KR101371054B1 - 일회용 비밀번호와 서명 패스워드를 이용한 비대칭키 전자 서명 및 인증 방법 - Google Patents

일회용 비밀번호와 서명 패스워드를 이용한 비대칭키 전자 서명 및 인증 방법 Download PDF

Info

Publication number
KR101371054B1
KR101371054B1 KR1020130090588A KR20130090588A KR101371054B1 KR 101371054 B1 KR101371054 B1 KR 101371054B1 KR 1020130090588 A KR1020130090588 A KR 1020130090588A KR 20130090588 A KR20130090588 A KR 20130090588A KR 101371054 B1 KR101371054 B1 KR 101371054B1
Authority
KR
South Korea
Prior art keywords
user
authentication
value
public key
signature
Prior art date
Application number
KR1020130090588A
Other languages
English (en)
Inventor
김선종
Original Assignee
이니텍(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이니텍(주) filed Critical 이니텍(주)
Priority to KR1020130090588A priority Critical patent/KR101371054B1/ko
Application granted granted Critical
Publication of KR101371054B1 publication Critical patent/KR101371054B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • G06Q20/206Point-of-sale [POS] network systems comprising security or operator identification provisions, e.g. password entry
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4012Verifying personal identification numbers [PIN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명에 의한, 사용자 단말기와, 서비스 제공기관 서버와, 인증기관 서버를 포함하는 환경에서 수행되는 온라인 전자 거래의 비대칭키 전자 서명 및 인증 방법은, (1) 사용자 단말기가, 온라인 전자 거래에 필요한 거래 정보와, 일회용 비밀번호 생성매체에 의해서 생성된 일회용 비밀번호와, 서명 패스워드를 입력받는 제1 단계와, (2) 사용자 단말기가, 상기 서명 패스워드에 기초하여 공개키와 비밀키를 포함하는 비대칭키를 생성하되 공개키 정보에 상기 입력된 일회용 비밀번호와 사용자 식별 정보를 포함하도록 생성하는 제2 단계와, (3) 사용자 단말기가, 상기 거래 정보에 기초한 전자 거래 메시지에 대해서 전자 서명을 수행하여 사용자 전자 서명값을 생성하는 제3 단계와, (4) 사용자 단말기가, 사용자 인증값을 생성하는 제4 단계와, (5) 사용자 단말기가, 사용자 전자 서명값과, 전자 거래 메시지와, 상기 사용자 인증값과, 상기 공개키를 서비스 제공기관 서버로 전송하는 제5 단계와, (6) 서비스 제공기관 서버가, 상기 사용자 전자 서명값을 검증하는 제6 단계와, (7) 서비스 제공기관 서버가, 상기 공개키 정보에 포함되어 있는 사용자 식별 정보로부터 일회용 비밀번호 생성매체의 식별정보를 획득하는 제7 단계와, (8) 서비스 제공기관 서버가, 상기 일회용 비밀번호 생성매체의 식별정보와, 상기 공개키 정보 및 상기 사용자 인증값을 인증기관 서버로 전송하는 제8 단계와, (9) 인증기관 서버가, 상기 일회용 비밀번호 생성매체의 식별정보에 기초하여 비교대상 일회용 비밀번호를 생성하는 제9 단계와, (10) 인증기관 서버가, 상기 일회용 비밀번호 생성매체의 식별정보로부터 비교대상 사용자 인증값을 생성하는 제10 단계와, (11) 인증기관 서버가, 상기 일회용 비밀번호 생성매체의 식별정보로부터 공개키 정보를 획득하는 제11 단계와, (12) 인증기관 서버가, 상기 비교대상 사용자 인증값과 제8 단계에서 전송받은 사용자 인증값을 비교하는 제12 단계와, (13) 인증기관 서버가, 상기 비교대상 일회용 비밀번호가 제8 단계에서 전송받은 상기 공개키 정보에 포함되어 있는지를 확인하는 제13 단계와, (14) 인증기관 서버가, 상기 일회용 비밀번호 생성매체의 식별정보 및 상기 공개키에 대해 전자서명한 인증기관 전자서명값을 생성하는 제14 단계와, (15) 인증기관 서버가, 상기 인증기관 전자서명값과 인증기관 인증서를 서비스 제공기관 서버로 전송하는 제15 단계와, (16) 서비스 제공기관 서버가, 상기 인증기관 전자서명값을 검증하는 제16 단계를 포함한다.

