KR101502481B1 - 스마트폰 뱅킹시스템의 인증방법 - Google Patents

스마트폰 뱅킹시스템의 인증방법 Download PDF

Info

Publication number
KR101502481B1
KR101502481B1 KR1020130014639A KR20130014639A KR101502481B1 KR 101502481 B1 KR101502481 B1 KR 101502481B1 KR 1020130014639 A KR1020130014639 A KR 1020130014639A KR 20130014639 A KR20130014639 A KR 20130014639A KR 101502481 B1 KR101502481 B1 KR 101502481B1
Authority
KR
South Korea
Prior art keywords
user
axis motion
smartphone
motion value
registered
Prior art date
Application number
KR1020130014639A
Other languages
English (en)
Other versions
KR20140101504A (ko
Inventor
이훈재
조상일
송종근
장원태
Original Assignee
동서대학교산학협력단
(주)리얼시큐
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 동서대학교산학협력단, (주)리얼시큐 filed Critical 동서대학교산학협력단
Priority to KR1020130014639A priority Critical patent/KR101502481B1/ko
Publication of KR20140101504A publication Critical patent/KR20140101504A/ko
Application granted granted Critical
Publication of KR101502481B1 publication Critical patent/KR101502481B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/02Banking, e.g. interest calculation or account maintenance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/68Gesture-dependent or behaviour-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • Finance (AREA)
  • General Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Technology Law (AREA)
  • Strategic Management (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Economics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephone Function (AREA)

Abstract

본 발명에서는 스마트폰을 이용하여 뱅킹서비스를 이용하는 과정에서 로그인(Log-in)방식 및 공인인증서와 더불어 뱅킹서비스 이용을 위한 애플리케이션(Application) 설정시 스마트폰에 장착된 자이로센서(Gyro Sensor)의 X,Y,Z의 3개 축에 대한 임의의 모션값을 패스워드(Motion Password)로 설정할 수 있도록 함으로써 개인 정보의 유출을 방지 및 보호할 수 있도록 한 새로운 스마트폰 뱅킹시스템의 인증방법이 개시된다.
본 발명은 로그인정보 및 공인인증서의 검증에 의하여 접근권한이 부여된 상태에서 사용자가 앱설정을 통하여 미리 등록한 자이로 센서의 3축에 대한 임의의 3축 모션값과 은행사이트의 3축 모션값DB에 저장된 3축 모션값을 비교하여 2개의 3축 모션값이 서로 일치하는 경우 최종 인증성공 메시지를 사용자에게 알리면서 이후의 뱅킹서비스가 이루어질 수 있도록 하는 것이다.

