KR101692161B1 - 비콘 발신기와 일회성 패스워드를 이용한 인증 시스템 및 인증 방법 - Google Patents

비콘 발신기와 일회성 패스워드를 이용한 인증 시스템 및 인증 방법 Download PDF

Info

Publication number
KR101692161B1
KR101692161B1 KR1020150111621A KR20150111621A KR101692161B1 KR 101692161 B1 KR101692161 B1 KR 101692161B1 KR 1020150111621 A KR1020150111621 A KR 1020150111621A KR 20150111621 A KR20150111621 A KR 20150111621A KR 101692161 B1 KR101692161 B1 KR 101692161B1
Authority
KR
South Korea
Prior art keywords
minor
authentication
server
information
user terminal
Prior art date
Application number
KR1020150111621A
Other languages
English (en)
Inventor
신동렬
남춘성
신현호
정현희
Original Assignee
성균관대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 성균관대학교산학협력단 filed Critical 성균관대학교산학협력단
Priority to KR1020150111621A priority Critical patent/KR101692161B1/ko
Application granted granted Critical
Publication of KR101692161B1 publication Critical patent/KR101692161B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 발명의 인증 시스템은 비콘 메시지를 송출하는 비콘 발신기, 비콘 메시지의 수신에 따라 인증 개시 요청 메시지를 인증 서버에 출력하는 사용자 단말기 및 인증 개시 요청 메시지에 응답하여 서버 응신 메시지를 사용자 단말기에 출력하는 인증 서버를 포함할 수 있다. 사용자 단말기는 서버 응신 메시지에 따라 일회성 패스워드를 생성하여 인증 서버에 출력하고, 인증 서버는 일회성 패스워드를 검증하고, 일시적 마이너 ID를 생성하며, 생성된 일시적 마이너 ID에 따라 비콘 발신기의 비콘 메시지를 재설정할 수 있다. 사용자 단말기는 비콘 발신기에서 재설정된 비콘 메시지에서 추출된 일시적 마이너 ID에 기초하여 생성되는 마이너 ID 검증 정보를 인증 서버에 출력하고, 인증 서버는 마이너 ID 검증 정보를 일시적 마이너 ID에 의해 검증한 결과에 따라 사용자 단말기를 인증할 수 있다.

Description

비콘 발신기와 일회성 패스워드를 이용한 인증 시스템 및 인증 방법{SYSTEM AND METHOD FOR AUTHORIZATION USING BEACON TRANSMITTER AND ONE-TIME PASSWORD}
본 발명은 개인 근거리 통신 기술에 관한 것으로, 더욱 상세하게는, 개인 근거리 통신 기술에 활용될 수 있는 인증 기법에 관한 것이다.
블루투스 4.0 표준은 블루투스 로우 에너지(BLE, Bluetooth Low Energy) 기능을 도입하였는데, 이 BLE 기능은 페어링 작업을 요구하지 않고, 비콘(beacon)이라고 불리는 브로드캐스팅 무선 메시지를 좀더 확장된 거리까지 전송할 수 있으며 그러면서도 낮은 전력 소비를 보인다.
애플 사(Apple Inc.)는 BLE 기능을 이용하는 아이비콘(iBeacon) 기술을 발표하였다. 배터리로 구동되는 작은 크기의 아이비콘 발신기들은 필요에 따라 곳곳에 설치되고, 아이비콘 발신기를 고유하게 식별할 수 있는 소정의 아이비콘 메시지를 브로드캐스팅한다. 아이비콘 호환 모바일 장치는 아이비콘 메시지가 수신되면, 수신된 아이비콘 메시지들를 기초로, 나아가 필요하다면 부가적인 데이터를 함께 참조하여, 사용자 위치와 관련된 정보를 사용자에게 제공할 수 있다.
아이비콘 기술을 이용하면, 예를 들어, 실내에 충분한 수의 아이비콘 발신기들이 산재되어 있고 실내 지도가 구비되어 있다면, 실내에서 수 cm 정도의 정밀도로 사용자의 위치를 식별할 수 있다.
이에 따라, 그전까지는 착안하기 어려웠던 고정밀도의 개인화된 마케팅 서비스나 추천 서비스가 가능하게 되었다. 과거의 GPS 기반의 위치 기반 서비스는 사용자가 특정한 장소에 또는 그 근처에 있다는 정도의 데이터만으로 개인화 서비스를 시도하였다면, 아이비콘 기반의 위치 기반 서비스는 매장 내의 특정한 코너나 특정 제품 앞에 사용자가 위치한다는 실시간적이고 정밀한 데이터를 기초로 개인화 서비스를 제공할 수 있다.
하지만, 아이비콘을 비롯한 BLE 기술들은 비콘 발신기가 한정된 길이와 제한된 포맷의 비콘 메시지만을 무차별적으로 발신할 수 있을 뿐이어서 주변 사용자들의 모바일 장치들과 양방향 통신을 하지 않는다는 점에서는 활용도가 떨어진다.
대한민국 등록특허공고 제10-1028882호
본 발명이 해결하고자 하는 과제는 비콘 발신기와 일회성 패스워드를 이용한 인증 시스템 및 인증 방법을 제공하는 데에 있다.
본 발명이 해결하고자 하는 과제는 비콘 발신기를 통해 사용자 인증을 구현할 수 있는 인증 시스템 및 인증 방법을 제공하는 데에 있다.
본 발명이 해결하고자 하는 과제는 비콘 발신기를 통한 일회성 패스워드 기능을 구현하여 복수의 사용자들을 개별적으로 인증할 수 있는 인증 시스템 및 인증 방법을 제공하는 데에 있다.
본 발명의 해결과제는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 해결과제들은 아래의 기재로부터 당업자에게 명확히 이해될 수 있을 것이다.
본 발명의 일 측면에 따른 인증 시스템은 비콘 메시지를 송출하는 비콘 발신기; 상기 비콘 메시지의 수신에 따라 인증 개시 요청 메시지를 인증 서버에 출력하는 사용자 단말기; 및 상기 인증 개시 요청 메시지에 응답하여 서버 응신 메시지를 상기 사용자 단말기에 출력하는 인증 서버를 포함하고, 상기 사용자 단말기는 상기 서버 응신 메시지에 따라 일회성 패스워드를 생성하여 상기 인증 서버에 출력하고, 상기 인증 서버는 상기 일회성 패스워드를 검증하고, 일시적 마이너 ID를 생성하며, 상기 생성된 일시적 마이너 ID에 따라 상기 비콘 발신기의 비콘 메시지를 재설정하고, 상기 사용자 단말기는 상기 비콘 발신기에서 재설정된 비콘 메시지에서 추출된 일시적 마이너 ID에 기초하여 생성되는 마이너 ID 검증 정보를 상기 인증 서버에 출력하고, 상기 인증 서버는 상기 마이너 ID 검증 정보를 상기 일시적 마이너 ID에 의해 검증한 결과에 따라 상기 사용자 단말기를 인증하도록 동작할 수 있다.
