KR101547304B1 - Apparatus for security authentication using smart OTP - Google Patents
Apparatus for security authentication using smart OTP Download PDFInfo
- Publication number
- KR101547304B1 KR101547304B1 KR1020140183078A KR20140183078A KR101547304B1 KR 101547304 B1 KR101547304 B1 KR 101547304B1 KR 1020140183078 A KR1020140183078 A KR 1020140183078A KR 20140183078 A KR20140183078 A KR 20140183078A KR 101547304 B1 KR101547304 B1 KR 101547304B1
- Authority
- KR
- South Korea
- Prior art keywords
- otp
- server
- card
- generated
- generation
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4016—Transaction verification involving fraud or risk level assessment in transaction processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/305—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wired telephone networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3223—Realising banking transactions through M-devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3823—Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/386—Payment protocols; Details thereof using messaging services or messaging apps
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/407—Cancellation of a transaction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Finance (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Description
본 발명은 스마트 OTP 보안 인증 장치 및 그 동작 방법으로서, 스마트폰에 태깅되는 OTP 카드를 이용하여 OTP 보안 인증을 수행하는 장치 및 보안 인증 방법에 관한 것이다.
The present invention relates to a smart OTP security authentication device and an operation method thereof, and relates to a device and a security authentication method for performing OTP security authentication using an OTP card tagged in a smart phone.
일반적으로 인터넷 뱅킹, 모바일 뱅킹 등의 전자 금융 거래를 위하여 은행 등의 금융 기관에서는 사용자에게 보안카드를 지급한다. 사용자는 보안카드에 기재된 내용을 입력함으로써 이체 기능 등의 전자 금융 거래를 이용할 수 있다. 통상 보안카드는 은행 별로 다르고 각 개인마다 혹은 계좌마다 하나씩 지급되며, 그 내용은 하나 밖에 존재하지 않는다.In general, financial institutions such as banks provide security cards to users for electronic banking transactions such as Internet banking and mobile banking. The user can use an electronic financial transaction such as a transfer function by inputting contents described in the security card. Generally, a security card is different for each bank and is paid for each individual or each account, and there is only one content.
보안카드의 종류로는 두 가지가 있다. 한 종류는 이른바 자물쇠 카드 혹은 안전카드라고 불리우며 순번이 매겨진 35개의 번호마다 4개의 난수가 배열된 코드표로 구성된다. 이러한 보안카드는 플라스틱 카드 형태로 제작되는 것이 일반적인데, 사용자가 늘 소지하고 있어야 하는 불편함이 있다. 또한, 은행 별로 지급되기 때문에 여러 은행 거래시 각 은행으로부터 지급받은 보안카드를 소지해야 하므로 불편함이 있다. 게다가 보안카드의 분실 위험으로 보안에 취약하다는 단점이 있다. 그리고 오래 사용하다 보면 코드표가 훼손되어 재발급을 받아야 할 수 있다.There are two types of security cards. One type is called a so-called lock card or a safety card, and consists of a code table in which four random numbers are arranged for each of 35 serial numbers. Such a security card is usually made in the form of a plastic card, but it is inconvenient for the user to have it all the time. In addition, since it is paid by bank, it is inconvenient to have a security card which is paid from each bank in various bank transactions. In addition, there is a drawback that it is vulnerable to security because of the risk of losing the security card. And if you use it for a long time, you may have to reissue it because it is damaged.
또한, 보안카드의 다른 종류는 IC 카드 형태의 OTP(One-Time Programmable) 카드인데, 카드에 마련된 버튼을 누르면 6자리의 난수 형태의 OTP 번호가 생성되어 이를 전자 금융 거래시에 입력한다. 이밖에 스마트폰에 설치된 OTP어플리케이션을 통하여 OTP 카드를 활용할 수 있는데, 도 1은 기존의 스마트폰 어플리케이션을 통한 OTP 카드의 동작 예를 도시한 흐름도이다.Another type of security card is an OTP (One-Time Programmable) card in the form of an IC card. When a button provided on the card is pressed, a 6-digit random number OTP number is generated and input in an electronic financial transaction. In addition, an OTP card can be utilized through an OTP application installed in a smartphone. FIG. 1 is a flowchart illustrating an operation example of an OTP card through an existing smartphone application.
도 1을 참조하면, 금융거래자가 전자 금융 거래를 시도하고자 하는 경우, 금융거래자는, 금융 거래 웹페이지에서 OTP 인증을 선택(S1)하고, 사용자의 스마트폰(40)의 OTP어플리케이션(45)을 실행(S2)시킨다.Referring to FIG. 1, when a financial trader attempts to conduct an electronic financial transaction, the financial trader selects OTP authentication in the financial transaction web page (S1) and selects the
금융거래자가 IC 카드 형태의 OTP 카드(50)를 스마트폰(40)에 태깅(tagging)하면(S3), 스마트폰(40)의 OTP어플리케이션(45)은 OTP 카드(50)에 시간을 전송(S4)하고, 이를 수신한 OTP 카드(50)는 OTP 번호를 생성하여 OTP어플리케이션(45)에 전송(S5)한다.The
스마트폰(40)의 OTP어플리케이션(45)이 수신한 6자리의 OTP 번호를 표시(S6)하면, 사용자는 금융거래 웹페이지(10)에 OTP 번호를 입력(S7)하여 금융거래서버(20)에 전송(S8)한다.When the
금융거래서버(20)는 OTP 카드(50) 시리얼 번호와 고객이 입력한 OTP 번호를 OTP 인증 서버에 전송(S9)한다. OTP 인증서버는 OTP 번호를 인증(S10)하고 OTP 번호의 인증 결과를 금융거래서버(20)에 전송(S11)한다.The
OTP 번호의 인증 결과를 수신한 금융거래서버(20)는, 인증 성공인 경우 조회, 이체 등의 금융거래를 계속 수행하거나 인증 실패인 경우 인증 실패에 따른 금융거래 중단을 하게 된다.Upon receiving the authentication result of the OTP number, the
그런데, 이러한 현재의 OTP 카드(50)의 활용 방식은 생성된 OTP 번호가 표시되기 때문에, 사용자가 해커에게 OTP 번호를 불러 줄 위험이 있다. 또한 OTP 번호만을 인증에 이용하는 방식이어서 보안에 취약한 문제가 있다. 또한 OTP 번호 생성을 위해 사용자가 OTP어플리케이션(45)을 직접 실행시켜야 하는 불편이 있다.
However, since the
본 발명의 기술적 과제는 스마트폰에 태깅되는 OTP 카드를 이용하여 OTP 인증시에 보안을 강화시키는데 있다. 또한 본 발명의 기술적 과제는 OTP 인증 시에 OTP 번호를 사용자가 직접 입력할 필요가 없도록 하는데 있다. 또한 본 발명의 기술적 과제는 스마트폰을 이용한 OTP 인증 시에 스마트폰의 OTP 어플리케이션을 금융거래자가 직접 실행시키는 불편을 해결하는데 있다.
The technical problem of the present invention is to enhance security in OTP authentication using an OTP card tagged in a smart phone. Another object of the present invention is to prevent a user from directly inputting an OTP number in OTP authentication. The technical problem of the present invention is to solve the inconvenience that a financial trader directly executes an OTP application of a smartphone in OTP authentication using a smartphone.