Description

스마트폰 뱅킹시스템의 인증방법{Method of authentication in banking sytem using smartphone}
본 발명은 스마트폰 뱅킹(Banking)시스템의 인증방법에 관한 것으로, 더욱 상세하게는 스마트폰을 이용하여 뱅킹서비스를 이용하는 과정에서 로그인(Log-in)방식 및 공인인증서와 더불어 뱅킹서비스를 이용하기 위한 애플리케이션(Application) 설정시 사용자의 스마트폰에 장착된 자이로센서(Gyro Sensor)의 X,Y,Z의 3개 축에 대한 임의의 모션값을 패스워드(Motion Password)로 설정등록할 수 있도록 함으로써 개인 정보의 유출을 방지 및 보호할 수 있도록 한 스마트폰 뱅킹시스템의 인증방법에 관한 것이다.
최근, 스마트폰의 보급이 크게 늘어남에 따라 휴대하고 다니면서 언제 어디서든 인터넷에 접속하여 편리하고 신속하게 접근할 수 있다는 장점 때문에 스마트폰을 이용한 모바일(Mobile) 뱅킹서비스 이용 건수가 폭발적으로 증가하고 있다.
상기의 스마트폰을 포함한 각종 모바일 단말을 이용한 인터넷뱅킹이나 쇼핑몰 결제 등과 같은 뱅킹서비스는 모바일네트워크(Mobile network) 환경에서 이루어짐에 따라 일반 PC(Personal Computer)와 마찬가지로 사용자가 원하는 애플리케이션(Application) 프로그램을 자유롭게 다운로드 받아 설치하기 때문에 일반 PC와 동일하게 악성코드가 내장된 프로그램에 의해 해킹이 될 수 있다는 정보 보안 및 프라이버시에 대한 취약성이 존재한다.
통상적으로, 네트워크상에는 존재하는 웹서버에 소정의 사용자가 스마트폰이나 PC 등의 단말을 통해 접속하는 경우, 상기 접속한 사용자가 정당한 사용자임을 인증한 후, 상기 사용자의 요청에 의해 상기 사용자 단말로 미리 정의된 소정의 절차에 따라 다양한 종류의 정보 제공 및/또는 서비스 제공을 실시하게 된다.
상기와 같은 네트워크상의 웹서버에서 사용자를 인증하기 위한 보편화된 인증방법으로는 사용자의 회원가입 절차에 따라 상기 웹서버에 등록된 ID/PW와 접속한 사용자의 ID/PW를 비교하여 정당한 사용자임을 인증하는 방법과, 인터넷뱅킹서버 또는 결제서버 같이 보다 높은 수준의 보안성이 요구되는 웹서버에서 소정의 공인인증서를 기반으로 공인된 인증기관을 통해 정당한 사용자임을 인증하는 방법 등을 포함한다.
그러나, 상기한 ID/PW만을 이용하여 정당한 사용자임을 인증하는 방법에서는 타인의 ID/PW를 부정한 방법으로 획득하여 접속하는 경우에도 정당한 사용자로 잘 못 인증할 수 있다는 문제점이 있으며, 정상적인 ID/PW일지라도 네트워크상에서 비교적 널리 보급된 스니핑(Sniffing)수단 및/또는 스푸핑(Spoofing)수단 및/또는 키 스트로크(Key Stroke)수단을 통한 ID/PW의 해킹(Hacking) 또는 피싱(Phishing)을 통한 ID/PW의 불법적 획득 등에 의해 불법적으로 도용되어 악용되는 문제가 있다.
또한, 상기 공인인증서를 통한 인증방법의 경우에, 상기 공인인증서 발급 절차에 의해 부정한 사용자 인증을 회피하고, 공인인증서의 암호화 기술에 의하여 네트워크상에서 불법적으로 접근하는 스니핑수단 및/또는 스푸핑수단을 이용한 해킹은 회피할 수 있으나, 네트워크상의 웹서버 접속과 사용자인증이 단일 사용자 단말에서 이루어지는 한, 키 스트로크수단을 이용한 해킹과 피싱을 통한 공인인증서 비밀번호의 불법적 획득은 방지할 수 없다는 보안상의 취약성이 상존하는 것이다.