일 실시예에 따라, 상기 인증 개시 요청 메시지는, 상기 사용자 단말기에 의해, 상기 비콘 메시지 내의 메이저 ID, 단말기 검증 정보 및 랜덤 정보를 포함하여 생성되고, 상기 서버 응신 메시지는, 상기 인증 서버에 의해, 서버 검증 정보를 포함하여 생성될 수 있다.
일 실시예에 따라, 상기 단말기 검증 정보는, 상기 사용자 단말기에 의해, 상기 사용자 단말기의 단말기 식별 정보와 사용자의 패스워드에 기초하여 생성되고, 상기 서버 검증 정보는, 상기 인증 서버에 의해, 상기 단말기 검증 정보와 상기 랜덤 정보에 기초하여 생성될 수 있다.
일 실시예에 따라, 상기 일시적 마이너 ID는, 상기 인증 서버에 의해, 상기 일회성 패스워드와 상기 메이저 ID에 기초하여 생성되고, 상기 마이너 ID 검증 정보는, 상기 사용자 단말기에 의해, 상기 일시적 마이너 ID, 상기 단말기 검증 정보 및 상기 랜덤 정보에 기초하여 생성될 수 있다.
일 실시예에 따라, 상기 인증 서버는, 상기 일시적 마이너 ID를 생성한 후에, 소정의 접속 경로 정보를 포함하는 접속 요청 메시지를 상기 사용자 단말기에 송신하고, 상기 사용자 단말기는, 상기 접속 요청 메시지에 응답하여, 상기 마이너 ID 검증 정보를 상기 접속 경로 정보에 따라 상기 인증 서버로 송신하도록 동작할 수 있다.
일 실시예에 따라, 상기 인증 서버는, 상기 사용자 단말기의 인증이 종료하면, 상기 일시적 마이너 ID를 무효화하고, 상기 비콘 발신기는 원래의 마이너 ID를 포함하는 비콘 메시지를 송출하도록 동작할 수 있다.
일 실시예에 따라, 상기 인증 개시 요청 메시지는, 상기 사용자 단말기에 의해, 상기 비콘 메시지 내의 메이저 ID, 사용자 식별 정보, 단말기 검증 정보 및 랜덤 정보를 포함하여 생성되고, 상기 서버 응신 메시지는, 상기 인증 서버에 의해, 상기 단말기 검증 정보, 상기 사용자 식별 정보 및 상기 랜덤 정보에 기초하여 생성되는 서버 검증 정보를 포함하여 생성될 수 있다.
본 발명의 다른 측면에 따른 인증 시스템은 메이저 ID와 마이너 ID를 포함하는 비콘 메시지를 송출하는 비콘 발신기; 상기 비콘 메시지 내의 메이저 ID, 단말기 검증 정보 및 랜덤 정보를 포함하는 인증 개시 요청 메시지를 인증 서버에 출력하는 사용자 단말기; 및 상기 인증 개시 요청 메시지 내의 메이저 ID를 검증하고, 상기 단말기 검증 정보와 상기 랜덤 정보에 기초하여 생성되는 서버 검증 정보를 포함하는 서버 응신 메시지를 상기 사용자 단말기에 출력하는 인증 서버를 포함하고, 상기 사용자 단말기는 상기 서버 응신 메시지 내의 서버 검증 정보를 검증하고, 일회성 패스워드를 생성하여 상기 인증 서버에 출력하고, 상기 인증 서버는 상기 일회성 패스워드를 검증하고, 일시적 마이너 ID를 생성하며, 상기 생성된 일시적 마이너 ID에 따라 상기 비콘 발신기의 비콘 메시지를 재설정하고, 상기 사용자 단말기는 상기 비콘 발신기에서 재설정된 비콘 메시지에서 추출된 일시적 마이너 ID, 상기 단말기 검증 정보 및 상기 랜덤 정보에 기초하여 생성되는 마이너 ID 검증 정보를 상기 인증 서버에 출력하고, 상기 인증 서버는 상기 일시적 마이너 ID에 의해 상기 마이너 ID 검증 정보를 검증한 결과에 따라 상기 사용자 단말기를 인증하도록 동작할 수 있다.
본 발명의 또 다른 측면에 따른 출석 체크 시스템은 출석 장소와 시간에 관한 메이저 ID와 마이너 ID를 포함하는 비콘 메시지를 송출하는 비콘 발신기; 상기 비콘 메시지 내의 메이저 ID, 사용자 식별 정보, 단말기 검증 정보 및 랜덤 정보를 포함하는 인증 개시 요청 메시지를 인증 서버에 출력하는 사용자 단말기; 및 상기 인증 개시 요청 메시지 내의 메이저 ID에 따라 출석 장소와 시간을 식별하고, 상기 사용자 식별 정보에 따라 출석할 사용자를 식별하며, 상기 단말기 검증 정보, 상기 사용자 식별 정보 및 상기 랜덤 정보에 기초하여 생성되는 서버 검증 정보를 포함하는 서버 응신 메시지를 상기 사용자 단말기에 출력하는 인증 서버를 포함하고, 상기 사용자 단말기는 상기 서버 응신 메시지 내의 서버 검증 정보를 검증하고, 일회성 패스워드를 생성하여 상기 인증 서버에 출력하고, 상기 인증 서버는 상기 일회성 패스워드를 검증하고, 일시적 마이너 ID를 생성하며, 상기 생성된 일시적 마이너 ID에 따라 상기 비콘 발신기의 비콘 메시지를 재설정하고, 상기 사용자 단말기는 상기 비콘 발신기에서 재설정된 비콘 메시지에서 추출된 일시적 마이너 ID, 상기 단말기 검증 정보 및 상기 랜덤 정보에 기초하여 생성되는 마이너 ID 검증 정보를 상기 인증 서버에 출력하고, 상기 인증 서버는, 상기 일시적 마이너 ID에 의해 상기 마이너 ID 검증 정보를 검증한 결과에 따라, 상기 사용자 단말기가 상기 비콘 발신기에 인접함을 인증하도록 동작할 수 있다.