본 발명의 실시 형태는 금융거래서버가, 금융거래 요청한 금융거래자의 OTP 인증을 OTP인증서버에 요청하는 OTP 인증 요청 과정; 상기 OTP인증서버로부터 OTP 번호인 서버 생성 OTP 번호의 요청을 수신한 OTP생성서버가, 서버 생성 OTP 번호를 생성하여 상기 OTP인증서버로 전송하는 서버 생성 OTP 번호 전송 과정; 상기 OTP생성서버가, 상기 금융거래자의 스마트폰에 설치된 OTP 어플라케이션을 구동시키는 OTP 어플리케이션 구동 과정; 상기 OTP 어플리케이션이, OTP카드에서 생성된 OTP 번호인 카드 생성 OTP 번호를 상기 OTP인증서버로 전송하는 카드 생성 OTP 번호 전송 과정; 상기 OTP인증서버가, 상기 서버 생성 OTP 번호와 상기 카드 생성 OTP 번호를 비교한 OTP 인증결과를 상기 금융거래서버에 전송하는 과정; 및 상기 금융거래서버가, 상기 OTP 인증결과에 따라 금융거래를 수행하거나 금융거래를 중지시키는 과정;을 포함할 수 있다.An embodiment of the present invention is an OTP authentication request process in which a financial transaction server requests an OTP authentication server of a financial transaction requesting a financial transaction to an OTP authentication server; A server-generated OTP number transmission step of generating an OTP server-generated OTP number, which is received from the OTP authentication server and receiving a request for a server-generated OTP number, which is an OTP number, and transmitting the generated OTP number to the OTP authentication server; An OTP application driving process in which the OTP generation server drives an OTP application installed in a smartphone of the financial trader; A card-generated OTP number transmission process in which the OTP application transmits a card-generated OTP number, which is an OTP number generated in the OTP card, to the OTP authentication server; Transmitting, by the OTP authentication server, the OTP authentication result obtained by comparing the server generated OTP number with the card generated OTP number to the financial transaction server; And a step in which the financial transaction server performs a financial transaction or stops a financial transaction according to the OTP authentication result.
상기 OTP 인증 요청 과정은, 금융거래서버가, 상기 금융거래자로부터 금융거래 웹페이지를 통하여 OTP 인증을 선택받는 과정; 및 상기 금융거래서버가, 상기 금융거래자가 소지한 OTP카드의 카드시리얼번호를 OTP인증서버에 전송하며 OTP 인증을 요청하는 과정;을 포함할 수 있다.The OTP authentication request process includes the steps of the financial transaction server selecting OTP authentication from the financial trader through the financial transaction web page; And a step of the financial transaction server transmitting the card serial number of the OTP card owned by the financial trader to the OTP authentication server and requesting OTP authentication.
상기 서버 생성 OTP 번호의 요청은, 상기 OTP인증서버가, 1회용 추가키를 생성하는 과정; 및 상기 OTP인증서버가, 생성한 1회용 추가키를 상기 카드시리얼번호와 함께 OTP생성서버에 전송하여 OTP 번호를 요청하는 과정;을 포함할 수 있다.Requesting the server-generated OTP number, the OTP authentication server generating a disposable additional key; And transmitting the generated one-time additional key to the OTP generation server together with the card serial number by the OTP authentication server, thereby requesting the OTP number.
상기 서버 생성 OTP 번호 전송 과정은, 상기 카드시리얼번호와 1회용 추가키를 더한 합성시리얼번호를 스마트폰의 시간정보와 함께 OTP 생성 알고리즘에 적용하여 서버 생성 OTP 번호를 생성하는 과정; 및 상기 서버 생성 OTP 번호를 상기 OTP인증서버에 전송하는 과정;을 포함할 수 있다.Generating a server generated OTP number by applying the synthetic serial number obtained by adding the card serial number and the one-time additional key to the OTP generation algorithm together with the time information of the smart phone; And transmitting the server-generated OTP number to the OTP authentication server.
상기 OTP 어플리케이션 구동 과정은, 상기 OTP생성서버가, 상기 금융거래자의 스마트폰에 설치된 OTP 어플리케이션을 구동시키는 푸시 메시지와 상기 1회용 추가키를 상기 금융거래자의 스마트폰에 전송하는 OTP 어플리케이션 구동 과정; 및 상기 푸시 메시지를 수신한 상기 스마트폰이 상기 OTP 어플리케이션을 구동시키는 과정;을 포함할 수 있다.The OTP application activation process may include: an OTP application activation process of causing the OTP generation server to transmit a push message for activating an OTP application installed in a smartphone of the financial trader and the disposable additional key to a smartphone of the financial trader; And a step in which the smartphone receiving the push message operates the OTP application.
상기 카드 생성 OTP 번호 전송 과정은, 상기 OTP 어플리케이션이, 상기 시간정보와 함께 상기 1회용 추가키를 태깅된 OTP카드에 전송하는 시간정보 전송 과정; 상기 OTP 어플리케이션이, 상기 OTP카드에서 생성되는 카드 생성 OTP 번호를 수신하는 과정; 및 상기 OTP 어플리케이션이, 상기 OTP카드로부터 수신한 OTP 번호를 카드 생성 OTP 번호로서 상기 OTP인증서버에 전송하는 과정;을 포함할 수 있다.The card generation OTP number transmission process may include: a time information transmission process in which the OTP application transmits the disposable additional key together with the time information to the tagged OTP card; Receiving, by the OTP application, a card generation OTP number generated from the OTP card; And transmitting, by the OTP application, the OTP number received from the OTP card to the OTP authentication server as a card generation OTP number.
상기 OTP카드에서 생성되는 카드 생성 OTP 번호는, 상기 카드시리얼번호와 1회용 추가키를 더한 합성시리얼번호를 스마트폰의 시간정보와 함께 OTP 생성 알고리즘에 적용하여 생성된 카드 생성 OTP 번호임을 특징으로 할 수 있다.The card generation OTP number generated from the OTP card is a card generation OTP number generated by applying the synthetic serial number obtained by adding the card serial number and the one time use additional key together with the time information of the smart phone to the OTP generation algorithm .