이와 같은 보안상의 취약성을 극복하기 위하여 기밀성(Confidentiality), 인증성(Authentication), 무결성(Integrity)이 요구되며, 인증수단으로는 공인인증서 이외에 OTP(One Time Password) 또는 생체정보를 이용하는 방안이 활발하게 적용되고 있다.
그러나, 스마트폰의 경우 플랫폼(운영체제 및 하드웨어 환경)이 오픈된 일반 PC(Personal Computer)와는 달리 각 스마트폰 제조사별로 플랫폼이 독립적이고 다양해서 기존 PC에 적용된 상기 각종 보안프로그램을 스마트폰에 적합한 형태로 변환하기 어렵거나 근본적으로 보안프로그램 적용이 불가능한 경우가 많다.
이에 따라 스마트폰 뱅킹의 보안을 위하여 기존 PC를 이용한 인터넷뱅킹시에 적용되는 백신프로그램, 키보드보안프로그램, 피싱(Fishing)방지 프로그램, 방화벽 프로그램 등 각종 보안프로그램들을 스마트폰에 적용하는 것은 한계가 있다.
또한, 상기한 각종 보안프로그램을 스마트폰에 적용하는 경우에, PC와 달리 하드웨어 성능이 제한적인 스마트폰에서 여러가지 보안프로그램을 이중삼중으로 실행하게 되면 속도가 떨어지고 스마트폰을 이용한 뱅킹서비스의 활용성이 크게 떨어지는 문제점이 있다.
또한, 스마트폰에 저장된 공인인증서는 일반 PC에서와 같이 부정한 방법에 의하여 유출될 수 있는 위험성이 있기 때문에 스마트폰 뱅킹의 확산에 걸림돌이 되고 있다.
현재, 국내에서는 인터넷 뱅킹을 이용하기 위해서는 마이크로소프트사(MS社)에서 제공하는 액티브X 기반의 공인 인증서를 사용하여 전자서명을 해야만 뱅킹서비스 및 금융서비스를 이용할 수 있는바, 아직까지 모바일상에서는 액티브X가 제대로 지원되지 않고 있는 실정이다.
이에 따라 각 금융기관에서는 애플리케이션 통한 뱅킹서비스를 실시하고 있는바, 예로서 하나의 은행 애플리케이션을 설치하여 공인인증서를 사용한다면 다른 은행에서는 이 공인인증서에 대한 접근이 불가능하다는 문제가 있다
또, 도 l에서와 같이, 스마트폰 뱅킹 애플리케이션은 각 은행마다 공인인증서의 저장방식이 다르고, 공인인증서가 스마트폰에 저장되거나 또는 해당 은행기기 시스템폴더에 저장하는 방식으로 사용됨에 따라 공인인증서의 관리가 제대로 이루어지지 않는다는 문제가 있다.
또, 스마트폰은 일반 휴대폰과 다르게 무선인터넷 및 외부 인터페이스를 개방하여 제공하고 있는바, 인터페이스 제공에 따라 악성코드 전파경로가 다각화되면서 악성코드가 쉽게 유포되는 것은 물론, 내부 인터페이스는 악의적인 개발자가 모바일 애플리케이션에 악성코드를 쉽게 은닉하여 제작할 수 있는 등 악성코드의 위협이 크게 증대된다는 문제가 있다.
이와 같이 사용자가 스마트폰 뱅킹서비스를 이용하기 위하여 설치한 애플리케이션을 통하여 악성코드가 침투되는 경우, 사용자의 개인 정보가 유출되거나 금전적인 피해를 입을 수 있기 때문에 공인인증서와 함께 미국과 유럽에서 사용하는 SSL(Secure Socket Layer)방식과, 고정된 비밀번호 대신에 매 1분 마다 생성되는 1회용의 다른 비밀번호로 인증하는 OTP(One Time Password)방식이 인증에 적용하고 있다.
상기의 공인인증서와 OTP시스템을 통해 모바일 뱅킹서비스를 이용하는 애플리케이션에서는 다음의 그림 2에서와 같이, 공인인증서 확인 후 스마트폰으로 싱크코드 3자리가 푸시알림을 통해 전송되고, 싱크코드 입력 후 발생되는 6자리의 랜덤코드를 입력하여 인증하는 방식이다.