Description

일회용 비밀번호와 서명 패스워드를 이용한 비대칭키 전자 서명 및 인증 방법{Method for Digital Signature and Authenticating the Same Based On Asymmetric-Key Generated by One-Time_Password and Signature Password}
본 발명은 온라인 전자 거래의 비대칭키 전자 서명 및 인증 방법에 관한 것으로서, 좀 더 자세하게는 공인인증서의 사용 없이 일회용 비밀번호만으로 비대칭키에 의한 전자 서명 및 인증이 가능하도록 하는 온라인 전자 거래의 전자 서명 및 인증 방법에 관한 것이다.
전자 거래에 있어서 전자 거래 당사자 본인임을 대면을 통해 확인하는 대면 거래가 아닌 온라인에서의 전자 거래에 있어서는 실제 적법하게 전자 거래의 권한이 있는 본인인지 여부를 확인하는 것과, 전자 거래 메시지의 위변조 방지, 그리고 당사자가 수행한 온라인 전자 거래를 차후에 부인하지 않도록 하는 부인 방지 기능이 구현되어야 한다.
그와 같은 온라인 전자 거래에 있어서의 보안성을 위해서 디지털 인증서 즉 공인인증서가 한국에서 널리 도입되어 사용되고 있으며, 2-팩터 인증 수단으로서 보안카드 또는 일회용 비밀번호 생성매체를 통해 생성된 일회용 비밀번호도 사용되고 있는 실정이다.
그러나 공인인증서는 파일 형태로 저장되어 사용되므로 해킹에서 자유로울 수 없고 공인인증서를 사용하기 위해서는 별도의 플러그인 형태의 프로그램이 개발되어야 하며, 다양한 형태의 통신 기기가 개발되고 있는 실정을 감안할 때 범용성이 떨어지는 단점이 있다.
공인인증서의 활용도를 높이기 위한 종래 기술의 일례로서 2007년 4월 24일에 등록공고된 한국특허 제0710586호에 웹 하드를 이용한 공인인증서 서비스 방법이 개시되어 있다. 그러나 이 선행특허 역시 공인인증서라는 한계에서 벗어나지 못하고 있는 문제점이 있다.
본 발명은 이러한 종래 기술의 문제점을 해결하기 위하여 공인인증서를 통한 전자서명이 아니라 일회용 비밀번호와 서명 패스워드를 이용한 비대칭키 전자 서명 및 인증 방법을 제공하는 것을 목적으로 한다.
본 발명에 의한, 사용자 단말기와, 서비스 제공기관 서버와, 인증기관 서버를 포함하는 환경에서 수행되는 온라인 전자 거래의 비대칭키 전자 서명 및 인증 방법은, (1) 사용자 단말기가, 온라인 전자 거래에 필요한 거래 정보와, 일회용 비밀번호 생성매체에 의해서 생성된 일회용 비밀번호와, 서명 패스워드를 입력받는 제1 단계와, (2) 사용자 단말기가, 상기 서명 패스워드에 기초하여 제2 공개키와 비밀키를 포함하는 비대칭키를 생성하되 제2 공개키 정보에 상기 입력된 일회용 비밀번호와 사용자 식별 정보를 포함하도록 생성하는 제2 단계와, (3) 사용자 단말기가, 상기 거래 정보에 기초한 전자 거래 메시지에 대해서 전자 서명을 수행하여 사용자 전자 서명값을 생성하는 제3 단계와, (4) 사용자 단말기가, 사용자 인증값을 생성하는 제4 단계와, (5) 사용자 단말기가, 사용자 전자 서명값과, 전자 거래 메시지와, 상기 사용자 인증값과, 상기 제2 공개키를 서비스 제공기관 서버로 전송하는 제5 단계와, (6) 서비스 제공기관 서버가, 상기 사용자 전자 서명값을 검증하는 제6 단계와, (7) 서비스 제공기관 서버가, 상기 제2 공개키 정보에 포함되어 있는 사용자 식별 정보로부터 일회용 비밀번호 생성매체의 식별정보를 획득하는 제7 단계와, (8) 서비스 제공기관 서버가, 상기 일회용 비밀번호 생성매체의 식별정보와, 상기 제2 공개키 정보 및 상기 사용자 인증값을 인증기관 서버로 전송하는 제8 단계와, (9) 인증기관 서버가, 상기 일회용 비밀번호 생성매체의 식별정보에 기초하여 비교대상 일회용 비밀번호를 생성하는 제9 단계와, (10) 인증기관 서버가, 상기 일회용 비밀번호 생성매체의 식별정보로부터 비교대상 사용자 인증값을 생성하는 제10 단계와, (11) 인증기관 서버가, 상기 일회용 비밀번호 생성매체의 식별정보로부터 제1 공개키 정보를 