또한 본 발명의 실시 형태에 따르면, 금융거래서버를 통해 금융거래 요청한 금융거래자의 OTP 인증을 위한 서버 생성 OTP 번호를 생성하여 OTP인증서버로 전송하며, 금융거래자의 스마트폰에 설치된 OTP 어플라케이션을 구동시키는 OTP생성서버; 금융거래자의 스마트폰의 시간정보를 이용하여 OTP 번호인 카드 생성 OTP 번호를 생성하여 상기 금융거래자의 스마트폰에 전송하는 OTP카드; 상기 금융거래자의 스마트폰에 설치되어, 스마트폰의 시간정보를 상기 OTP카드로 전송하며, 상기 OTP카드에서 생성된 카드 생성 OTP 번호를 수신하여 OTP 인증서버로 전송하는 OTP 어플리케이션; 상기 금융거래자의 OTP카드의 카드시리얼번호를 상기 OTP생성서버에 전송하여 서버 생성 OTP 번호를 요청하며, 상기 OTP생성서버로부터 수신한 서버 생성 OTP 번호와 상기 OTP 어플리케이션으로부터 수신한 카드 생성 OTP 번호를 비교한 OTP 인증결과를 상기 금융거래서버에 전송하는 OTP인증서버; 및 상기 OTP 인증결과에 따라 금융거래를 수행하거나 금융거래를 중지시키는 금융거래서버;를 포함할 수 있다.Also, according to the embodiment of the present invention, a server-generated OTP number for OTP authentication of a financial transaction requesting a financial transaction through a financial transaction server is generated and transmitted to an OTP authentication server, and an OTP application installed in a smartphone of a financial trader An OTP generation server for driving the OTP server; An OTP card for generating a card-generating OTP number that is an OTP number using the time information of the smartphone of the financial trader and transmitting the OTP number to the smartphone of the financial trader; An OTP application installed in the smartphone of the financial trader and transmitting time information of the smart phone to the OTP card, receiving the card generation OTP number generated from the OTP card, and transmitting the card generation OTP number to the OTP authentication server; Transmits a card serial number of the OTP card of the financial trader to the OTP generation server to request a server generation OTP number, and compares the server generation OTP number received from the OTP generation server with the card generation OTP number received from the OTP application An OTP authentication server for transmitting an OTP authentication result to the financial transaction server; And a financial transaction server for performing a financial transaction or stopping a financial transaction according to the OTP authentication result.
상기 OTP인증서버는, 1회용 추가키를 생성하여 상기 카드시리얼번호와 함께 상기 OTP생성서버에 전송할 수 있다.The OTP authentication server may generate a disposable additional key and transmit it to the OTP generation server together with the card serial number.
상기 OTP생성서버는, 상기 카드시리얼번호와 1회용 추가키를 더한 합성시리얼번호를 시간정보와 함께 OTP 생성 알고리즘에 적용하여 서버 생성 OTP 번호를 생성할 수 있다.The OTP generation server may generate a server-generated OTP number by applying the synthetic serial number obtained by adding the card serial number and the one-time additional key to the OTP generation algorithm together with the time information.
상기 OTP카드는, 상기 카드시리얼번호와 1회용 추가키를 더한 합성시리얼번호를 스마트폰의 시간정보와 함께 상기 OTP생성서버에 등록된 OTP 생성 알고리즘과 동일한 알고리즘에 적용하여 카드 생성 OTP 번호를 생성할 수 있다.
The OTP card generates a card generation OTP number by applying the synthetic serial number obtained by adding the card serial number and the one time use additional key to the same algorithm as the OTP generation algorithm registered in the OTP generation server together with the time information of the smart phone .
본 발명의 실시 형태에 따르면 OTP 번호가 별도로 표시되지 않아 노출되지 않음으로써, 보이스 피싱에 따른 OTP 번호 누출을 방지할 수 있다. 또한 본 발명의 실시 형태에 따르면 금융거래자가 OTP 번호를 직접 입력하거나 OTP 어플리케이션을 직접 실행시킬 필요가 없어 이용자 편의성을 증대시킬 수 있다. 또한 본 발명의 실시 형태에 따르면 1회용 추가키를 포함시킴으로써, OTP 인증 시에 보안성을 더욱 향상시킬 수 있다.
According to the embodiment of the present invention, since the OTP number is not separately displayed and is not exposed, OTP number leakage due to voice phishing can be prevented. Further, according to the embodiment of the present invention, it is not necessary for the financial trader to input the OTP number directly or to directly execute the OTP application, thereby enhancing the user convenience. Further, according to the embodiment of the present invention, security can be further improved at the time of OTP authentication by including the disposable additional key.
도 1은 기존의 스마트폰 어플리케이션을 통한 OTP 카드의 동작 예를 도시한 흐름도이다.
도 2는 본 발명의 실시예에 따른 스마트 OTP 보안 인증 장치의 구성도이다.
도 3은 본 발명의 실시예에 따른 스마트 OTP 보안 인증 과정을 도시한 흐름도이다.FIG. 1 is a flowchart illustrating an operation example of an OTP card through an existing smartphone application.
2 is a configuration diagram of a smart OTP security authentication apparatus according to an embodiment of the present invention.
3 is a flowchart illustrating a smart OTP security authentication process according to an embodiment of the present invention.
이하, 이 발명이 속하는 기술분야에서 통상의 지식을 갖는 자가 이 발명을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 이 발명의 가장 바람직한 실시예를 첨부된 도면을 참조로 하여 상세히 설명하기로 한다. 이 발명의 목적, 작용 효과를 포함하여 기타 다른 목적들, 특징점들, 그리고 동작상의 이점들이 바람직한 실시예의 설명에 의해서 보다 명확해질 것이다. 하기에서 각 도면의 구성요소들에 참조부호를 부가함에 있어 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings, in order to explain the present invention in detail so that those skilled in the art can easily carry out the present invention. . Other objects, features, and operational advantages of the present invention, including its effects and advantages, will become more apparent from the description of the preferred embodiments. It should be noted that the same reference numerals are used to denote the same or similar components in the drawings.
도 2는 본 발명의 실시예에 따른 스마트 OTP 보안 인증 장치의 구성도이다.2 is a configuration diagram of a smart OTP security authentication apparatus according to an embodiment of the present invention.