그러나, 상기한 OTP방식은 사용자 인증을 위하여 기존에 구축되어 있는 인증 서버와의 연동이 어렵고, 사용중인 그룹웨어(Groupwear) 애플리케이션과의 호환성이 떨어지는 것은 물론, 시간 동기화방식인 OTP는 인증서버와 OTP토큰(Token) 사이에 시간 정보를 일치시켜야 하기 때문에 시스템 관리에 많은 노력이 필요하고, 사용자가 많은 환경에서는 부담이 된다는 문제가 있다.
이와 같이 스마트폰 뱅킹서비스를 이용하는 경우의 인증방법을 개선하기 위하여 다양한 솔루션이 개발되고 있으며, 그 일환으로 도난, 분실, 망각 등의 우려가 없이 안전하게 사용할 수 있으며, 별도 제작된 센서가 아닌 스마트폰에 장착된 카메라를 통하여 쉽게 이용할 수 있는 패턴인식 애플리케이션, 생체인식 애플리케이션, 얼굴인식 애플리케이션 같은 새로운 인증 애플리케이션이 개발되고 있다.
그러나, 상기한 얼굴인식 또는 패턴인식을 인증에 이용하는 경우, 조명빛이나 카메라와의 거리에 따라 인식률이 달라지는 것은 물론, 얼굴의 각도, 표정 변화, 살이 찌거나 빠지게 되면서 얼굴의 형태가 달라지면서 인식률에 낮아진다는 문제가 있다.
이 외에 생체정보를 인증에 활용하는 방안이 활발하게 검토중이나 실제 사용이 불편하고, PC에 연결시켜서 서명을 받거나 또는 휴대폰에 센서를 부착하여 서명하도록 하는 3차원 인식기술 등이 개발되고 있으나 센서를 부착해야 하는 번거로움이 있다.
한편, 스마트폰을 이용한 뱅킹시스템에서의 인증방법에 대한 선행기술로서, 대한민국 특허공개 제10-2011-0019173호(명칭:스마트폰과 PC에서 사용할 수 있는 보안토큰장치와 무선모듈 및 인증방법)이 제안되었다.
상기한 특허공개 제10-2011-0019173호의 선행기술은 스마트폰 또는 PC의 하드디스크에 저장된 공인인증서를 사용하지 않고 별도로 마련되는 보안토큰에 저장된 공인인증서를 사용하도록 하여 뱅킹서비스 이용시 공인인증서 유출을 방지할 수 있도록 하는 것이다.
그러나, 상기 선행기술의 경우 스마트폰 외부장치 인터페이스에 연결되는 별도의 보안토큰장치가 마련되어야 하기 때문에 휴대성 및 이용성이 매우 불편하다는 문제가 있다.
본 발명은 이와 같은 종래의 문제점을 해결하기 위한 것으로, 그 목적은 스마트폰을 이용하여 뱅킹서비스를 이용하는 과정에서 로그인(Log-in)방식 및 공인인증서와 더불어 뱅킹서비스 이용을 위한 애플리케이션(Application) 설정시 사용자의 스마트폰에 장착된 자이로센서(Gyro Sensor)의 X,Y,Z 3개 축에 대한 임의의 모션값을 패스워드(Motion Password)로 설정할 수 있도록 함으로써 개인정보의 유출을 방지 및 보호할 수 있도록 한 새로운 스마트폰 뱅킹시스템의 인증방법을 제공하는 것이다.
상기의 목적을 달성하기 위하여, 본 발명은 사용자가 은행사이트에 접속(로그인)하기 위해 스마트폰 뱅킹 애플리케이션을 실행하는 단계; 상기 뱅킹 애플리케이션이 실행되면, 사용자가 회원가입시 등록된 로그인 정보(ID/PW)를 입력하여 접속하는 단계와; 은행사이트에서 사용자DB에 등록된 해당 로그인 정보와 사용자가 입력한 로그인 정보를 비교하여 정당한 사용자인지 여부를 검증하는 단계와; 상기 사용자DB에 등록된 로그인 정보와 사용자가 입력한 로그인 정보가 일치된 상태에서 사용자가 해당 뱅킹 애플리케이션에 대한 앱설정을 통하여 자신의 스마트폰에 장착된 자이로센서의 X,Y,Z의 3축에 대한 임의의 모션값을 입력하고, 은행사이트에서는 사용자가 입력한 상기 임의의 3축 모션값을 3축 모션값DB에 저장하는 단계와; 상기의 뱅킹 애플리케이션의 설정시 