본 발명의 또 다른 측면에 따른 출입 통제 시스템은 출입 제한 구역의 출입구에 설치되고, 상기 출입 제한 구역에 관한 메이저 ID와 마이너 ID를 포함하는 비콘 메시지를 송출하는 비콘 발신기; 상기 비콘 메시지 내의 메이저 ID, 사용자 식별 정보, 단말기 검증 정보 및 랜덤 정보를 포함하는 인증 개시 요청 메시지를 인증 서버에 출력하는 사용자 단말기; 및 상기 인증 개시 요청 메시지 내의 메이저 ID에 따라 상기 출입 제한 구역을 식별하고, 상기 사용자 식별 정보에 따라 상기 출입 제한 구역에 접근한 사용자를 식별하며, 상기 단말기 검증 정보, 상기 사용자 식별 정보 및 상기 랜덤 정보에 기초하여 생성되는 서버 검증 정보를 포함하는 서버 응신 메시지를 상기 사용자 단말기에 출력하는 인증 서버를 포함하고, 상기 사용자 단말기는 상기 서버 응신 메시지 내의 서버 검증 정보를 검증하고, 일회성 패스워드를 생성하여 상기 인증 서버에 출력하고, 상기 인증 서버는 상기 일회성 패스워드를 검증하고, 일시적 마이너 ID를 생성하며, 상기 생성된 일시적 마이너 ID에 따라 상기 비콘 발신기의 비콘 메시지를 재설정하고, 상기 사용자 단말기는 상기 비콘 발신기에서 재설정된 비콘 메시지에서 추출된 일시적 마이너 ID, 상기 단말기 검증 정보 및 상기 랜덤 정보에 기초하여 생성되는 마이너 ID 검증 정보를 상기 인증 서버에 출력하고, 상기 인증 서버는, 상기 일시적 마이너 ID에 의해 상기 마이너 ID 검증 정보를 검증한 결과에 따라, 상기 사용자 단말기가 상기 비콘 발신기에 인접함을 인증하도록 동작할 수 있다.
본 발명의 또 다른 측면에 따라, 비콘 발신기, 사용자 단말기 및 인증 서버를 포함하는 인증 시스템을 이용한 사용자 인증 방법은 상기 사용자 단말기가, 상기 비콘 발신기로부터 수신된 상기 비콘 메시지에 따라 인증 개시 요청 메시지를 인증 서버에 출력하는 단계; 상기 인증 서버가, 상기 인증 개시 요청 메시지에 응답하여 서버 응신 메시지를 상기 사용자 단말기에 출력하는 단계; 상기 사용자 단말기가, 상기 서버 응신 메시지에 따라 일회성 패스워드를 생성하여 상기 인증 서버에 출력하는 단계; 상기 인증 서버가, 상기 일회성 패스워드를 검증하고, 일시적 마이너 ID를 생성하며, 상기 생성된 일시적 마이너 ID에 따라 상기 비콘 발신기의 비콘 메시지를 재설정하는 단계; 상기 사용자 단말기가, 상기 비콘 발신기에서 재설정된 비콘 메시지에서 추출된 일시적 마이너 ID에 기초하여 생성되는 마이너 ID 검증 정보를 상기 인증 서버에 출력하는 단계; 상기 인증 서버가, 상기 마이너 ID 검증 정보를 상기 일시적 마이너 ID에 의해 검증한 결과에 따라 상기 사용자 단말기를 인증하는 단계를 포함할 수 있다.
일 실시예에 따라, 상기 인증 개시 요청 메시지는, 상기 사용자 단말기에 의해, 상기 비콘 메시지 내의 메이저 ID, 단말기 검증 정보 및 랜덤 정보를 포함하여 생성되고, 상기 서버 응신 메시지는, 상기 인증 서버에 의해, 서버 검증 정보를 포함하여 생성될 수 있다.
일 실시예에 따라, 상기 단말기 검증 정보는, 상기 사용자 단말기에 의해, 상기 사용자 단말기의 단말기 식별 정보와 사용자의 패스워드에 기초하여 생성되고, 상기 서버 검증 정보는, 상기 인증 서버에 의해, 상기 단말기 검증 정보와 상기 랜덤 정보에 기초하여 생성될 수 있다.
일 실시예에 따라, 상기 일시적 마이너 ID는, 상기 인증 서버에 의해, 상기 일회성 패스워드와 상기 메이저 ID에 기초하여 생성되고, 상기 마이너 ID 검증 정보는, 상기 사용자 단말기에 의해, 상기 일시적 마이너 ID, 상기 단말기 검증 정보 및 상기 랜덤 정보에 기초하여 생성될 수 있다.
일 실시예에 따라, 상기 인증 서버가, 상기 일시적 마이너 ID를 생성한 후에, 소정의 접속 경로 정보를 포함하는 접속 요청 메시지를 상기 사용자 단말기에 송신하는 단계를 더 포함하고, 상기 마이너 ID 검증 정보는, 상기 사용자 단말기에 의해, 상기 접속 경로 정보에 따라 상기 인증 서버로 송신될 수 있다.
일 실시예에 따라, 상기 인증 서버가, 상기 사용자 단말기의 인증이 종료하면, 상기 일시적 마이너 ID를 무효화하는 단계; 및 상기 비콘 발신기가, 원래의 마이너 ID를 포함하는 비콘 메시지를 송출하는 단계를 더 포함할 수 있다.
일 실시예에 따라, 상기 인증 개시 요청 메시지는, 상기 사용자 단말기에 의해, 상기 비콘 메시지 내의 메이저 ID, 사용자 식별 정보, 단말기 검증 정보 및 랜덤 정보를 포함하여 생성되고, 상기 서버 응신 메시지는, 상기 인증 서버에 의해, 상기 단말기 검증 정보, 상기 사용자 식별 정보 및 상기 랜덤 정보에 기초하여 생성되는 서버 검증 정보를 포함하여 생성될 수 있다.
본 발명의 또 다른 측면에 따라, 비콘 발신기, 사용자 단말기 및 인증 서버를 포함하는 인증 시스템을 이용한 사용자 인증 방법은 상기 사용자 단말기가, 상기 비콘 메시지 내의 메이저 ID, 단말기 검증 정보 및 랜덤 정보를 포함하는 인증 개시 요청 메시지를 인증 서버에 출력하는 단계; 상기 인증 서버가, 상기 인증 개시 요청 메시지 내의 메이저 ID를 검증하고, 상기 단말기 검증 정보와 상기 랜덤 정보에 기초하여 생성되는 서버 검증 정보를 포함하는 서버 응신 메시지를 상기 사용자 단말기에 출력하는 단계; 상기 사용자 단말기가, 상기 서버 응신 메시지 내의 서버 검증 정보를 검증하고, 일회성 패스워드를 생성하여 상기 인증 서버에 출력하는 단계; 상기 인증 서버가, 상기 일회성 패스워드를 검증하고, 일시적 마이너 ID를 생성하며, 상기 생성된 일시적 마이너 ID에 따라 상기 비콘 발신기의 비콘 메시지를 재설정하는 단계; 상기 사용자 단말기가, 상기 비콘 발신기에서 재설정된 비콘 메시지에서 추출된 일시적 마이너 ID, 상기 단말기 검증 정보 및 상기 랜덤 정보에 기초하여 생성되는 마이너 ID 검증 정보를 상기 인증 서버에 출력하는 단계; 및 상기 인증 서버가 상기 일시적 마이너 ID에 의해 상기 마이너 ID 검증 정보를 검증한 결과에 따라 상기 사용자 단말기를 인증하는 단계를 포함할 수 있다.
본 발명의 비콘 발신기와 일회성 패스워드를 이용한 인증 시스템 및 인증 방법에 따르면, 비콘 발신기를 통해 사용자 인증을 구현할 수 있다.