현재의 OTP 카드(50)의 활용 방식은 생성된 OTP 번호가 표시되기 때문에, 사용자가 해커에게 OTP 번호를 불러 줄 위험이 있다. 또한 OTP 번호 생성을 위해 사용자가 OTP어플리케이션(45)을 직접 실행시켜야 하는 불편이 있다. 이러한 문제를 해결하기 위하여 본 발명은 OTP 번호를 표시하지 않으면서 OTP 인증이 이루어지는 방식을 제안한다. 이를 위하여 본 발명의 스마트 OTP 보안 인증 장치는 OTP 카드(50), 금융거래서버(20), OTP생성서버(60), OTP어플리케이션(45), OTP인증서버(30)를 포함한다.Since the
OTP 카드(50)는, 금융거래자의 스마트폰(40)의 시간정보를 이용하여 OTP 번호인 카드 생성 OTP 번호를 생성하여 금융거래자의 스마트폰(40)에 전송한다. 또한 OTP 카드(50)는 스마트폰(40)의 시간정보뿐만 아니라 OTP생성서버(60)의 시간정보를 이용하여 이용하여 OTP 번호인 카드 생성 OTP 번호를 생성할 수 있다. OTP생성서버(60)의 시간정보는 스마트폰(40)을 통하여 OTP 카드에 전달될 수 있다.The
OTP(일회용 패스워드;One Time Password)는 무작위로 생성되는 난수의 일회용 패스워드를 이용하는 사용자 인증 방식이다. OTP 생성 요청이 있을 때마다 일회성 패스워드인 OTP 번호를 생성할 수 있다. OTP 카드(50)는 고유의 카드시리얼번호를 가지고 있어, 금융기관에서 금융거래자에게 OTP 카드(50)를 발급할 때 OTP 카드(50)의 카드시리얼번호의 정보가 금융거래서버(20)에 저장된다.OTP (One Time Password) is a user authentication method that uses random one-time passwords generated randomly. Each time an OTP generation request is made, an OTP number, which is a one-time password, can be generated. The
OTP 카드(50)는, NFC태그, RFIC태그 등과 같이 정보 태그를 포함하고 있어, 스마트폰(40)에 태깅되어 스마트폰(40)의 시간정보와 OTP인증서버(30)에서 생성한 1회용 추가키를 수신할 수 있다. OTP 카드(50)는 수신한 1회용 추가키를 자신의 카드시리얼번호에 더하여 합성시리얼번호를 생성하고, 이를 스마트폰(40)에서 수신한 시간정보와 함께 OTP 생성 알고리즘에 적용하여 OTP 번호를 생성한다. 이하, OTP 카드(50)에서 생성한 OTP 번호를 카드 생성 OTP 번호라 부르기로 한다.The
참고로, OTP 생성 알고리즘은 시간정보와 OTP 카드(50)의 카드시리얼번호를 기반으로 OTP 번호를 생성하는 알려진 다양한 OTP 생성 알고리즘으로서, 본 발명에서는 1회용 추가키가 더 포함된 합성시리얼번호를 사용하여 OTP 번호를 생성한다. 여기서 OTP 카드(50)의 OTP 생성 알고리즘은 OTP생성서버(60)에 등록된 OTP 생성 알고리즘과 동일한 알고리즘을 가진다. 또한 여기서 시간정보는 스마트폰(40)에서 사용되는 시간정보로서, 이러한 시간정보는 OTP생성서버(60)와 동기화되어 동일한 시간정보가 사용되고 있다고 가정한다. 예를 들어, GPS 시간정보가 사용되는 경우 OTP생성서버(60)에서 사용되는 시간정보와 스마트폰(40)에서 사용되는 시간정보는 동일한 시간정보로서 동기화될 수 있다. 또한 국가에서 제공하는 표준시의 시간정보를 OTP생성서버(60)와 스마트폰(40)이 동일한 시간정보로서 사용할 수 있다.
For reference, the OTP generation algorithm is a known various OTP generation algorithm for generating an OTP number based on time information and the card serial number of the
금융거래서버(20)는, 금융기관(은행, 보험사 등)의 전자 금융 거래를 처리하는 서버로서, 금융기관별로 구축된다. 여기서, 전자 금융 거래는 모바일 뱅킹, 인터넷 뱅킹, 홈 뱅킹, 폰 뱅킹 등을 포함한다. 상세하게는 은행의 잔액 조회, 계좌이체, 예금조회, 환율조회, 자기앞수표 조회, 거래내역조회, 신용카드 거래, 현금서비스 등 다양한 금융 거래 등을 포함할 수 있다. 금융거래서버(20)는 고객 원장 데이터베이스(미도시)를 구비하는데, 고객 원장 데이터베이스는 은행 별로 전자 금융 거래 가입자의 개인 정보 및 회원 정보를 저장한다. 여기서, 개인 정보는 고객 성명, 주민등록번호, 스마트폰(40) 전화번호 정보, 주소, 이메일 주소를 포함한다. 또한, 회원 정보는 CIF(Customer Information File)번호, 고객 ID 정보 및 비밀번호 정보를 포함할 수 있다.The
이러한 금융거래서버(20)는 금융거래자가 사용하는 컴퓨터의 금융거래 웹페이지(10)를 제공하여, 금융거래자로부터 OTP 인증을 요청받는다. OTP 인증 요청이 있는 경우, OTP인증서버(30)에 금융거래자가 소지한 OTP 카드(50)의 카드시리얼번호를 전송하여 OTP 인증을 요청하고, OTP인증서버(30)로부터 수신한 OTP 인증결과에 따라 금융거래를 수행하거나 금융거래를 중지시킨다. 즉, OTP인증서버(30)로부터 수신한 OTP 인증결과가 'OTP 인증 성공'인 경우에는 금융거래자가 요청한 전자 금융거래를 수행하며, 반대로 OTP 인증결과가 'OTP 인증 실패'인 경우에는 금융거래자가 요청한 전자 금융거래를 중지하고 금융거래자에게 OTP 인증 실패임을 알려준다.
The
OTP인증서버(30)는, 금융거래자의 OTP 카드(50)의 카드시리얼번호를 OTP생성서버(60)에 전송하여 OTP생성서버(60)에서 생성한 OTP 번호(이하, '서버 생성 OTP 번호'라 함)를 요청한다. 금융거래서버(20)로부터 수신한 OTP 카드(50)의 카드시리얼번호와 금융거래자의 스마트폰(40) 전화번호 정보를 OTP인증서버(30)로 중계하여 전송하며, 서버 생성 OTP 번호를 요청한다.The
또한 OTP인증서버(30)는, OTP생성서버(60)로부터 수신한 서버 생성 OTP 번호와 OTP어플리케이션(45)으로부터 수신한 카드 생성 OTP 번호를 비교한 OTP 인증결과를 금융거래서버(20)에 전송한다. 서버 생성 OTP 번호와 카드 생성 OTP 번호가 서로 일치하는 경우에는 'OTP 인증 성공'을 금융거래서버(20)에 전송하며, 서버 생성 OTP 번호와 카드 생성 OTP 번호가 서로 일치하지 않는 경우에는 'OTP 인증 실패'를 금융거래서버(20)에 전송한다.The
또한 OTP인증서버(30)는, 1회용 추가키를 생성하여 카드시리얼번호와 함께 OTP생성서버(60)에 전송할 수 있다. 보안을 향상시키기 위하여 1회용 추가키를 별도로 생성하여 OTP생성서버(60)에 카드시리얼번호와 함께 전송하는 것이다. 이와같이 전송된 1회용 추가키는 한자리번호, 두자리번호, 세자리번호 등과 같이 그 종류에 제한이 없다.
Also, the
OTP생성서버(60)는, 금융거래서버를 통해 금융거래 요청한 금융거래자의 OTP 인증을 위한 서버 생성 OTP 번호를 생성하여 OTP인증서버(30)로 전송한다.The
서버 생성 OTP 번호는, 카드시리얼번호와 1회용 추가키는 서로 더해져서 합성시리얼번호로서, 시간정보와 함께 OTP 번호를 생성하는 OTP 생성 알고리즘에 적용되어 사용될 수 있다. 예를 들어 카드시리얼번호가 '39234821'이고, 1회용 추가키가 '85'라는 두자리 번호인 경우, 카드시리얼번호가 '39234821'의 앞부분에 1회용 추가키 '85'가 더해져셔, '8539234821'이라는 합성시리얼번호가 OTP 생성 알고리즘에 적용될 수 있다. 또는, 카드시리얼번호가 '39234821'의 뒷부분에 1회용 추가키 '85'가 더해져셔, '3923482185'라는 합성시리얼번호가 OTP 생성 알고리즘에 적용될 수 있다.The server-generated OTP number can be applied to the OTP generation algorithm that generates the OTP number together with the time information as the composite serial number by adding the card serial number and the one-time additional key to each other. For example, if the card serial number is '39234821' and the one-time additional key is a two-digit number '85', the disposable additional key '85' is added to the beginning of the card serial number '39234821' May be applied to the OTP generation algorithm. Alternatively, a disposable additional key '85' may be added to the end of the card serial number '39234821', and a synthetic serial number '3923482185' may be applied to the OTP generation algorithm.