사용자의 스마트폰에 장착된 자이로센서의 X,Y,Z축에 대한 사용자의 3축 모션값이 등록된 상태에서 사용자가 입력한 로그인 정보가 사용자DB상의 로그인 정보와 일치하는 경우, 스마트폰 뱅킹 애플리케이션은 스마트폰 운영체제를 통해 받은 공인인증서를 사용자 인터페이스에 출력하는 단계와; 사용자는 공인인증서의 신청시 등록된 비밀번호로 자신의 인터페이스에 표시된 공인 인증서에 전자서명하는 단계와; 은행사이트에서는 사용자가 입력한 전자서명을 미리 등록된 비밀번호와 비교하여 2개의 값이 서로 일치하는 경우 접근권한을 인정하는 단계와; 상기 공인인증서에 의한 접근권한이 인정된 상태에서 은행사이트는 자신의 3축 모션값DB에 저장된 3축 모션값과 사용자가 앱설정을 통하여 미리 입력한 임의의 3축 모션값을 비교하여 2개의 3축 모션값이 서로 일치하는 경우 인증성공 메시지를 사용자에게 알리면서 이후의 뱅킹서비스 내용을 사용자의 인터페이스에 출력하고, 3축 모션값DB에 저장된 3축 모션값과 사용자가 설정한 3축 모션값이 서로 일치하지 않는 경우 인증실패 메시지를 사용자에게 알리고 은행사이트에 대한 접속을 차단하는 단계를 포함하여 구성된다.
본 발명에서 상기 3축 모션값은 X축의 4자리 숫자, Y축의 4자리 숫자, Z축의 2자리 숫자를 합하여 10자리중에서 지정한 4∼6자리로 설정되는 특징을 갖는다.
본 발명에서 상기 3축 모션값은 상기 X,Y,Z축의 지정된 번호가 아닌 0∼9까지의 숫자중에서 자신이 원하는 모션에 따라 정해진 숫자를 입력하는 특징을 갖는다.
본 발명을 적용하면, 스마트폰을 이용하여 뱅킹서비스를 이용하는 과정에서 로그인(Log-in)방식 및 공인인증서를 통하여 뱅킹서비스를 이용하고자 하는 사용자의 접근권한을 1차로 검증한 다음, 사용자가 뱅킹 애플리케이션(Application)에 대한 앱설정시에 미리 등록한 자신의 스마트폰에 장착된 자이로센서(Gyro Sensor)의 X,Y,Z 3개 축에 대한 임의의 모션값에 대하여 2차로 검증한 상태에서 다음의 뱅킹서비스가 이루어지도록 하기 때문에 스마트폰을 이용한 뱅킹서비스시 해킹 또는 분실의 경우 보안적으로 안전성이 향상된다.
또, 자이로 센서의 X,Y,Z 3축에 대한 모션값을 설정할 때, 각각의 축방향 마다 고유의 지정 번호가 아니라 사용자 자신이 직접 방향과 임의의 숫자를 지정하여 설정하기 때문에 안전성이 최대한 보장된다는 효과가 있다.
도 1은 스마트폰 뱅킹 애플리케이션 인증서의 저장방식을 보여주기 위한 도면;
도 2는 종래의 스마트폰을 이용한 모바일 뱅킹 어플리케이션의 동작과정을 보여주기 위한 도면;
도 3은 본 발명에 따른 스마트폰 뱅킹시스템의 인증방법에서의 인증과정을 나타내는 구성도;
도 4는 본 발명에 따른 스마트폰 뱅킹시스템의 인증방법에서의 인증과정을 나타내는 플로우챠트(Flow-chart);
도 5 내지 도 7은 본 발명의 실시예에 따른 스마트폰 뱅킹시스템의 인증방법에서 자이로센서의 3축 모션값을 패스워드로 지정하는 방법을 보여주기 위한 도면이다.
이하, 첨부된 도면에 의하여 본 발명의 바람직한 실시예를 보다 상세하게 설명한다.
본 발명에 따른 스마트폰 뱅킹시스템의 인증방법에서는 ID/PW를 통한 로그인정보와 공인인증서를 통하여 접근권한을 인증하는 전처리과정과, 사용자가 자신의 스마트폰에 장착된 자이로센서의 X,Y,Z 3축에 대하여 임의의 숫자를 이용하여 4∼6자리로 설정한 3축 모션값과 은행사이트의 3축 모션값DB(200)에 저장된 데이터를 비교한 후 인증이 완료되면 차후의 금융거래 서비스를 시작하도록 하는 인식과정으로 구분된다.