획득하는 제11 단계와, (12) 인증기관 서버가, 상기 비교대상 사용자 인증값과 제8 단계에서 전송받은 사용자 인증값을 비교하는 제12 단계와, (13) 인증기관 서버가, 상기 비교대상 일회용 비밀번호가 제8 단계에서 전송받은 상기 제2 공개키 정보에 포함되어 있는지를 확인하는 제13 단계와, (14) 인증기관 서버가, 상기 일회용 비밀번호 생성매체의 식별정보 및 상기 제1 및 제2 공개키에 대해 전자서명한 인증기관 전자서명값을 생성하는 제14 단계와, (15) 인증기관 서버가, 상기 인증기관 전자서명값과 인증기관 인증서를 서비스 제공기관 서버로 전송하는 제15 단계와, (16) 서비스 제공기관 서버가, 상기 인증기관 전자서명값을 검증하는 제16 단계를 포함한다.
그리고 서비스 제공기관 서버가, 사전에 사용자 식별 정보와, 일회용 비밀번호 생성매체의 식별 정보와, 서비스 제공기관에 사용자가 등록한 서명 패스워드의 인증값 및 제1 공개키 정보를 인증기관 서버로 전송하는 제17 단계를 더 포함할 수 있다.
본 발명의 양호한 실시예에서는 사용자 인증값은, 사용자 식별 정보와, 제1 단계에서 입력받은 서명 패스워드의 인증값과, 제1 공개키 정보와, 제2 공개키 정보를 해쉬한 값이다. 그리고 비교대상 사용자 인증값은, 제17 단계에서 전송받은 서명 패스워드 인증값과, 제11 단계에서 획득한 제1 공개키 정보와, 제8 단계에서 전송받은 제2 공개키 정보를 해쉬한 값이다.
그리고 제1 공개키 정보는, 서명 패스워드에 기초하여 결정적 난수 발생 함수에 의해서 생성되는 정보인 것이 바람직하다.
본 발명의 다른 형태에 의하면, 사용자 식별 정보(USERID)와 인증기관 서버가 생성한 랜덤값(Salt)을, 서명 패스워드와 함께 비대칭키 생성에 사용할 수 있다.
본 발명의 바람직한 실시예에 의하면, 제2 공개키 정보는, 사용자 식별 정보와, 일회용 비밀번호 생성매체에 의해서 생성되어 입력된 일회용 비밀번호와, 시간 정보와, 홀수인 랜덤값을 포함할 수 있다.
본 발명에 의하면 공인인증서를 이용할 필요없이 일회용 비밀번호와 서명 패스워드만을 이용하여 비대칭키 전자서명 및 인증이 가능하게 되며, 위조불가능성, 부인 방지 기능, 무결성 등이 담보되는 강력하고도 간편한 온라인 전자 거래 등의 전자 서명 방법이 제공되는 효과가 있다.
도 1은 본 발명에 의한 전자 서명 및 인증 방법의 전체 흐름도.
이하에서는 첨부 도면을 참조하여 본 발명의 양호한 실시예에 대해서 설명한다. 이하의 설명에서 사용하는 용어 및 설명은 예시적이며 비제한적인 의미로 해석되어야 하며 이하의 설명에 본 발명의 실시형태가 제한되는 것으로는 어떤 방식으로도 해석되어서는 아니된다. 그리고 본 명세서에서는 RSA 전자서명 방식에 대해서 설명하지만, 그 이외에 DSA, ECDSA, Elgamal 전자서명 알고리즘에도 적용가능하다는 점이 분명히 이해되어야 한다. 또한, 본 명세서에 명시한 RSA 전자 서명 방식도 다른 방식으로 적용 가능하다는 점 또한 이해되어야 한다.
도 1에는 본 발명에 의한 전자 서명 및 인증 방법의 전체 흐름도가 도시되어 있다. 본 발명에 의한, 온라인 전자 거래의 비대칭키 전자 서명 및 인증 방법이 수행되는 환경은, 사용자(10)와, 서비스 제공기관 서버(20)와, 인증기관 서버(30)를 포함한다. 사용자(10)는 실제로는 사용자가 전자적 데이터를 입력하고 처리할 수 있는 컴퓨터와 같은 단말기를 의미하며, 본 명세서에서 사용자와 사용자 단말기는 도면부호 "10"으로 함께 지칭하기로 한다. 서비스 제공기관 서버(20)는 은행이나 증권회사와 같은 금융기관에 의해 관리되며, 데이터를 처리하고 통신망을 통해 데이터를 타 장치로 전송할 수 있는 전자적 연산 장치를 의미하지만, 서비스 제공기관이 반드시 금융기관으로 제한되는 것은 아니며, 본 발명에 의한 전자 서명 및 인증이 이용될 수 있는 전자 거래 서비스를 제공하는 기관이라면 그 종류에 제한이 없다. 인증기관 서버(30)는, 사용자(10)가 전자 거래를 위해 입력한 정보에 대한 전자 서명 등을 인증하는 인증기관에 의해 관리되며, 데이터를 처리하고 통신망을 통해 데이터를 타 장치로 전송할 수 있는 전자적 연산 장치를 의미한다. 그리고 본 명세서에서 "전자 거래"라 함은, 서비스 제공기관이 사용자에게 온라인을 통하여 제공하는 전자적 처리를 통한 서비스를 의미하며 그 종류에 제한이 없다.