따라서 OTP 생성 알고리즘은, 기존에는 시간정보와 OTP 카드(50)의 카드시리얼번호인 '39234821'만을 기반으로 OTP 번호를 생성하였지만, 본 발명에서는 시간정보와 합성시리얼번호인 '8539234821' 또는 '3923482185'를 기반으로 OTP 번호를 생성할 수 있다.Therefore, the OTP generation algorithm has generated the OTP number based on only the time information and the card serial number '39234821' of the
또한 OTP생성서버(60)는, 금융거래자의 스마트폰(40)에 설치된 OTP 어플라케이션을 구동시킬 수 있다. OTP생성서버(60)는, 금융거래자의 스마트폰(40)에 설치된 OTP어플리케이션(45)을 구동시키는 푸시 메시지를 금융거래자의 스마트폰(40)에 전송한다. 참고로 금융거래자의 스마트폰(40)의 전화번호 정보는 금융거래서버(20)로부터 제공된 전화번호 정보를 OTP인증서버(30)를 통해 수신할 수 있다.Also, the
한편, 본 발명의 실시예 도면에서는 OTP인증서버(30)와 OTP생성서버(60)를 각각 도시하였는데, OTP인증서버(30)와 OTP생성서버(60)를 하나의 서버로서 구현할 수 있다. OTP인증서버(30)와 OTP생성서버(60)를 하나의 단일 서버로서 구현함으로써, 하나의 단일 서버내에서 OTP인증 기능과 OTP생성 기능을 동시에 수행할 수 있다.Although the
OTP어플리케이션(45)은, 금융거래자의 스마트폰(40)에 설치되어, 스마트폰(40)의 시간정보를 OTP 카드(50)로 전송하며, OTP 카드(50)에서 생성된 카드 생성 OTP 번호를 수신하여 OTP 인증서버로 전송한다. 스마트폰(40)은 NFC태그, RFIC태그를 가진 OTP 카드(50)와 무선 태깅되어, 스마트폰(40)의 시간정보를 OTP 카드(50)로 전송하며, OTP 카드(50)에서 생성된 카드 생성 OTP 번호를 수신할 수 있다.The
스마트폰(40)은, 휴대 전화에 인터넷 통신과 정보검색 등 컴퓨터 지원 기능을 추가한 지능형 단말기를 의미한다. 이러한 스마트폰(40)은 종래 이동통신 단말기에 비해 대용량의 메모리와 고성능 CPU(Central Processing Unit)가 탑재되며, 다양한 어플리케이션 실행, 음성/데이터 통신 및 PC(Personal Computer) 연동 등을 지원하기 위한 운영체제(OS)가 탑재된다. 특히, 스마트폰(40)(100)은 무선 네트워크(200)를 통해 어플리케이션 서버(300)에 접속하여 OTP어플리케이션(45)이 설치될 수 있다.The
여기서, 어플리케이션 서버는 스마트폰(40)에 탑재할 수 있는 다양한 어플리케이션(응용 프로그램)을 판매하는 온라인 상의 모바일 컨텐츠 장터로서, 애플리케이션 스토어(Application Store 또는 앱스토어)라고도 한다. 이러한 어플리케이션 서버는 스마트폰(40)에 탑재되어 OTP 카드(50)와 태깅되어 정보를 송수신할 수 있는 OTP어플리케이션(45)을 제공한다. 스마트폰(40)은, 어플리케이션 서버로부터 OTP어플리케이션(45)을 다운로드하여 설치한다.Here, the application server is a mobile content marketplace on-line that sells various applications (application programs) that can be loaded on the
스마트폰(40)의 CPU는 OTP생성서버(60)로부터 OTP어플리케이션(45)의 구동을 요청하는 푸시 메시지를 수신한 경우, 사용자의 조작이 없더라도 OTP어플리케이션(45)을 자동적으로 구동되도록 한다.
The CPU of the
도 3은 본 발명의 실시예에 따른 스마트 OTP 보안 인증 과정을 도시한 흐름도이다.3 is a flowchart illustrating a smart OTP security authentication process according to an embodiment of the present invention.
우선, 금융거래서버(20)가, 금융거래 요청한 금융거래자의 OTP 인증을 OTP인증서버(30)에 요청(S10)한다. 즉, 금융거래를 하려는 금융거래자가 자신의 PC, 스마트폰(40) 등의 단말기를 이용하여 금융거래서버(20)의 금융거래 웹페이지(10)에 접속하여 금융거래를 하고자 하는 경우, 금융거래자는 금융거래 웹페이지(10)를 통하여 OTP 인증을 선택(S10)한다. 금융거래 웹페이지(10)는 PC의 화면에 표시되는 웹페이지인데, 이밖에 금융거래 웹페이지(10)뿐만 아니라 스마트폰의 금융거래 어플리케이션을 통하여 금융거래를 위한 OTP 인증을 선택할 수 있다. 이밖에 다양한 금융거래 단말에서 OTP 인증을 선택할 수 있다. First, the
금융거래자로부터 OTP 인증이 선택되면, 금융거래서버(20)는, 금융거래자가 소지한 OTP 카드(50)의 카드시리얼번호와 금융거래자의 스마트폰(40)의 전화번호정보를 OTP인증서버(30)에 전송하며 OTP 인증을 요청(S20)한다. 금융기관에서 금융거래자에게 OTP 카드(50)를 발급할 때, 금융거래서버(20)에 OTP 카드(50)의 카드시리얼번호가 저장되는데, 이렇게 저장된 카드시리얼번호가 OTP인증서버(30)로 전송된다.When OTP authentication is selected from the financial trader, the
금융거래서버(20)로부터 OTP 인증을 요청받은 OTP인증서버(30)는, 1회용 추가키를 생성(S30)한다. 1회용 추가키는 숫자, 문자, 기호 등 다양한 형태를 가질 수 있다. 숫자로 생성되는 경우 한자리번호, 두자리번호, 세자리번호 등과 같이 그 크기에 제한이 없다. 1회용 추가키가 생성되면, OTP인증서버(30)는, 생성한 1회용 추가키를 카드시리얼번호, 스마트폰(40)의 전화번호정보와 함께 OTP생성서버(60)에 전송하여 OTP 번호(서버 생성 OTP 번호)를 요청(S40)한다.
