06-21 OTP-based authentication system and method
PCT/KR2013/005471 WO2014003362A1 (ko) 2012-06-28 2013-06-21 Otp 기반 인증 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120069910A KR101367621B1 (ko) 2012-06-28 2012-06-28 Otp 기반 인증 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20140002932A KR20140002932A (ko) 2014-01-09
KR101367621B1 true KR101367621B1 (ko) 2014-02-28

Family

ID=49783451

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120069910A KR101367621B1 (ko) 2012-06-28 2012-06-28 Otp 기반 인증 시스템 및 방법

Country Status (3)

Country Link
US (1) US9503453B2 (ko)
KR (1) KR101367621B1 (ko)
WO (1) WO2014003362A1 (ko)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112134708A (zh) * 2014-04-15 2020-12-25 创新先进技术有限公司 一种授权方法、请求授权的方法及装置
KR101675223B1 (ko) * 2015-03-31 2016-11-11 현대오토에버 주식회사 워치독 장치, 워치독 보안 시스템 및 그 보안 방법
CN106888195B (zh) * 2015-12-16 2020-05-05 阿里巴巴集团控股有限公司 验证方法及装置
EP3479543B1 (en) * 2016-06-30 2022-04-06 Shape Security, Inc. Client-side security key generation
TWI615734B (zh) * 2016-12-12 2018-02-21 Chunghwa Telecom Co Ltd 虛擬智慧卡應用於行動裝置之金鑰管控方法
US10911441B2 (en) 2017-01-18 2021-02-02 CertifID LLC Verifying party identities for secure transactions
US11582225B2 (en) * 2017-10-14 2023-02-14 Icrypto, Inc. System and method for detecting the user using a single one-time password
KR102030617B1 (ko) * 2017-12-05 2019-10-10 주식회사 코스콤 일회성 패스워드를 생성하고 검증하는 방법과 그 장치
US11178138B2 (en) 2020-01-09 2021-11-16 Bank Of America Corporation Client side OTP generation method
US11115407B2 (en) 2020-01-09 2021-09-07 Bank Of America Corporation Client side OTP generation method

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004157852A (ja) * 2002-11-07 2004-06-03 Toppan Printing Co Ltd ワンタイムパスワードの管理システムおよび管理方法
KR20080061714A (ko) * 2006-12-28 2008-07-03 손민석 이동통신단말기에서 생성되는 일회용 비밀번호를 기반으로한 사용자 인증 방법
JP2008258663A (ja) * 2007-03-30 2008-10-23 Nippon Telegraph & Telephone West Corp 情報通信システム
KR20100104161A (ko) * 2009-03-16 2010-09-29 김세용 피싱 방지를 위한 일회용 비밀번호 생성 방법 및 장치

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6694431B1 (en) * 1999-10-12 2004-02-17 International Business Machines Corporation Piggy-backed key exchange protocol for providing secure, low-overhead browser connections when a server will not use a message encoding scheme proposed by a client
US7975139B2 (en) * 2001-05-01 2011-07-05 Vasco Data Security, Inc. Use and generation of a session key in a secure socket layer connection
US8412928B1 (en) * 2010-03-31 2013-04-02 Emc Corporation One-time password authentication employing local testing of candidate passwords from one-time password server
US8572684B1 (en) * 2011-01-07 2013-10-29 Ca, Inc. Authentication using one-time passwords and associated indicia for plural sequences

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004157852A (ja) * 2002-11-07 2004-06-03 Toppan Printing Co Ltd ワンタイムパスワードの管理システムおよび管理方法
KR20080061714A (ko) * 2006-12-28 2008-07-03 손민석 이동통신단말기에서 생성되는 일회용 비밀번호를 기반으로한 사용자 인증 방법
JP2008258663A (ja) * 2007-03-30 2008-10-23 Nippon Telegraph & Telephone West Corp 情報通信システム
KR20100104161A (ko) * 2009-03-16 2010-09-29 김세용 피싱 방지를 위한 일회용 비밀번호 생성 방법 및 장치

Also Published As

Publication number Publication date
US20150172280A1 (en) 2015-06-18
KR20140002932A (ko) 2014-01-09
WO2014003362A1 (ko) 2014-01-03
US9503453B2 (en) 2016-11-22

Similar Documents

Publication Publication Date Title
KR101367621B1 (ko) Otp 기반 인증 시스템 및 방법
EP3373510B1 (en) Method and device for realizing session identifier synchronization
EP3435591B1 (en) 1:n biometric authentication, encryption, signature system
US8667280B2 (en) Method and apparatus for applying a partial password in a multi-factor authentication scheme
US10797879B2 (en) Methods and systems to facilitate authentication of a user
US10574648B2 (en) Methods and systems for user authentication
US9330245B2 (en) Cloud-based data backup and sync with secure local storage of access keys
US7690026B2 (en) Distributed single sign-on service
US8156333B2 (en) Username based authentication security
US7562221B2 (en) Authentication method and apparatus utilizing proof-of-authentication module
US20170055146A1 (en) User authentication and/or online payment using near wireless communication with a host computer
CN109672675B (zh) 一种基于OAuth2.0的密码服务中间件的WEB认证方法
CN103685282A (zh) 一种基于单点登录的身份认证方法
US20120311330A1 (en) Method and system for single sign-on
KR101424569B1 (ko) 시간 기반 인증 시스템 및 방법
US8397281B2 (en) Service assisted secret provisioning
CN108809633B (zh) 一种身份认证的方法、装置及系统
US20080250248A1 (en) Identity Management System with an Untrusted Identity Provider
US20210073359A1 (en) Secure one-time password (otp) authentication
CN113268759B (zh) 一种基于web架构的token权限认证方法及系统
CN111277550B (zh) 基于RESTful的交互方法、服务器、客户端和装置
CN113872992A (zh) 一种在BMC系统中实现远程Web访问强安全认证的方法
KR101510290B1 (ko) Vpn에서 이중 인증을 구현하기 위한 장치 및 이의 동작 방법
KR20220122224A (ko) 사용자 단말 및 대상 서버에서의 분산 id에 기반한 사용자 통합 인증 방법
JP5841954B2 (ja) セキュア認証方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170102

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171213

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190102

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20200121

Year of fee payment: 7