이들 각각의 구성요소는 데이터 통신이 가능한 통신 네트워크에 의해서 서로간의 데이터 통신이 가능하며, 본 명세서에서 설명되는 데이터 전송 과정은 암호화된 채널(예를 들어, SSL/TLS)을 통해서 이루어지는 것이 바람직하다.
사용자는 먼저 서비스제공기관을 방문하여 본 발명에 의한 비대칭키 전자 서명 및 인증 방법을 이용할 것임을 확인하고, 일회용 비밀번호 사용등록 및 서명 패스워드를 등록한다.(100) "서명 패스워드"는 사용자만 알고 있는 일종의 비밀번호로서 후술하는 바와 같이 일회용 비밀번호와 함께 비대칭키 생성에 파라미터로서 이용된다.
서비스 제공기관 서버(20)는 서명 패스워드의 인증값을 생성하고, 이를 사용자 식별정보와, 사용자에 대해 매칭되는 일회용 비밀번호 생성매체의 식별정보와, 사용자 공개키의 제1 공개키 정보와 함께 인증기관 서버(30)로 전송한다. 서명 패스워드의 인증값은 서명 패스워드의 일방향 해쉬값을 사용할 수 있지만 그 이외에도 인증이 가능한 다른 값을 사용해도 무방하다. 인증기관 서버(30)는 전송받은 상기 정보들을 데이터베이스에 저장하고 관리한다.
본 명세서에서 "제1 공개키 정보"라 함은, 생성되는 공개키의 구성요소에서 고정값을 의미한다. 그리고 "제2 공개키 정보"라 함은, 생성되는 공개키의 구성요소에서 일회용 비밀번호에 연동하여 변화하는 변동값으로서 검증키 역할을 하는 요소를 의미한다.
좀 더 자세하게는 아래와 같은 RSA 방식의 키 생성으로 예를 들어 설명할 수 있다.
p = GeneratePrime(서명 패스워드)
q = GeneratePrime(p│서명 패스워드)
n (제1 공개키 정보) = pq
Φ(n) = (p-1)(q-1)
e (제2 공개키 정보) = USERID(사용자 식별정보)│00│OTP(일회용 비밀번호)│00│time (시간정보)│00│random(랜덤값) (odd number)
if (gcd (e, Φ(n)) ≠1 ) regenerate e'
d (개인키의 구성요소로서 서명키의 역할) = e-1mod Φ(n)
p, q는 소수로서 서명 패스워드에 기초하여 결정적 난수 발생 함수에 의해서 생성된다. 서명 패스워드에 기초하여 결정적 난수 발생 함수에 의해 발생되기 때문에 제1 공개키 정보는 특정 서명 패스워드에 대해서 고정값으로 유지될 수 있다.
본 발명에 의한 비대칭키 생성에 있어서, 서명 패스워드에 추가하여 사용자 식별정보(USERID)와 인증기관 서버(30)가 생성하여 사용자에게 제공한 랜덤값(Salt)을 함께 사용할 수 있다. 즉 결정적 난수 발생 함수에 의해서 p, q를 생성할 때 사용자 식별정보(USERID)와 랜덤값(Salt)을 서명 패스워드와 함께 사용할 수 있다.
온라인 전자 거래를 하고자 하는 사용자는 사용자 단말기(10)를 통해 전자 거래에 필요한 거래 정보를 입력한다.(115) 그리고 소지하고 있는 일회용 비밀번호 생성매체에 의해서 일회용 비밀번호를 생성하고 서비스제공기관에 등록한 서명 패스워드를 사용자 단말기(10)에 입력한다.(120) 일회용 비밀번호 생성매체는 일회용 비밀번호를 현출하는 하드웨어일 수도 있고 컴퓨터나 스마트 폰 등에 설치되어 있는 일회용 비밀번호 생성 소프트웨어일 수도 있으며 그 종류에 제한은 없다.
사용자 단말기(10)는 입력된 일회용 비밀번호와 서명 패스워드에 기초하여 전술한 RSA 방식으로 비대칭키를 생성한다. 그리고 전자 거래 메시지(M)에 대한 사용자 전자서명값(S = SignRSA(M, n, d))과, 사용자 인증값(X=Hash1(USERID (사용자 식별정보)│서명 패스워드 인증값 (Hash2(서명 패스워드))│n(제1 공개키 정보)│e(제2 공개키 정보)))을 생성한다.(125) Hash1과 Hash2는 서로 다른 해쉬 함수인 것이 보안을 위해 바람직하다.