본 발명의 비콘 발신기와 일회성 패스워드를 이용한 인증 시스템 및 인증 방법에 따르면, 비콘 발신기를 통한 일회성 패스워드 기능을 구현하여 복수의 사용자들을 개별적으로 인증할 수 있다.
본 발명의 효과는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 비콘 발신기와 일회성 패스워드를 이용한 인증 시스템 및 인증 방법을 예시한 플로우 차트이다.
도 2는 본 발명의 일 실시예에 따른 비콘 발신기와 일회성 패스워드를 이용한 출석 체크 시스템을 예시한 개념도이다.
본문에 개시되어 있는 본 발명의 실시예들에 대해서, 특정한 구조적 내지 기능적 설명들은 단지 본 발명의 실시예를 설명하기 위한 목적으로 예시된 것으로, 본 발명의 실시예들은 다양한 형태로 실시될 수 있으며 본문에 설명된 실시예들에 한정되는 것으로 해석되어서는 아니 된다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 일 실시예에 따른 비콘 발신기와 일회성 패스워드를 이용한 인증 시스템 및 인증 방법을 예시한 플로우 차트이다.
도 1을 참조하면, 인증 시스템(10)은 비콘 발신기(11), 사용자 단말기(12) 및 인증 서버(13)를 포함할 수 있다.
통상적으로, 비콘 발신기(11)는 BLE 비콘 발신기일 수 있고, 아이비콘 발신기는 대표적인 BLE 비콘 발신기이다.
본 발명의 실시예들에서 비콘 발신기(11)는 아이비콘 발신기에 한정되지 않지만, 설명의 편의를 위해 아이비콘 발신기의 구현예를 예시하여 설명한다.
아이비콘 메시지는 블루투스 BLE 표준에 근거하여 프리픽스(prefix), UUID(universally unique identifier), 메이저 ID(major ID) 및 마이너 ID(minor ID), TX 출력 값으로 구성되는 짧고 단순한 메시지이다. 비콘 발신기들(11)은 이러한 아이비콘 메시지를 거의 일정한 주기에 따라 계속 송출한다. 아이비콘의 UUID는 어떤 사업자나 운영 주체에 대한 16 바이트의 고유 식별자이고, 그 영역 내에서 2 바이트의 메이저(major) ID와 2 바이트의 마이너(minor) ID로 각각의 비콘 발신기들(11)을 구별할 수 있다. 예를 들어, 특정 브랜드의 가맹점들이나 특정 멤버들에게만 허용된 제한 구역에 설치된 비콘 발신기들(11)은 모두 동일한 UUID를 가지도록 설정될 수 있다. 아이비콘 메시지는, 예를 들어, 메이저 ID에 의해 각 가맹점들을 구별하고, 마이너 ID에 의해 각 비콘 발신기들(11)의 구체적인 위치를 구별하도록, 설정될 수 있다. 따라서 제한된 장소에 복수의 비콘 발신기들(11)이 각자 아이비콘 메시지들을 송출하더라도 비콘 발신기들(11)의 각각을 구분할 수 있다.
BLE 기술을 지원하는 사용자 단말기(12)는 아이비콘 메시지 내에서 추출된 UUID, 메이저 및 마이너에 기초하여 비콘 발신기(11)를 설치한 사업자 내지 운영 주체와, 이러한 사업자 또는 운영 주체가 의도한 서비스를 위해 제공하는 서버의 접속 경로를 식별할 수 있다. 사용자 단말기(12)는 이동통신망 또는 무선 이더넷 통신망 접속 기능을 갖추고 있어서, 식별된 접속 경로를 통해 사업자 또는 운영 주체가 운영하는 서버에 접속함으로써, 사업자나 운영 주체가 비콘 발신기들(11)을 설치하면서 의도한 서비스를 사용자에게 자연스럽게 제공할 수 있다.
한편, 아이비콘 메시지를 포함하는 패킷은 BLE 표준에 따라 프리엠블, 어드레스(고정됨), 헤더, 아이비콘 메시지, TX 출력, CRC로 구성되는데, 아이비콘 기술을 지원하는 사용자 단말기(12)는 아이비콘 메시지의 수신 전력 측정치를 패킷에 기록된 TX 출력에 비교하여 근접(immediate, 수 cm 이내), 인접(near, 수 미터 이내), 원거리(far, 10 미터 이상) 중 하나로 판정한다.
세 가지의 거리 카테고리들의 경계는 비콘 발신기들(11)의 설정에 따라, 또는 응용 분야나 상황에 따라 달라질 수 있다. BLE 표준에 따르면 장애가 없으면 비콘 메시지 신호는 최대 450 미터까지 송출될 수 있다고 하며, 통상적인 환경에서는 약 70 미터 정도까지 도달할 수 있다. 예를 들어, 사업자 또는 운영 주체가, 사용자가 비콘 발신기(11)에 수 내지 십수 미터 이내로 근접할 때에 서비스가 개시되기를 원한다면, 비콘 발신기(11)의 아이비콘 메시지의 TX 출력은 다소 낮게 설정될 수 있다. 비콘 발신기(11)의 위치를 미리 알고 있는 사용자가 사용자 단말기(12)를 비콘 발신기(11)에 의도적으로 근접시켜야 서비스가 개시되기를 원한다면, 비콘 발신기(11)의 아이비콘 메시지의 TX 출력이 극단적으로 낮게 설정될 수 있을 것이다.
한편, 비콘 발신기(11)는 아이비콘 메시지를 브로드캐스팅하지만 사용자 단말기(12)로부터는 응답을 수신하지 않는 반면에, 인증 서버(13)에 대해서는 별도의 유무선 통신 수단을 통해 연결되어 있어서 각종 제어 신호를 수신할 수 있다. 인증 서버(13)는 사업자 또는 운영 주체의 의도에 따라 유무선 통신 수단을 통해 비콘 발신기(11)에 연결되어, 비콘 발신기(11)의 어드레스, 헤더, 아이비콘 메시지 내의 UUID, 메이저, 마이너 또는 TX 출력 등을 설정할 수 있다.
기존에도 비콘 발신기, 사용자 단말기 및 인증 서버를 이용하여 제한적인 사용자 인증이 가능하였다. 예를 들어, 비콘 발신기는 아이비콘 메시지를 송출하고, 사용자 단말기는 아이비콘 메시지를 수신하고 UUID, 메이저 ID와 마이너 ID로부터 식별된 인증 서버에 접속하며, 인증 서버가 사용자 단말기를 인증할 수는 있다. 하지만, 이러한 기존의 구성은 재사용 공격, 추측 공격, 위장 공격 등에 취약하다. 다시 말해, 사용자 단말기가 이전에 아이비콘 메시지를 수신한 적이 있다면 현재 비콘 발신기 근처에 있지 않더라도 인증 서버에 접근할 수 있고, 아이비콘 메시지를 복제한 권한없는 사용자 단말기가 인증 서버에 접근할 수도 있다. 인증 서버는 패스워드만 맞다면 사용자 단말기가 비콘 발신기 근처에 없더라도 서비스를 제공할 것이다.