이를 도 3 및 도 4를 참조하여 설명하면 다음과 같다.
사용자가 스마트폰을 통하여 뱅킹서비스를 이용하고자 하는 경우, 먼저 회원으로 가입된 은행에서 제공하는 스마트폰 뱅킹 애플리케이션을 실행하고, 상기 뱅킹 애플리케이션이 실행되면, 사용자가 회원가입시 등록된 로그인 정보(ID/PW)를 입력하여 로그인(Log-in)한다.
상기한 로그인과정에서 은행사이트는 자신의 사용자DB(100)에 등록된 해당 로그인 정보와 사용자가 입력한 로그인 정보를 비교하여 정당한 사용자인지 여부를 검증한다.
상기한 로그인정보의 검증을 통하여 상기 사용자DB(100)에 등록된 로그인 정보와 사용자가 입력한 로그인 정보가 일치되면, 사용자는 해당 뱅킹 애플리케이션에 대한 앱설정을 통하여 도 5 내지 도 7에서와 같이 자신의 스마트폰에 장착된 자이로 센서의 X,Y,Z의 3축에 대한 임의의 모션값을 입력하고, 이와 동시에 은행사이트에서는 사용자가 입력한 상기 임의의 3축 모션값을 자신의 3축 모션값DB(200)에 저장한다.
상기의 뱅킹 애플리케이션의 설정과정을 통하여 사용자의 스마트폰에 장착된 자이로센서의 X,Y,Z축에 대한 사용자의 3축 모션값이 미리 등록된 상태에서 사용자가 입력한 로그인 정보가 사용자DB(100)상의 로그인 정보와 일치하는 경우, 스마트폰 뱅킹 애플리케이션은 스마트폰 운영체제를 통해 받은 공인인증서를 사용자 인터페이스에 출력한다.
한편, 사용자는 공인인증서의 신청시 등록된 비밀번호로 자신의 인터페이스에 표시된 공인인증서에 전자서명하고, 은행사이트에서는 사용자가 입력한 전자서명을 미리 등록된 비밀번호와 비교하여 2개의 값이 서로 일치하는 경우 접근권한을 인정한다.
또한, 상기 공인인증서에 의한 접근권한이 인정된 상태에서 은행사이트는 사용자가 앱설정을 통하여 미리 등록한 임의의 3축 모션값과 자신의 3축 모션값DB(200)에 저장된 3축 모션값을 비교하여 2개의 3축 모션값이 서로 일치하는 경우 인증성공 메시지를 사용자에게 알리면서 이후의 뱅킹서비스 내용을 사용자의 인터페이스에 출력한다.
또, 은행사이트는 사용자가 설정한 3축 모션값과 자신의 3축 모션값DB(200)에 저장된 3축 모션값이 서로 일치하지 않는 경우 인증실패 메시지를 사용자에게 알리고 은행사이트에 대한 접속을 차단하는 것이다.
본 발명에서 상기 자이로 센서의 X,Y,Z의 3축 모션값은 도 5에서와 같이 X축의 4자리 숫자, 도 6에서와 같이 Y축의 4자리 숫자, 도 7에서와 같이 Z축의 2자리 숫자를 합한 10자리중에서 4∼6자리로 설정될 수 있다.
본 발명에서 상기 3축 모션값은 상기 X,Y,Z축의 고유의 지정된 번호가 아니라 도 5 내지 도 7에서와 같이 0∼9까지의 숫자중에서 자신이 원하는 모션에 따라 정해진 숫자를 입력할 수 있다.
상기한 스마트폰에 장착되는 자이로 센서는 X, Y, Z 3축의 벡터값을 이용하여 움직임을 감지하는 3축 센서로서, 스마트폰에서는 단말기의 방향을 인식하여 화면을 전환하는 기능으로 사용되고 있는바, 본 발명에서 사용자가 임의로 설정하는 3축 모션값은 실제적으로 단말기의 방향에 따라 화면을 전환해 주는 것이 아니라 또 다른 패스워드로서의 기능을 하게 되는 것이다.
본 발명에서 사용자에 의하여 임의로 설정되는 자이로 센서의 X,Y,Z의 3축에 대한 모션값은 앱설정을 통하여 언제든지 변경할 수 있어 보다 안전하게 사용할 수 있게 된다.
100 : 사용자DB(Data Base) 200: 3축 모션값DB