다음으로 사용자 단말기(10)는, 전자 거래 메시지(M)와, 사용자 전자서명값(S)과, 제1 공개키 정보(n)와, 제2 공개키 정보(e)를 서비스 제공기관 서버(20)로 전송한다.(130)
서비스 제공기관 서버(20)는 사용자 전자서명값(S)을 검증하고(135), 제2 공개키 정보(e)로부터 사용자 식별정보를 획득한다.(140)
다음으로 서비스 제공기관 서버(20)는, 사용자 식별정보로부터 해당 사용자에 대해 매칭되어 있는 일회용 비밀번호 생성매체의 식별정보를 획득한다.(145)
단계(135)에서 사용자 전자서명값(S)의 검증에 성공하면, 일회용 비밀번호 생성매체의 식별정보와, 제2 공개키 정보(e)와, 사용자 인증값(X)을 인증기관 서버(30)로 전송한다.
인증기관 서버(30)는, 전송받은 일회용 비밀번호 생성매체의 식별정보에 기초하여 비교대상 일회용 비밀번호(OTP')를 생성하고, 일회용 비밀번호 생성매체의 식별정보로부터 사용자 식별 정보와 서명 패스워드 인증값을 획득하고, 일회용 비밀번호 생성매체의 식별정보로부터 제1 공개키 정보(n)를 획득한다.(155) 그리고 인증기관 서버(30)는, 사용자 식별 정보(USERID)와, 서비스 제공기관 서버(20)로부터 전송받은 제2 공개키 정보(e)와, 단계(155)에서 획득한 서명 패스워드 인증값 및 제1 공개키 정보(n)에 기초하여 비교대상 사용자 인증값(X')을 생성한다.(160)
또한, 단계(155)에서 획득한 비교대상 일회용 비밀번호(OTP')가 단계(150)에서 전송받은 제2 공개키 정보(e)에 포함되어 있는지를 확인한다.(165)
단계(160, 165)의 비교 결과 인증에 성공하면, 인증기관 서버(30)는 인증기관 전자서명값(Sa=Sign(OTPSerial(일회용 비밀번호 생성매체 식별정보│n(제1 공개키 정보)│e(제2 공개키 정보)))를 생성한다.
그리고 인증기관 전자서명값(Sa)와 인증기관의 인증서를 서비스 제공기관 서버(20)로 전송한다.(175) 서비스 제공기관 서버(20)는 인증기관 전자서명값(Sa)을 검증하고(180), 검증에 성공하면 전자 거래 메시지(M)와, 사용자 전자서명값(S)과, 사용자 공개키(n, e)와, 인증기관 전자서명값(Sa)과, 인증기관 인증서를 저장한다.
위와 같은 본 발명에 의하면, 공격자가 스니핑(sniffing) 등을 통해 공개키 정보(n, e)를 획득하더라도 정당한 서명값을 생성하기 위해 필요한, p, q, Φ(n), d에 대한 정보를 획득할 수 없기 때문에 위조가 불가능하다.
그리고 중간자 공격이나 일회용 비밀번호 생성매체의 분실 도난, 악의적인 신뢰기관에 의해서 공격자에게 알려지는 경우에도, 서명 패스워드를 알지 못하면 비대칭키의 파라미터를 생성할 수 없으므로 전자서명을 위조할 수 없다.
나아가 비록 서명 패스워드가 누출되더라도, 인증기관과 동일한 일회용 비밀번호값을 생성해야 하는데 공격자가 얻을 수 있는 일회용 비밀번호는 이미 사용된 값으로서 더 이상 정당한 값이 아니므로 위조 불가능하다.
본 발명과 같이 일회용 비밀번호에 기초하여 비대칭키 전자 서명 및 인증 방법을 이용하면, 공인인증서 없이 일회용 비밀번호만으로도 전자서명이 가능하므로 별도의 플러그인을 설치할 필요없이 자바스크립트만으로도 구현이 가능해진다. 결국, 웹 브라우저의 플러그인 설치가 지원되지 않는 스마트폰, 스마트패드, 스마트TV 등 다양한 웹 통신 기기에 적용이 가능한 장점이 있다.
이상 첨부 도면을 참조하여 본 발명에 대해서 설명하였지만 본 발명의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시예 및/또는 도면에 제한되는 것으로 해석되어서는 아니된다. 그리고 특허청구범위에 기재된 발명의, 당업자에게 자명한 개량, 변경 및 수정도 본 발명의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.
10: 사용자 단말기
20: 서비스 제공기관 서버
30: 인증기관 서버