만약 예를 들어, 수업 출석 관리 서비스, 제한구역의 출입 통제 서비스, 또는 행사 장소에 머물러 있는 회원들에게만 제공되는 서비스와 같은 서비스들은, 사용자의 권한과 사용자 단말기의 근접성을 반드시 확인하여야 하는데, 기존의 구성은 이러한 권한 인증 및 근접성 인증을 할 수 없다.
이렇듯 권한 인증과 근접성 인증이 필요한 서비스들을 제공하기 위해, 본 발명의 비콘 발신기와 일회성 패스워드를 이용한 인증 시스템은 다음 설명과 같이 동작할 수 있다.
먼저, 단계(S11)에서, 인증 시스템(10)의 비콘 발신기(11)는, 통상적인 비콘 발신기들과 유사하게, 메이저 ID(MAJOR)와 마이너 ID(MINOR)를 포함하는 비콘 메시지(BEACON1)를 브로드캐스팅한다. 메이저 ID는 예를 들어 서비스 제공 장소를 식별할 수 있는 정보이고 마이너 ID는 비콘 발신기(11)가 설치된 위치를 식별할 수 있는 정보일 수 있다.
단계(S12)에서, 비콘 메시지(BEACON1)를 수신한 사용자 단말기(12)는, 단말기 검증 정보(PV, Password Verifier)를 생성하고, 메이저 ID(MAJOR), 단말기 검증 정보(PV) 및 랜덤 정보(rs)를 포함하는 인증 개시 요청(REQ1)을 생성하여 인증 서버(13)에 송신할 수 있다.
구체적으로, 단계(S12)에서, 비콘 메시지(BEACON1)를 수신한 사용자 단말기(12)는, 사용자 단말기(12)의 장치 식별 정보(MAC)와 사용자의 패스워드(P)에 기초한 단말기 검증 정보(PV)를 생성하고, 메이저 ID(MAJOR), 단말기 검증 정보(PV) 및 랜덤 정보(rs)를 포함하는 인증 개시 요청(REQ1)을 생성하고, 암호화된 인증 개시 요청(REQ1)을 인증 서버(13)에 송신할 수 있다. 사용자 단말기(12)가 생성한 랜덤 정보(rs)는 이후의 단계들에서 반복적으로 사용되며, 일종의 일회성 세션 정보처럼 활용될 수 있다.
실시예에 따라, 사용자 단말기(12)는 장치 식별 정보(MAC)와 사용자의 패스워드(P)를 배타적 논리합(
Figure 112015076769353-pat00001
)한 값의 해시값인 키 메시지(KM, Key Message)를 생성하고, 패스워드(P)와 키 메시지(KM)의 논리합(||)의 해시값을 키 메시지(KM)와 배타적 논리합한 값으로서 단말기 검증 정보(PV)를 생성할 수 있다.
즉, KM=h(MAC
Figure 112015076769353-pat00002
P), PV=h(P||KM)
Figure 112015076769353-pat00003
KM에 따라 산출될 수 있다. 여기서, h()는 해시함수이다.
실시예에 따라, 인증 개시 요청(REQ1)은 사용자 식별 정보(ID)를 더 포함할 수 있고, 사용자 식별 정보(ID)는 사용자의 로그인 ID나 개인 식별 번호와 같은 정보이다.
실시예에 따라, 인증 개시 요청(REQ1)은 비콘 발신기(11)의 마이너 ID를 더 포함할 수 있다. 한 서비스 제공 장소에 복수의 비콘 발신기들(11)이 설치되어 있는 경우에, 마이너 ID를 통해 각각의 비콘 발신기들(11)이 구별될 수 있다.
실시예에 따라, 사용자 단말기(12)는 인증 개시 요청(REQ1) 메시지를 비대칭 암호화 기법에 따라 미리 약속된 공개키(Kpu)로 EKpu(MAJOR, ID, PV, rs)와 같이 암호화할 수 있다. 여기서, EKpu()는 공개키(Kpu)를 이용한 비대칭 암호화 함수이다.
단계(S13)에서, 인증 서버(13)는 수신된 인증 개시 요청(REQ1)을 복호화하고, 단말기 검증 정보(PV)와 랜덤 정보(rs)에 기초하여 생성한 서버 검증 정보(SV, Server Verifier)를 포함하는 서버 응신(RES1) 메시지를 사용자 단말기(12)에 전송한다.
인증 서버(13)는 복호화된 인증 개시 요청(REQ1)에서 추출된 메이저 ID에 따라, 인증이 요청된 장소를 식별할 수 있고, 마이너 ID에 따라, 후술할 일회성 패스워드를 설정할 비콘 발신기(11)를 특정할 수 있다.
인증 서버(13)는 복호화된 인증 개시 요청(REQ1)에서 추출된 사용자 식별 정보(ID)에 따라 인증을 요청한 사용자를 식별할 수 있다.
실시예에 따라, 인증 서버(13)는 단말기 검증 정보(PV)와 사용자 식별 정보(ID)를 논리합한 값의 해시값과 랜덤 정보(rs)의 배타적 논리합으로 서버 검증 정보(SV)를 생성할 수 있다.
실시예에 따라, 인증 서버(13)는 사용자 단말기(12)의 장치 식별 정보(MAC)와 사용자의 패스워드(P)를 이미 알고 있어서, 장치 식별 정보(MAC)와 사용자의 패스워드(P)로부터 산출된 단말기 검증 정보를 수신된 단말기 검증 정보(PV)에 비교함으로써, 수신된 단말기 검증 정보(PV)를 검증할 수 있다.
실시예에 따라, 인증 서버(13)는 인증 개시 요청(REQ1)을 비대칭 암호화 기법에 따라 미리 약속된 개인키(Kpb)로 복호화할 수 있다.
실시예에 따라, 인증 서버(13)는 서버 응신(RES1)을 비대칭 암호화 기법에 따라 미리 약속된 공개키(Kpu)로 암호화할 수 있다.
단계(S14)에서, 사용자 단말기(12)는 수신된 서버 응신(RES1)으로부터 추출한 서버 검증 정보(SV)를 검증하고, 서버 검증 정보(SV)가 검증되면, 일회성 패스워드(OTP)를 생성하고, 생성된 일회성 패스워드(OTP)를 인증 서버(13)에 전송한다.
실시예에 따라, 사용자 단말기(12)는 단말기 검증 정보(PV)와 사용자 식별 정보(ID)를 논리합한 값의 해시값과 랜덤 정보(rs)의 배타적 논리합으로 생성한 서버 검증 정보(SV')와 수신된 서버 검증 정보(SV)를 비교하여, 수신된 서버 검증 정보(SV)를 검증할 수 있다.