The
상기와 같이 OTP인증서버(30)로부터 OTP 번호인 서버 생성 OTP 번호의 요청을 수신한 OTP생성서버(60)는, 서버 생성 OTP 번호를 생성(S50)하여 OTP인증서버(30)로 전송(S60)한다. OTP생성서버(60)에서 서버 생성 OTP 번호를 생성(S50)할 때, OTP 카드(50)의 카드시리얼번호만를 시간정보에 적용하여 OTP 생성 알고리즘에 적용하여 서버 생성 OTP 번호를 생성할 수 있다. 다른 실시예로서 본 발명의 실시예는 카드시리얼번호와 1회용 추가키를 더한 합성시리얼번호를 스마트폰(40)의 시간정보와 함께 OTP 생성 알고리즘에 적용하여 서버 생성 OTP 번호를 생성할 수 있다.The
예를 들어 카드시리얼번호가 '39234821'이고, 1회용 추가키가 '85'라는 두자리 번호인 경우, 카드시리얼번호가 '39234821'의 앞부분에 1회용 추가키 '85'가 더해져셔, '8539234821'이라는 합성시리얼번호가 OTP 생성 알고리즘에 적용될 수 있다. 또는, 카드시리얼번호가 '39234821'의 뒷부분에 1회용 추가키 '85'가 더해져셔, '3923482185'라는 합성시리얼번호가 OTP 생성 알고리즘에 적용될 수 있다. 따라서 OTP 생성 알고리즘은, 기존에는 시간정보와 OTP 카드(50)의 카드시리얼번호인 '39234821'만을 기반으로 OTP 번호를 생성하였지만, 본 발명에서는 시간정보와 합성시리얼번호인 '8539234821'를 기반으로 OTP 번호를 생성하거나, 또는 시간정보와 합성시리얼번호인 '3923482185'를 기반으로 OTP 번호를 생성할 수 있다.
For example, if the card serial number is '39234821' and the one-time additional key is a two-digit number '85', the disposable additional key '85' is added to the beginning of the card serial number '39234821' May be applied to the OTP generation algorithm. Alternatively, a disposable additional key '85' may be added to the end of the card serial number '39234821', and a synthetic serial number '3923482185' may be applied to the OTP generation algorithm. Therefore, although the OTP generation algorithm has conventionally generated the OTP number based only on the time information and the card serial number '39234821' of the
한편, OTP생성서버(60)는, 금융거래자의 스마트폰(40)에 설치된 OTP 어플라케이션을 구동시키는 OTP어플리케이션 구동 과정을 가진다. 이를 위해, OTP생성서버(60)가, 상기 금융거래자의 스마트폰(40)에 설치된 OTP어플리케이션(45)을 구동시키는 푸시 메시지를 스마트폰(40)에 전송한다(S70). 푸시 메시지 전송시에 OTP인증서버(30)로부터 제공받은 1회용 추가키를 스마트폰(40)에 추가로 전송할 수 있다.On the other hand, the
푸시 메시지를 수신한 스마트폰(40)은, 스마트폰(40)에 설치된 OTP어플리케이션(45)을 구동시켜 실행(S80)시킨다. 따라서 금융거래자가 별도로 자신의 스마트폰(40)에 설치된 OTP어플리케이션(45)을 구동시키지 않아도 자동으로 OTP어플리케이션(45)이 구동될 수 있다.The
OTP어플리케이션(45)이 구동이 있게 된 후, 금융거래자가 OTP 카드(50)를 스마트폰(40)에 태깅(S90)하게 되면, 이러한 태깅을 감지한 OTP어플리케이션(45)은, 시간정보와 함께 1회용 추가키를 태깅된 OTP 카드(50)에 전송한다. 여기서 시간정보는 스마트폰(40)에서 동작되는 시간정보로서 OTP생성서버(60)와의 시간과 동기화된 시간정보이다. GPS 시간정보, 표준시 시간정보, OTP생성서버(60)로부터 수신되는 시간정보 등의 동기화된 시간정보가 사용될 수 있다.When the financial trader tags the
OTP 카드(50)는, 카드시리얼번호와 1회용 추가키를 더한 합성시리얼번호를 스마트폰(40)의 시간정보와 함께 OTP 생성 알고리즘에 적용하여 카드 생성 OTP 번호를 생성(S110)한다. 여기서 OTP 생성 알고리즘은 OTP생성서버(60)에서 사용된 OTP 생성 알고리즘과 동일한 알고리즘이다. 따라서 OTP생성서버(60)와 동일한 1회용 추가키, 카드시리얼번호, 시간정보를 적용할 경우, OTP생성서버(60)에서 생성된 서버 생성 OTP 번호와 OTP 카드(50)에서 생성된 카드 생성 OTP 번호는 동일한 값을 가지게 된다.The
OTP 카드(50)는, 생성된 카드 생성 OTP 번호를 태깅을 통하여 스마트폰(40)의 OTP어플리케이션(45)에 전송(S120)하며, OTP어플리케이션(45)은, OTP 카드(50)로부터 수신한 OTP 번호를 카드 생성 OTP 번호로서 OTP인증서버(30)에 전송한다(S130).The
OTP인증서버(30)는, OTP생성서버(60)로부터 수신한 서버 생성 OTP 번호와 OTP어플리케이션(45)으로부터 수신한 카드 생성 OTP 번호를 비교하여 OTP 인증결과를 생성(S140)한다. 서버 생성 OTP 번호와 카드 생성 OTP 번호가 서로 일치하는 경우에는 'OTP 인증 성공'이라는 OTP 인증결과를 생성하며, 반대로, 서버 생성 OTP 번호와 카드 생성 OTP 번호가 서로 일치하지 않는 경우에는 'OTP 인증 실패'라는 OTP 인증결과를 생성한다.The
그리고, OTP인증서버(30)는, 수신한 카드 생성 OTP 번호를 비교한 OTP 인증결과를 금융거래서버(20)에 전송(S150)한다. 즉, 서버 생성 OTP 번호와 카드 생성 OTP 번호가 서로 일치하는 경우에는 'OTP 인증 성공'을 금융거래서버(20)에 전송하며, 서버 생성 OTP 번호와 카드 생성 OTP 번호가 서로 일치하지 않는 경우에는 'OTP 인증 실패'를 금융거래서버(20)에 전송한다.Then, the
금융거래서버(20)는, 상기 OTP 인증결과에 따라 금융거래를 수행하거나 금융거래를 중지시킨다. 즉, OTP인증서버(30)로부터 수신한 OTP 인증결과가 'OTP 인증 성공'인 경우에는 금융거래자가 요청한 전자 금융거래를 수행하며, 반대로 OTP 인증결과가 'OTP 인증 실패'인 경우에는 금융거래자가 요청한 전자 금융거래를 중지하고 금융거래자에게 OTP 인증 실패임을 알려준다.The
상술한 본 발명의 설명에서의 실시예는 여러가지 실시가능한 예중에서 당업자의 이해를 돕기 위하여 가장 바람직한 예를 선정하여 제시한 것으로, 이 발명의 기술적 사상이 반드시 이 실시예만 의해서 한정되거나 제한되는 것은 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위내에서 다양한 변화와 변경 및 균등한 타의 실시예가 가능한 것이다.
The embodiments of the present invention described above are selected and presented in order to facilitate the understanding of those skilled in the art from a variety of possible examples. The technical idea of the present invention is not necessarily limited to or limited to these embodiments Various changes, modifications, and other equivalent embodiments are possible without departing from the spirit of the present invention.