Claims (12)

  1. 사용자 단말기와, 서비스 제공기관 서버와, 인증기관 서버를 포함하는 환경에서 수행되는 온라인 전자 거래의 비대칭키 전자 서명 및 인증 방법에 있어서,
    사용자 단말기가, 온라인 전자 거래에 필요한 거래 정보와, 일회용 비밀번호 생성매체에 의해서 생성된 일회용 비밀번호와, 서명 패스워드를 입력받는 제1 단계와,
    사용자 단말기가, 상기 서명 패스워드에 기초하여 제2 공개키와 비밀키를 포함하는 비대칭키를 생성하되 제2 공개키 정보에 상기 입력된 일회용 비밀번호와 사용자 식별 정보를 포함하도록 생성하는 제2 단계와,
    사용자 단말기가, 상기 거래 정보에 기초한 전자 거래 메시지에 대해서 전자 서명을 수행하여 사용자 전자 서명값을 생성하는 제3 단계와,
    사용자 단말기가, 사용자 인증값을 생성하는 제4 단계와,
    사용자 단말기가, 사용자 전자 서명값과, 전자 거래 메시지와, 상기 사용자 인증값과, 상기 제2 공개키를 서비스 제공기관 서버로 전송하는 제5 단계와,
    서비스 제공기관 서버가, 상기 사용자 전자 서명값을 검증하는 제6 단계와,
    서비스 제공기관 서버가, 상기 제2 공개키 정보에 포함되어 있는 사용자 식별 정보로부터 일회용 비밀번호 생성매체의 식별정보를 획득하는 제7 단계와,
    서비스 제공기관 서버가, 상기 일회용 비밀번호 생성매체의 식별정보와, 상기 제2 공개키 정보 및 상기 사용자 인증값을 인증기관 서버로 전송하는 제8 단계와,
    인증기관 서버가, 상기 일회용 비밀번호 생성매체의 식별정보에 기초하여 비교대상 일회용 비밀번호를 생성하는 제9 단계와,
    인증기관 서버가, 상기 일회용 비밀번호 생성매체의 식별정보로부터 비교대상 사용자 인증값을 생성하는 제10 단계와,
    인증기관 서버가, 상기 일회용 비밀번호 생성매체의 식별정보로부터 제1 공개키 정보를 획득하는 제11 단계와,
    인증기관 서버가, 상기 비교대상 사용자 인증값과 제8 단계에서 전송받은 사용자 인증값을 비교하는 제12 단계와,
    인증기관 서버가, 상기 비교대상 일회용 비밀번호가 제8 단계에서 전송받은 상기 제2 공개키 정보에 포함되어 있는지를 확인하는 제13 단계와,
    인증기관 서버가, 상기 일회용 비밀번호 생성매체의 식별정보 및 상기 제1 및 제2 공개키에 대해 전자서명한 인증기관 전자서명값을 생성하는 제14 단계와,
    인증기관 서버가, 상기 인증기관 전자서명값과 인증기관 인증서를 서비스 제공기관 서버로 전송하는 제15 단계와,
    서비스 제공기관 서버가, 상기 인증기관 전자서명값을 검증하는 제16 단계를 포함하는,
    온라인 전자 거래의 비대칭키 전자 서명 및 인증 방법.
  2. 청구항 1에 있어서,
    서비스 제공기관 서버가, 사전에 사용자 식별 정보와, 서비스 제공기관에 사용자가 등록한 서명 패스워드의 인증값과, 일회용 비밀번호 생성 매체의 식별 정보와, 제1 공개키 정보를 인증기관 서버로 전송하는 제17 단계를 더 포함하는,
    온라인 전자 거래의 비대칭키 전자 서명 및 인증 방법.
  3. 청구항 2에 있어서,
    사용자 인증값은, 사용자 식별 정보와, 서명 패스워드의 인증값과, 제1 공개키 정보와, 제2 공개키 정보를 해쉬한 값이며,
    비교대상 사용자 인증값은, 사용자 식별 정보와, 제17 단계에서 전송받은 서명 패스워드 인증값과, 제11 단계에서 획득한 제1 공개키 정보와, 제8 단계에서 전송받은 제2 공개키 정보를 해쉬한 값인,
    온라인 전자 거래의 비대칭키 전자 서명 및 인증 방법.