일회성 패스워드(OTP)는 생성된 시점부터 일정 유효 시간만큼만 유효하고 또한 일회만 유효한 코드로서, 시각 정보 또는 소정의 이벤트 정보로부터 도출되는 난수에 기초하여 생성될 수 있다.
단계(S14)에서, 사용자 단말기(12)가 이동통신망에 시간 동기화되었다고 가정하면, 사용자 단말기(12)는 인증 서버(13)와 소정의 정밀도로 시간 동기화되었다고 볼 수 있다. 이 경우에, 사용자 단말기(12)는 단말기 식별 정보와 시각 정보에 기초하여 일회성 패스워드(OTP)를 생성할 수 있다.
단계(S15)에서, 인증 서버(13)는 수신된 일회성 패스워드(OTP)를 검증하고, 일시적 마이너 ID(MINOR')를 생성하며, 생성된 일시적 마이너 ID(MINOR')를 비콘 발신기(11)에 전송한다.
실시예에 따라, 인증 서버(13)는, 사용자 단말기(12)와 시간 동기화되어 있어서, 일회성 패스워드(OTP)를 수신하면, 시각 정보에 기초하여 생성한 일회성 패스워드(OTP')와 수신된 일회성 패스워드(OTP)를 비교함으로써, 수신된 일회성 패스워드(OTP)를 검증할 수 있다.
실시예에 따라, 인증 서버(13)는 일회성 패스워드(OTP)와 메이저 ID(MAJOR)를 배타적 논리합한 값의 해시값으로서 일시적 마이너 ID(MINOR')를 생성할 수 있다. 다시 말해, MINOR'=hM(OTP
Figure 112015076769353-pat00004
MAJOR)일 수 있다. 이때의 해시 함수 hM()는 앞서 키 메시지(KM), 단말기 검증 정보(PV) 또는 서버 검증 정보(SV)를 생성할 때에 사용된 해시 함수 h()와 다른 해시 함수일 수 있다.
실시예에 따라, 인증 서버(13)는 랜덤하게 일시적 마이너 ID(MINOR')를 생성할 수도 있다.
단계(S16)에서, 인증 서버(13)는 접속 경로 정보(URL)를 포함하는 접속 요청(REQ2)을 사용자 단말기(12)에 송신한다.
단계(S17)에서, 비콘 발신기(11)는 수신된 일시적 마이너 ID(MINOR')에 기초한 비콘 메시지(BEACON2)를 브로드캐스팅한다.
여기서, 불특정 다수의 다른 사용자 단말기들이 일시적 마이너 ID(MINOR')에 기초한 비콘 메시지(BEACON2)를 수신할 수는 있다. 비록 비콘 발신기(11)가 브로드캐스팅하는 비콘 메시지들(BEACON1, BEACON2)은 서로 다른 마이너 ID들을 가지기는 하지만, 동일한 메이저 ID를 가진다는 점을 알 수 있다.
다시 말해, 다른 사용자 단말기들의 관점에서 보면, 갑자기 내용이 달라진 비콘 메시지(BEACON2)가 수신되더라도, 만약 인증 서버(13)에 접속하고자 한다면, 다른 사용자 단말기들은 비콘 메시지(BEACON2) 내에 여전히 동일하게 유지되는 메이저 ID를 이용하여 단계(S12)의 인증 개시 요청(REQ1)을 할 수 있다.
단계(S18)에서, 사용자 단말기(12)는 수신된 비콘 메시지에서 추출된 일시적 마이너 ID(MINOR')를 검증하고, 일시적 마이너 ID(MINOR'), 단말기 검증 정보(PV) 및 랜덤 정보(rs)에 기초하여 마이너 ID 검증 정보(MV)를 생성하며, 접속 경로 정보(URL)에 따라 마이너 ID 검증 정보(MV)를 포함하는 접속 요청 응신(RES2)을 인증 서버(13)로 송신한다.
실시예에 따라, 사용자 단말기(12)는 예를 들어, MV=h(MINOR'
Figure 112015076769353-pat00005
PV
Figure 112015076769353-pat00006
rs)
Figure 112015076769353-pat00007
rs와 같이, 일시적 마이너 ID(MINOR'), 단말기 검증 정보(PV) 및 랜덤 정보(rs)를 배타적 논리합한 값의 해시값과 랜덤 정보(rs)를 다시 배타적 논리합하여 마이너 ID 검증 정보(MV)를 생성할 수 있다.
실시예에 따라, 다른 사용자 단말기들은 사용자 단말기(12)에 배타적으로 전송된 접속 요청(REQ2)에 포함된 접속 경로 정보(URL)를 알지 못하므로 인증 서버(13)에 접속할 수 없다.
설령 동일한 접속 경로 정보(URL)가 재사용되거나, 다른 사용자 단말기들도 접속 경로 정보(URL)를 알고 있다고 하더라도, 다른 사용자 단말기들은 적법한 마이너 ID 검증 정보(MV)를 생성할 수 없고, 나아가 적법한 접속 요청 응신(RES2)을 할 수 없다.
다시 말해, 다른 사용자 단말기들도 사용자 단말기(12)와 마찬가지로 비콘 메시지(BEACON2)로부터 일시적 마이너 ID(MINOR')를 얼마든지 추출할 수 있지만, 다른 사용자 단말기들은 사용자 단말기(12)의 단말기 검증 정보(PV)나 랜덤 정보(rs)를 알 수 없기 때문에 일시적 마이너 ID(MINOR')를 알더라도 적법한 마이너 ID 검증 정보(MV)를 생성할 수 없다.
단계(S19)에서, 인증 서버(13)는 접속 경로 정보(URL)를 통해 수신된 접속 요청 응신(RES2)에 포함된 마이너 ID 검증 정보(MV)를 검증하고, 인증 결과 메시지(RESULT)를 사용자 단말기(12)에 전송한다. 인증 결과가 성공이거나 실패이거나, 사용자 단말기(12)에 대한 인증 세션은 종료한다.
실시예에 따라, 인증 서버(13)는 이미 알고 있는 일시적 마이너 ID(MINOR'), 단말기 검증 정보(PV) 및 랜덤 정보(rs)에 기초하여 마이너 ID 검증 정보(MV')를 생성하고, 생성된 마이너 ID 검증 정보(MV')와 수신된 마이너 ID 검증 정보(MV)를 비교함으로써, 수신된 마이너 ID 검증 정보(MV)를 검증할 수 있다.
인증 결과 메시지(RESULT)가 인증 성공인 경우에, 사용자 단말기(12)는 인증받은 서비스를 이용할 수 있다.
한편, 선택적으로 단계(S1A)에서, 사용자 단말기(12)의 인증 세션이 종료되면, 인증 서버(13)는 초기화 메시지(INIT)를 비콘 발신기(11)에 전송하여 마이너 ID를 일시적 마이너 ID(MINOR')로부터 원래 마이너 ID로 초기화할 수 있다.