Claims (3)

  1. 사용자가 은행사이트에 접속(로그인)하기 위해 스마트폰 뱅킹 애플리케이션을 실행하는 단계;
    상기 뱅킹 애플리케이션이 실행되면, 사용자가 회원가입시 등록된 로그인 정보(ID/PW)를 입력하여 접속하는 단계와;
    은행사이트에서 사용자DB(100)에 등록된 해당 로그인 정보와 사용자가 입력한 로그인 정보를 비교하여 정당한 사용자인지 여부를 검증하는 단계와;
    상기 사용자DB(100)에 등록된 로그인 정보와 사용자가 입력한 로그인 정보가 일치된 상태에서 사용자가 해당 뱅킹 애플리케이션에 대한 앱설정을 통하여 자신의 스마트폰에 장착된 자이로센서의 X,Y,Z의 3축에 대한 임의의 모션값을 입력하고, 은행사이트에서는 사용자가 입력한 상기 임의의 3축 모션값을 3축 모션값DB(200)에 저장하는 단계와;
    상기의 뱅킹 애플리케이션의 설정시 사용자의 스마트폰에 장착된 자이로센서의 X,Y,Z축에 대한 사용자의 3축 모션값이 등록된 상태에서 사용자가 입력한 로그인 정보가 사용자DB(100)상의 로그인 정보와 일치하는 경우, 스마트폰 뱅킹 애플리케이션은 스마트폰 운영체제를 통해 받은 공인인증서를 사용자 인터페이스에 출력하는 단계와;
    사용자는 공인인증서의 신청시 등록된 비밀번호로 자신의 인터페이스에 표시된 공인 인증서에 전자서명하는 단계와;
    은행사이트에서는 사용자가 입력한 전자서명을 미리 등록된 비밀번호와 비교하여 2개의 값이 서로 일치하는 경우 접근권한을 인정하는 단계와;
    상기 공인인증서에 의한 접근권한이 인정된 상태에서 은행사이트는 자신의 3축 모션값DB(200)에 저장된 3축 모션값과 사용자가 앱설정을 통하여 미리 설정한 임의의 3축 모션값을 비교하여 2개의 3축 모션값이 서로 일치하는 경우 인증성공 메시지를 사용자에게 알리면서 이후의 뱅킹서비스 내용을 사용자의 인터페이스에 출력하고, 상기 3축 모션값DB(200)에 저장된 3축 모션값과 사용자가 설정한 3축 모션값이 서로 일치하지 않는 경우 인증실패 메시지를 사용자에게 알린 후 은행사이트에 대한 접속을 차단하는 단계를 포함하되,
    상기 3축 모션값은 X축의 4자리 숫자, Y축의 4자리 숫자, Z축의 2자리 숫자를 합하여 10자리 중에서 지정한 4∼6자리로 설정되되, 상기 X, Y, Z축에 대한 고유의 지정번호가 아닌 0∼9까지의 숫자중에서 자신이 원하는 모션에 따라 정해진 숫자를 입력하는 것을 특징으로 하는 스마트폰 뱅킹시스템의 인증방법.
  2. 삭제
  3. 삭제
KR1020130014639A 2013-02-08 2013-02-08 스마트폰 뱅킹시스템의 인증방법 KR101502481B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130014639A KR101502481B1 (ko) 2013-02-08 2013-02-08 스마트폰 뱅킹시스템의 인증방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130014639A KR101502481B1 (ko) 2013-02-08 2013-02-08 스마트폰 뱅킹시스템의 인증방법