  4. 청구항 2 또는 청구항 3에 있어서,
    제1 공개키 정보는, 서명 패스워드에 기초하여 결정적 난수 발생 함수에 의해서 생성되는 정보인,
    온라인 전자 거래의 비대칭키 전자 서명 및 인증 방법.
  5. 청구항 3에 있어서,
    사용자 식별 정보와 인증기관 서버가 생성한 랜덤값을, 서명 패스워드와 함께 비대칭키 생성에 사용하는,
    온라인 전자 거래의 비대칭키 전자 서명 및 인증 방법.
  6. 청구항 3에 있어서,
    제2 공개키 정보는, 사용자 식별 정보와, 일회용 비밀번호 생성매체에 의해서 생성되어 입력된 일회용 비밀번호와, 시간 정보와, 랜덤값을 포함하는,
    온라인 전자 거래의 비대칭키 전자 서명 및 인증 방법.
  7. 사용자 단말기와, 서비스 제공기관 서버와, 인증기관 서버를 포함하는 환경에서 수행되는 온라인 전자 거래의 비대칭키 전자 서명 방법에 있어서,
    사용자 단말기가, 온라인 전자 거래에 필요한 거래 정보와, 일회용 비밀번호 생성매체에 의해서 생성된 일회용 비밀번호와, 서명 패스워드를 입력받는 제1 단계와,
    사용자 단말기가, 상기 서명 패스워드에 기초하여 제2 공개키와 비밀키를 포함하는 비대칭키를 생성하되 제2 공개키 정보에 상기 입력된 일회용 비밀번호와 사용자 식별 정보를 포함하도록 생성하는 제2 단계와,
    사용자 단말기가, 상기 거래 정보에 기초한 전자 거래 메시지에 대해서 전자 서명을 수행하여 사용자 전자 서명값을 생성하는 제3 단계와,
    사용자 단말기가, 사용자 인증값을 생성하는 제4 단계와,
    사용자 단말기가, 사용자 전자 서명값과, 전자 거래 메시지와, 상기 사용자 인증값과, 상기 제2 공개키를 서비스 제공기관 서버로 전송하는 제5 단계를 포함하는,
    온라인 전자 거래의 비대칭키 전자 서명 방법.
  8. 삭제
  9. 청구항 7에 있어서,
    상기 사용자 인증값은, 사용자 식별 정보와, 제1 단계에서 입력받은 서명 패스워드의 인증값과, 제1 공개키 정보와, 제2 공개키 정보를 해쉬한 값인,
    온라인 전자 거래의 비대칭키 전자 서명 방법.
  10. 청구항 9에 있어서,
    제1 공개키 정보는, 서명 패스워드에 기초하여 결정적 난수 발생 함수에 의해서 생성되는 정보인,
    온라인 전자 거래의 비대칭키 전자 서명 방법.
  11. 청구항 10에 있어서,
    사용자 식별 정보와 인증기관 서버가 생성한 랜덤값을, 서명 패스워드와 함께 비대칭키 생성에 사용하는,
    온라인 전자 거래의 비대칭키 전자 서명 방법.
  12. 청구항 11에 있어서,
    제2 공개키 정보는, 사용자 식별 정보와, 일회용 비밀번호 생성매체에 의해서 생성되어 입력된 일회용 비밀번호와, 시간 정보와, 랜덤값을 포함하는,
    온라인 전자 거래의 비대칭키 전자 서명 방법.
KR1020130090588A 2013-07-31 2013-07-31 일회용 비밀번호와 서명 패스워드를 이용한 비대칭키 전자 서명 및 인증 방법 KR101371054B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130090588A KR101371054B1 (ko) 2013-07-31 2013-07-31 일회용 비밀번호와 서명 패스워드를 이용한 비대칭키 전자 서명 및 인증 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130090588A KR101371054B1 (ko) 2013-07-31 2013-07-31 일회용 비밀번호와 서명 패스워드를 이용한 비대칭키 전자 서명 및 인증 방법