만약 인증 개시 요청(REQ1)을 보내온 다른 사용자 단말기가 대기 중인 경우에는, 인증 서버(13)는, 사용자 단말기(12)의 인증이 종료되는 즉시 다른 사용자 단말기에 서버 응신(RES1) 메시지를 전송함으로써 다른 사용자 단말기의 인증 세션을 시작할 수 있는데, 이 경우에는 단계(S1A)는 실행되지 않아도 무방하다.
도 2는 본 발명의 일 실시예에 따른 비콘 발신기와 일회성 패스워드를 이용한 출석 체크 시스템을 예시한 개념도이다.
도 2를 참조하면, 출석 체크 시스템(20)은 비콘 발신기(21), 복수의 사용자 단말기들(221, 222, 223) 및 인증 서버(23)를 포함할 수 있다.
비콘 발신기(21)의 비콘 메시지(BEACON1)는 강의실과 수업을 식별할 수 있는 메이저 ID를 포함할 수 있다. 예를 들어 메이저 ID는 12 비트(4,096 가지)의 강의실 식별 비트들과 4 비트(16 가지)의 수업 시간 식별 비트들을 포함할 수 있다.
비콘 발신기(21)로부터 송출되는 비콘 메시지(BEACON1)를 복수의 사용자 단말기들(221, 222, 223)이 수신할 경우에, 복수의 사용자 단말기들(221, 222, 223) 각자는 인증 서버(23)에 인증 개시 요청(REQ1) 메시지를 각각 경쟁적으로 송신할 수 있다.
인증 서버(23)는, 여러 사용자 단말기들(221, 222, 223)로부터 인증 개시 요청(REQ1) 메시지들을 수신하고, 각각의 인증 개시 요청(REQ1) 메시지들을 검증하며, 순서를 정해 한 번에 하나씩, 예를 들어 사용자 단말기(221)에 대해 서버 응신(RES1) 메시지를 송신한다.
인증 서버(23)는 서버 응신(RES1) 메시지를 수신한 사용자 단말기(221)로부터 송신되는 일회성 패스워드(OTP)를 수신하고, 일회성 패스워드(OTP)가 검증되면 비콘 발신기(21)의 마이너 ID를 일시적으로 변경하며, 변경된 마이너 ID에 따라 사용자 단말기(221)가 송신하는 마이너 ID 검증 정보(MV)를 수신함으로써, 사용자 단말기(221)가 실제로 해당 비콘 발신기(21)에 근접한 위치에 있음, 즉 출석하였음을 인증할 수 있다.
인증 서버(23)는 사용자 단말기(221)의 인증 직후에 일회성 패스워드(OTP) 및 일시적 변경된 마이너 ID를 무효화하고, 비콘 발신기(21)의 마이너 ID를 초기화하여 다른 사용자 단말기들(222, 223)이 사용자 단말기(221)만을 위한 마이너 ID를 재사용하지 못하도록 조치할 수 있다.
인증 서버(23)는 다음 순번의 사용자 단말기(222)에게 서버 응신(RES1) 메시지를 송신함으로써, 다음 사용자 단말기(222)를 위한 인증 절차를 수행할 수 있다.
이런 식으로 인증 서버(23)는 각 사용자마다 순차적으로 출석 체크 절차를 실시할 수 있다. 각 사용자마다 메시지 송수신과 해시값 산출, 메시지 검증 등이 일어나는 시간 및 비콘 발신기를 재설정하고 비콘 메시지를 송출하는 시간 등을 모두 고려하면, 각 사용자마다 출석 체크에 걸리는 시간은 약 수백 ms 정도로 예측된다. 만약 사용자들이 각자 사용자 식별 정보(ID) 등을 미리 입력하는 등 출석 체크 준비를 완료하고 강의실에 대기하고 있다면, 수십 초 이내에 100 여명의 사용자들의 출석 체크가 자동으로, 순차적으로 수행될 수 있다.
도 2의 출석 체크 시스템(20)은, 만약 강의실 대신에 출입 제한 구역을 가정한다면, 출입 제한 구역의 출입 통제 시스템으로 재구성될 수 있다.
인증 서버(22)는 출입 권한을 가진 사용자의 사용자 식별 정보(ID), 그 사용자가 적법하게 소지한 사용자 단말기(221)의 장치 식별 정보(MAC) 및 출입 제한 구역의 출입구에 설치되고 출력이 매우 작게 설정된 비콘 발신기(21)의 메이저 ID에 기초한 인증 개시 요청(REQ1) 메시지가 수신될 때에 비로소 인증 절차를 개시할 뿐아니라, 오직 그 사용자 단말기(221)의 한 차례의 인증 요청을 위한 일회성 패스워드(OTP) 및 일시적 마이너 ID(MINOR')를 이용하여 인증을 처리하므로, 출입 제한 구역에 대한 출입 통제를 효과적으로 수행할 수 있다.
이러한 본 발명의 실시예들에 따른 출석 체크 시스템, 출입 통제 시스템 등을 비롯한 인증 시스템은 다음과 같은 보안 성능을 갖출 수 있다.
보안 공격은 중간자 공격(Man-in-the-middle Attack), 추측 공격(Guessing Attack), 식별자 탈취 공격(Stolen-Verifier Attack), 위장 공격(Impersonation Attack), 재전송 공격(Replay Attack) 등으로 예시될 수 있다.
중간자 공격은 클라이언트와 서버 사이에 네트워크 통신을 조작하여 침투한 중간자가 양측에 조작된 메시지를 전송하는 공격이다. 본 발명의 인증 시스템에서는, 인증 서버는 사용자 단말기를 단말기 검증 정보(PV)와 마이너 ID 검증 정보(MV)로 검증하고, 사용자 단말기는 인증 서버를 서버 검증 정보(SV)로 검증하며, 사용자 단말기와 인증 서버는 비콘 단말기를 일시적 마이너 ID(MINOR')로 검증하기 때문에 공격하려는 중간자는 각각의 단계마다 적어도 하나의 검증 절차들을 모두 통과하여야 하며, 중간자 공격 가능성은 사실상 배제될 수 있다.
추측 공격은 공격자가 사용자의 비밀 정보들을 추측하여 인증하려는 공격이다. 본 발명의 인증 시스템에서는, 사용자 비밀 번호, 사용자 식별 정보, 사용자 단말기의 식별 정보, 일시적 마이너 ID, 랜덤 정보 등을 이용하고, 배타적 논리합 연산과 해쉬 함수를 이용하며, 일회성 패스워드로 단 한 번의 인증 시도만을 허용할 뿐 아니라, 인증에 걸리는 짧은 시간 내에 모든 정보를 추측하기 어렵기 때문에 추측 공격의 가능성도 무시할 수 있다.
식별자 탈취 공격은 인증 서버에서 사용자의 식별자를 탈취하는 공격 기법이다. 본 발명의 인증 시스템에서는 여러 식별자들을 생성하기 위해 해당 인증 절차 시에만 유효한 랜덤 정보를 이용하므로, 공격자가 탈취한 식별자는 곧바로 더이상 유효하지 않은 정보가 되므로 쓸모가 없다. 따라서 본 발명의 인증 시스템은 식별자 탈취 공격에도 저항할 수 있다.