10:금융거래 웹페이지 20:금융거래서버
30:OTP인증서버 40:스마트폰
45:OTP어플리케이션 50:OTP카드
60:OTP생성서버10: financial transaction web page 20: financial transaction server
30: OTP authentication server 40: smart phone
45: OTP application 50: OTP card
60: OTP generation server
Claims (11)
상기 OTP인증서버로부터 OTP 번호인 서버 생성 OTP 번호의 요청을 수신한 OTP생성서버가, 서버 생성 OTP 번호를 생성하여 상기 OTP인증서버로 전송하는 서버 생성 OTP 번호 전송 과정;
상기 OTP생성서버가, 상기 금융거래자의 스마트폰에 설치된 OTP 어플라케이션을 구동시키는 OTP 어플리케이션 구동 과정;
상기 OTP 어플리케이션이, OTP카드에서 생성된 OTP 번호인 카드 생성 OTP 번호를 상기 OTP인증서버로 전송하되, 상기 OTP카드는 상기 스마트폰의 시간정보와 상기 OTP생성서버의 시간정보를 이용해서 카드 생성 OTP 번호를 생성하여 상기 OTP인증서버로 전송하는 카드 생성 OTP 번호 전송 과정;
상기 OTP인증서버가, 상기 서버 생성 OTP 번호와 상기 카드 생성 OTP 번호를 비교한 OTP 인증결과를 상기 금융거래서버에 전송하는 과정; 및
상기 금융거래서버가, 상기 OTP 인증결과에 따라 금융거래를 수행하거나 금융거래를 중지시키는 과정;을 포함하며,
상기 OTP 인증 요청 과정은,
금융거래서버가, 상기 금융거래자로부터 금융거래 웹페이지 또는 스마트폰 금융거래 어플리케이션을 통하여 OTP 인증을 선택받는 과정; 및 상기 금융거래서버가, 상기 금융거래자가 소지한 OTP카드의 카드시리얼번호 및 스마트폰 전화번호를 OTP인증서버에 전송하며 OTP 인증을 요청하는 과정;을 포함하며,
상기 서버 생성 OTP 번호의 요청은 상기 OTP인증서버가, 1회용 추가키를 생성하는 과정; 및 상기 OTP인증서버가, 생성한 1회용 추가키를 상기 카드시리얼번호와 함께 OTP생성서버에 전송하여 OTP 번호를 요청하는 과정을 포함하며,
상기 서버 생성 OTP 번호 전송 과정은,
상기 카드시리얼번호와 1회용 추가키를 더한 합성시리얼번호를 시간정보와 함께 OTP 생성 알고리즘에 적용하여 서버 생성 OTP 번호를 생성하는 과정; 및 상기 서버 생성 OTP 번호를 상기 OTP인증서버에 전송하는 과정;을 포함하되, 상기 합성시리얼번호는 상기 카드시리얼번호의 앞 또는 뒤에 상기 1회용 추가키를 더하여 생성하는 것을 특징으로 하는 스마트 OTP 보안 인증 방법.
An OTP authentication request process in which a financial transaction server requests an OTP authentication server of a financial trader who has requested a financial transaction;
A server-generated OTP number transmission step of generating an OTP server-generated OTP number, which is received from the OTP authentication server and receiving a request for a server-generated OTP number, which is an OTP number, and transmitting the generated OTP number to the OTP authentication server;
An OTP application driving process in which the OTP generation server drives an OTP application installed in a smartphone of the financial trader;
Wherein the OTP application transmits a card generation OTP number, which is an OTP number generated from the OTP card, to the OTP authentication server, wherein the OTP card generates a card creation OTP using the time information of the smart phone and the time information of the OTP generation server, Generating a card-generated OTP number by transmitting the card-generated OTP number to the OTP authentication server;
Transmitting, by the OTP authentication server, the OTP authentication result obtained by comparing the server generated OTP number with the card generated OTP number to the financial transaction server; And
And the financial transaction server performing a financial transaction or stopping a financial transaction according to the OTP authentication result,
In the OTP authentication request process,
The financial transaction server receiving OTP authentication from the financial trader through a financial transaction web page or smart phone financial transaction application; And transmitting the card serial number and the smart phone number of the OTP card held by the financial transaction server to the OTP authentication server and requesting OTP authentication,
Requesting the server-generated OTP number, the OTP authentication server generating a disposable additional key; And requesting the OTP number by transmitting the generated one-time additional key to the OTP generation server together with the card serial number, by the OTP authentication server,
The server-generated OTP number transmission process includes:
Generating a server-generated OTP number by applying the synthetic serial number obtained by adding the card serial number and the one-time additional key to the OTP generation algorithm together with the time information; And transmitting the server generated OTP number to the OTP authentication server, wherein the synthetic serial number is generated by adding the disposable additional key before or after the card serial number, Way.
상기 OTP생성서버가, 상기 금융거래자의 스마트폰에 설치된 OTP 어플리케이션을 구동시키는 푸시 메시지와 상기 1회용 추가키를 상기 금융거래자의 스마트폰에 전송하는 OTP 어플리케이션 구동 과정;
상기 푸시 메시지를 수신한 상기 스마트폰이 상기 OTP 어플리케이션을 구동시키는 과정;
을 포함하는 스마트 OTP 보안 인증 방법.
The method as claimed in claim 1,
An OTP application operating step in which the OTP generation server transmits a push message for driving an OTP application installed in a smartphone of the financial trader and the disposable additional key to a smartphone of the financial trader;
Causing the smartphone, which has received the push message, to operate the OTP application;
Gt; OTP < / RTI >
상기 OTP 어플리케이션이, 시간정보와 함께 상기 1회용 추가키를 태깅된 OTP카드에 전송하는 시간정보 전송 과정;
상기 OTP 어플리케이션이, 상기 OTP카드에서 생성되는 카드 생성 OTP 번호를 수신하는 과정; 및
상기 OTP 어플리케이션이, 상기 OTP카드로부터 수신한 OTP 번호를 카드 생성 OTP 번호로서 상기 OTP인증서버에 전송하는 과정;
을 포함하는 스마트 OTP 보안 인증 방법.
6. The method as claimed in claim 5,
The OTP application transmits the disposable additional key to the tagged OTP card together with time information;
Receiving, by the OTP application, a card generation OTP number generated from the OTP card; And
Transmitting, by the OTP application, the OTP number received from the OTP card to the OTP authentication server as a card generation OTP number;
Gt; OTP < / RTI >
상기 카드시리얼번호와 1회용 추가키를 더한 합성시리얼번호를 시간정보와 함께 OTP 생성 알고리즘에 적용하여 생성된 카드 생성 OTP 번호임을 특징으로 하는 스마트 OTP 보안 인증 방법.
7. The method as claimed in claim 6, wherein the card generation OTP number generated by the OTP card includes:
And a card-generated OTP number generated by applying the synthetic serial number obtained by adding the card serial number and the one-time additional key to the OTP generation algorithm together with the time information.