Publications (1)

Publication Number Publication Date
KR101371054B1 true KR101371054B1 (ko) 2014-03-07

Family

ID=50647746

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130090588A KR101371054B1 (ko) 2013-07-31 2013-07-31 일회용 비밀번호와 서명 패스워드를 이용한 비대칭키 전자 서명 및 인증 방법

Country Status (1)

Country Link
KR (1) KR101371054B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180002370A (ko) * 2016-06-29 2018-01-08 이니텍(주) 키 저장 및 인증 모듈을 포함하는 사용자 단말기에서 온라인 서비스를 이용할 때에 본인 확인 및 부인 방지 기능을 수행하는 방법
CN109076080A (zh) * 2016-04-25 2018-12-21 株式会社电子暴风 认证方法及系统
CN111641605A (zh) * 2020-05-16 2020-09-08 中信银行股份有限公司 基于动态口令的电子签章方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090061915A (ko) * 2007-12-12 2009-06-17 한국전자통신연구원 일회용 패스워드를 이용한 신뢰성 있는 통신 시스템 및방법
KR20100109008A (ko) * 2009-03-31 2010-10-08 루멘소프트 (주) 양방향 통신이 가능한 매체에서의 일회용 비밀번호 생성 시스템 및 그 전달 방법
KR20100135617A (ko) * 2009-06-17 2010-12-27 에스케이 텔레콤주식회사 일회용 비밀번호를 이용한 전자상거래 결제방법 및 이를 이용한 시스템
KR101205863B1 (ko) * 2011-02-15 2012-12-03 동서대학교산학협력단 Qr코드와 모바일 otp를 이용한 온라인 계좌이체시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090061915A (ko) * 2007-12-12 2009-06-17 한국전자통신연구원 일회용 패스워드를 이용한 신뢰성 있는 통신 시스템 및방법
KR20100109008A (ko) * 2009-03-31 2010-10-08 루멘소프트 (주) 양방향 통신이 가능한 매체에서의 일회용 비밀번호 생성 시스템 및 그 전달 방법
KR20100135617A (ko) * 2009-06-17 2010-12-27 에스케이 텔레콤주식회사 일회용 비밀번호를 이용한 전자상거래 결제방법 및 이를 이용한 시스템
KR101205863B1 (ko) * 2011-02-15 2012-12-03 동서대학교산학협력단 Qr코드와 모바일 otp를 이용한 온라인 계좌이체시스템 및 방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109076080A (zh) * 2016-04-25 2018-12-21 株式会社电子暴风 认证方法及系统
CN109076080B (zh) * 2016-04-25 2021-11-23 株式会社电子暴风 认证方法及系统
KR20180002370A (ko) * 2016-06-29 2018-01-08 이니텍(주) 키 저장 및 인증 모듈을 포함하는 사용자 단말기에서 온라인 서비스를 이용할 때에 본인 확인 및 부인 방지 기능을 수행하는 방법
CN111641605A (zh) * 2020-05-16 2020-09-08 中信银行股份有限公司 基于动态口令的电子签章方法及系统
CN111641605B (zh) * 2020-05-16 2022-04-15 中信银行股份有限公司 基于动态口令的电子签章方法及系统

Similar Documents

Publication Publication Date Title
AU2022224799B2 (en) Methods for secure cryptogram generation
US11757662B2 (en) Confidential authentication and provisioning
US10382427B2 (en) Single sign on with multiple authentication factors
US9838205B2 (en) Network authentication method for secure electronic transactions
US9231925B1 (en) Network authentication method for secure electronic transactions
JP4879176B2 (ja) ワンタイム秘密鍵を用いたデジタル署名を実装するためのシステムおよび方法
US10291567B2 (en) System and method for resetting passwords on electronic devices
GB2434724A (en) Secure transactions using authentication tokens based on a device "fingerprint" derived from its physical parameters
CN104038486A (zh) 一种基于标识型密码实现用户登录鉴别的系统及方法
US20190007218A1 (en) Second dynamic authentication of an electronic signature using a secure hardware module
Pratama et al. 2FMA-NetBank: A proposed two factor and mutual authentication scheme for efficient and secure internet banking
KR101371054B1 (ko) 일회용 비밀번호와 서명 패스워드를 이용한 비대칭키 전자 서명 및 인증 방법
KR100529594B1 (ko) 서로 다른 인증 도메인에서 공개키를 검증하기 위한 방법
JP2018148293A (ja) クレデンシャル生成システム及び方法、クライアント端末、サーバ装置、発行依頼装置、クレデンシャル発行装置並びにプログラム
Serb et al. A Certificate–Based Signature Scheme for Secure Mobile Communications

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170111

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171222

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200102

Year of fee payment: 7