Publications (2)

Publication Number Publication Date
KR20140101504A KR20140101504A (ko) 2014-08-20
KR101502481B1 true KR101502481B1 (ko) 2015-03-16

Family

ID=51746823

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130014639A KR101502481B1 (ko) 2013-02-08 2013-02-08 스마트폰 뱅킹시스템의 인증방법

Country Status (1)

Country Link
KR (1) KR101502481B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090112876A (ko) * 2008-04-25 2009-10-29 주식회사 케이티 모션 센서를 이용하는 문자 입력 제공 시스템 및 문자 입력방법
KR20110030515A (ko) * 2011-01-27 2011-03-23 주식회사 스마트솔루션 스마트폰에서 사용할 수 있는 보안토큰 장치 및 인증방법
KR20120078804A (ko) * 2011-01-03 2012-07-11 삼성전자주식회사 휴대 단말기에서 전자 서명을 이용한 사용자 인증 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090112876A (ko) * 2008-04-25 2009-10-29 주식회사 케이티 모션 센서를 이용하는 문자 입력 제공 시스템 및 문자 입력방법
KR20120078804A (ko) * 2011-01-03 2012-07-11 삼성전자주식회사 휴대 단말기에서 전자 서명을 이용한 사용자 인증 방법
KR20110030515A (ko) * 2011-01-27 2011-03-23 주식회사 스마트솔루션 스마트폰에서 사용할 수 있는 보안토큰 장치 및 인증방법

Also Published As

Publication number Publication date
KR20140101504A (ko) 2014-08-20

Similar Documents

Publication Publication Date Title
TWI667585B (zh) 一種基於生物特徵的安全認證方法及裝置
US10885220B2 (en) Secure access to physical and digital assets using authentication key
US10313881B2 (en) System and method of authentication by leveraging mobile devices for expediting user login and registration processes online
US8041954B2 (en) Method and system for providing a secure login solution using one-time passwords
US6732278B2 (en) Apparatus and method for authenticating access to a network resource
KR20170079857A (ko) 출입 통제 방법 및 장치, 사용자 단말, 서버
US20130205380A1 (en) Identity verification
KR101718948B1 (ko) 일회용 난수를 이용하여 인증하는 통합 인증 시스템
CN101202762A (zh) 用于存储和检索身份映射信息的方法和系统
CN112214745A (zh) 经认证的外部生物特征读取器和验证设备
KR101724401B1 (ko) 생체 정보 인식과 키 분할 방식을 이용한 공인인증 시스템 및 그 방법, 그 방법을 수행하는 프로그램이 기록된 기록매체
Park et al. Combined authentication-based multilevel access control in mobile application for DailyLifeService
US20130179944A1 (en) Personal area network (PAN) ID-authenticating systems, apparatus, method
KR20010109175A (ko) 바이오메트릭스정보에 의한 컴퓨터 파일의 이용제한방법,컴퓨터 시스템으로의 로그인방법 및 기록매체
Papaioannou et al. User authentication and authorization for next generation mobile passenger ID devices for land and sea border control
Nath et al. Issues and challenges in two factor authentication algorithms
CA2611549C (en) Method and system for providing a secure login solution using one-time passwords
US20160021102A1 (en) Method and device for authenticating persons
EP3320664B1 (en) Method of authenticating communication of an authentication device and at least one authentication server using local factor
KR20160037520A (ko) 생체 인식 기반의 통합 인증 시스템 및 방법
KR101502481B1 (ko) 스마트폰 뱅킹시스템의 인증방법
Certic The Future of Mobile Security
Sharma Location based authentication
KR20110110964A (ko) 서비스 잠금 기능을 제공하는 방법 및 그 서버
KR20230063424A (ko) 개인정보의 유출을 방지하여 보안성이 우수한 스마트폰 뱅킹시스템의 인증방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180302

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190304

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200302

Year of fee payment: 6