시간정보를 이용하여 OTP 번호인 카드 생성 OTP 번호를 생성하여 상기 금융거래자의 스마트폰에 전송하는 OTP카드;
상기 금융거래자의 스마트폰에 설치되어, 스마트폰의 시간정보를 상기 OTP카드로 전송하며, 상기 OTP카드에서 생성된 카드 생성 OTP 번호를 수신하여 OTP 인증서버로 전송하는 OTP 어플리케이션;
상기 금융거래자의 OTP카드의 카드시리얼번호를 상기 OTP생성서버에 전송하여 서버 생성 OTP 번호를 요청하며, 상기 OTP생성서버로부터 수신한 서버 생성 OTP 번호와 상기 OTP 어플리케이션으로부터 수신한 카드 생성 OTP 번호를 비교한 OTP 인증결과를 상기 금융거래서버에 전송하는 OTP인증서버; 및
상기 OTP 인증결과에 따라 금융거래를 수행하거나 금융거래를 중지시키며, 상기 금융거래자가 소지한 OTP카드의 카드시리얼번호 및 스마트폰 전화번호를 상기 OTP인증서버에 전송하며 OTP 인증을 요청하는 금융거래서버;를 포함하며,
상기 OTP인증서버는 1회용 추가키를 생성하여 상기 카드시리얼번호와 함께 상기 OTP생성서버에 전송하며,
상기 OTP생성서버는 상기 카드시리얼번호와 1회용 추가키를 더한 합성시리얼번호를 시간정보와 함께 OTP 생성 알고리즘에 적용하여 서버 생성 OTP 번호를 생성하되, 상기 합성시리얼번호는 상기 카드시리얼번호의 앞 또는 뒤에 상기 1회용 추가키를 더하여 생성하며,
상기 OTP카드는 상기 카드시리얼번호와 1회용 추가키를 더한 합성시리얼번호를 시간정보와 함께 상기 OTP생성서버에 등록된 OTP 생성 알고리즘과 동일한 알고리즘에 적용하여 카드 생성 OTP 번호를 생성하며, 상기 OTP카드는 상기 스마트폰의 시간정보와 상기 OTP생성서버의 시간정보를 이용해서 카드 생성 OTP 번호를 생성하여 상기 OTP인증서버로 전송하는 스마트 OTP 보안 인증 장치.
An OTP generation server for generating a server-generated OTP number for OTP authentication of a financial trader who has requested a financial transaction through a financial transaction server and transmitting the generated OTP number to the OTP authentication server and driving an OTP application installed in the smartphone of the financial trader;
An OTP card for generating a card-generated OTP number, which is an OTP number, using time information, and transmitting the OTP number to a smartphone of the financial trader;
An OTP application installed in the smartphone of the financial trader and transmitting time information of the smart phone to the OTP card, receiving the card generation OTP number generated from the OTP card, and transmitting the card generation OTP number to the OTP authentication server;
Transmits a card serial number of the OTP card of the financial trader to the OTP generation server to request a server generation OTP number, and compares the server generation OTP number received from the OTP generation server with the card generation OTP number received from the OTP application An OTP authentication server for transmitting an OTP authentication result to the financial transaction server; And
A financial transaction server that transmits a card serial number and a smart phone number of an OTP card held by the financial trader to the OTP authentication server and requests OTP authentication, ≪ / RTI >
The OTP authentication server generates a one-time additional key and transmits it to the OTP generation server together with the card serial number,
The OTP generation server generates a server-generated OTP number by applying the synthetic serial number plus the card serial number and the disposable additional key to the OTP generation algorithm together with the time information, wherein the synthetic serial number is generated before or after the card serial number Followed by adding the disposable additional key,
The OTP card generates a card generation OTP number by applying the synthetic serial number plus the card serial number and the one-time additional key to the same algorithm as the OTP generation algorithm registered in the OTP generation server together with the time information, Generates a card-generated OTP number by using the time information of the smartphone and the time information of the OTP generation server, and transmits the card-generated OTP number to the OTP authentication server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140183078A KR101547304B1 (en) | 2014-12-18 | 2014-12-18 | Apparatus for security authentication using smart OTP |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140183078A KR101547304B1 (en) | 2014-12-18 | 2014-12-18 | Apparatus for security authentication using smart OTP |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101547304B1 true KR101547304B1 (en) | 2015-08-27 |
Family
ID=54061945
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140183078A KR101547304B1 (en) | 2014-12-18 | 2014-12-18 | Apparatus for security authentication using smart OTP |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101547304B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170027749A (en) | 2017-02-20 | 2017-03-10 | 무 혁 권 | The method of secure transaction with keeping both phone and web/app connected on smartphone |
KR102247093B1 (en) * | 2020-09-08 | 2021-04-30 | 롯데멤버스 주식회사 | Generation and authentication system and method for one-time-dynamic-code |
KR102281580B1 (en) * | 2020-03-11 | 2021-07-26 | 오상영 | Authentication system and method of performing authentication in authentication system |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100824743B1 (en) * | 2007-12-12 | 2008-04-23 | 조인숙 | Method for user authentication using mobile phone and system therefor |
-
2014
- 2014-12-18 KR KR1020140183078A patent/KR101547304B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100824743B1 (en) * | 2007-12-12 | 2008-04-23 | 조인숙 | Method for user authentication using mobile phone and system therefor |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170027749A (en) | 2017-02-20 | 2017-03-10 | 무 혁 권 | The method of secure transaction with keeping both phone and web/app connected on smartphone |
KR102281580B1 (en) * | 2020-03-11 | 2021-07-26 | 오상영 | Authentication system and method of performing authentication in authentication system |
KR102247093B1 (en) * | 2020-09-08 | 2021-04-30 | 롯데멤버스 주식회사 | Generation and authentication system and method for one-time-dynamic-code |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9864987B2 (en) | Account provisioning authentication | |
US9824244B1 (en) | Systems and methods for a wearable user authentication factor | |
US10475015B2 (en) | Token-based security processing | |
US20210390548A1 (en) | Passwordless authentication through use of device tokens or web browser cookies | |
US9225523B2 (en) | Authentication system and authentication method | |
US10515361B2 (en) | Smart card secure online checkout | |
US20140129450A1 (en) | Secure payment method and system | |
US20120246071A1 (en) | System and method for presentment of nonconfidential transaction token identifier | |
CN103942897B (en) | A kind of method realizing withdrawing the money without card on ATM | |
US10692078B1 (en) | Consumer device generation of limited-use credit card numbers | |
AU2011207602A1 (en) | Verification mechanism | |
US20200372147A1 (en) | Systems for enabling tokenized wearable devices | |
US20230281594A1 (en) | Authentication for third party digital wallet provisioning | |
KR20170095029A (en) | Method, application, computer program and device for providing authentication service using mobile terminal | |
KR101547304B1 (en) | Apparatus for security authentication using smart OTP | |
AU2020202191A1 (en) | Method for authenticating and authorising a transaction using a portable device | |
WO2017033118A1 (en) | Method and system for enhancing security of contactless card | |
US11775628B2 (en) | Multi factor authentication using different devices | |
US20190075094A1 (en) | System and method for remote identification during transaction processing | |
KR20160038450A (en) | Method for providing authentication service based on network and authentication server | |
US20230394559A1 (en) | Order information for electronic devices | |
EP4148648A1 (en) | Method for managing a till e-receipt | |
CA3000413C (en) | Systems for enabling tokenized wearable devices | |
KR101642219B1 (en) | Method for Registering Payment Means | |
WO2017009743A1 (en) | Method and system for enhancing security of card based financial transaction |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
AMND | Amendment | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20180814 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20190807 Year of fee payment: 5 |