위장 공격은 공격자가 정당한 사용자로 위장하는 공격 기법이다. 본 발명의 인증 시스템은 시도-응답(challenge-response) 기법을 사용하는데, 메시지를 주고받을 때마다 상대방의 메시지를 검증하며, 해당 세션에서만 유효한 랜덤 정보와 일회성 패스워드를 이용하기 때문에, 이전에 인증에 성공한 세션에서 메시지를 탈취 내지 변조하더라도 공격자는 다음 인증 세션에서는 그 탈취 내지 변조한 메시지를 이용할 수 없다. 따라서 본 발명의 인증 시스템은 위장 공격에도 저항할 수 있다.
재전송 공격은 공격자가 현재 세션에서 메시지를 훔치고 현재 세션이 종료되기 전에 마치 메시지의 전송 오류 때문에 정당한 사용자가 재전송하는 것처럼 위장하는 공격 기법이다. 본 발명의 인증 시스템은 공격자가 한 번의 재전송에 성공하더라도, 이후에 이어지는 단계에서 훔친 메시지로부터 랜덤 정보와 장치 식별 정보를 역으로 추출하기 어렵고, 공격자가 비콘 발신기 근처에 있지 않으면 일시적으로 변경된 비콘 메시지를 수신하지 못하여 공격자가 적절한 검증 메시지를 생성할 수 없기 때문에 재전송 공격에도 강인하다.
본 실시예 및 본 명세서에 첨부된 도면은 본 발명에 포함되는 기술적 사상의 일부를 명확하게 나타내고 있는 것에 불과하며, 본 발명의 명세서 및 도면에 포함된 기술적 사상의 범위 내에서 당업자가 용이하게 유추할 수 있는 변형예와 구체적인 실시예는 모두 본 발명의 권리범위에 포함되는 것이 자명하다고 할 것이다.
또한, 본 발명에 따른 장치는 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽힐 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 기록매체의 예로는 ROM, RAM, 광학 디스크, 자기 테이프, 플로피 디스크, 하드 디스크, 비휘발성 메모리 등을 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
10 인증 시스템
11 비콘 발신기
12 사용자 단말기
13 인증 서버
20 출석 체크 시스템
21 비콘 발신기
221, 222, 223 사용자 단말기
23 인증 서버

Claims (19)

  1. 비콘 메시지를 송출하는 비콘 발신기;
    상기 비콘 메시지의 수신에 따라 인증 개시 요청 메시지를 인증 서버에 출력하는 사용자 단말기; 및
    상기 인증 개시 요청 메시지에 응답하여 서버 응신 메시지를 상기 사용자 단말기에 출력하는 인증 서버를 포함하고,
    상기 사용자 단말기는 상기 서버 응신 메시지에 따라 일회성 패스워드를 생성하여 상기 인증 서버에 출력하고,
    상기 인증 서버는 상기 일회성 패스워드를 검증하고, 일시적 마이너 ID를 생성하며, 상기 생성된 일시적 마이너 ID에 따라 상기 비콘 발신기의 비콘 메시지를 재설정하고,
    상기 사용자 단말기는 상기 비콘 발신기에서 재설정된 비콘 메시지에서 추출된 일시적 마이너 ID에 기초하여 생성되는 마이너 ID 검증 정보를 상기 인증 서버에 출력하고,
    상기 인증 서버는 상기 마이너 ID 검증 정보를 상기 일시적 마이너 ID에 의해 검증한 결과에 따라 상기 사용자 단말기를 인증하도록 동작하는 것을 특징으로 하는 인증 시스템으로서,
    상기 인증 개시 요청 메시지는, 상기 사용자 단말기에 의해, 상기 비콘 메시지 내의 메이저 ID, 단말기 검증 정보 및 랜덤 정보를 포함하여 생성되고,
    상기 서버 응신 메시지는, 상기 인증 서버에 의해, 서버 검증 정보를 포함하여 생성되는 것을 특징으로 하는 인증 시스템.
  2. 삭제
  3. 청구항 1에 있어서, 상기 단말기 검증 정보는, 상기 사용자 단말기에 의해, 상기 사용자 단말기의 단말기 식별 정보와 사용자의 패스워드에 기초하여 생성되고,
    상기 서버 검증 정보는, 상기 인증 서버에 의해, 상기 단말기 검증 정보와 상기 랜덤 정보에 기초하여 생성되는 것을 특징으로 하는 인증 시스템.
  4. 청구항 3에 있어서, 상기 일시적 마이너 ID는, 상기 인증 서버에 의해, 상기 일회성 패스워드와 상기 메이저 ID에 기초하여 생성되고,
    상기 마이너 ID 검증 정보는, 상기 사용자 단말기에 의해, 상기 일시적 마이너 ID, 상기 단말기 검증 정보 및 상기 랜덤 정보에 기초하여 생성되는 것을 특징으로 하는 인증 시스템.
  5. 청구항 1에 있어서, 상기 인증 서버는, 상기 일시적 마이너 ID를 생성한 후에, 소정의 접속 경로 정보를 포함하는 접속 요청 메시지를 상기 사용자 단말기에 송신하고,
    상기 사용자 단말기는, 상기 접속 요청 메시지에 응답하여, 상기 마이너 ID 검증 정보를 상기 접속 경로 정보에 따라 상기 인증 서버로 송신하도록 동작하는 것을 특징으로 하는 인증 시스템.
  6. 청구항 1에 있어서, 상기 인증 서버는, 상기 사용자 단말기의 인증이 종료하면, 상기 일시적 마이너 ID를 무효화하고,
    상기 비콘 발신기는 원래의 마이너 ID를 포함하는 비콘 메시지를 송출하도록 동작하는 것을 특징으로 하는 인증 시스템.
  7. 삭제
  8. 메이저 ID와 마이너 ID를 포함하는 비콘 메시지를 송출하는 비콘 발신기;
    상기 비콘 메시지 내의 메이저 ID, 단말기 검증 정보 및 랜덤 정보를 포함하는 인증 개시 요청 메시지를 인증 서버에 출력하는 사용자 단말기; 및
    상기 인증 개시 요청 메시지 내의 메이저 ID를 검증하고, 상기 단말기 검증 정보와 상기 랜덤 정보에 기초하여 생성되는 서버 검증 정보를 포함하는 서버 응신 메시지를 상기 사용자 단말기에 출력하는 인증 서버를 포함하고,
    상기 사용자 단말기는 상기 서버 응신 메시지 내의 서버 검증 정보를 검증하고, 일회성 패스워드를 생성하여 상기 인증 서버에 출력하고,
    상기 인증 서버는 상기 일회성 패스워드를 검증하고, 일시적 마이너 ID를 생성하며, 상기 생성된 일시적 마이너 ID에 따라 상기 비콘 발신기의 비콘 메시지를 재설정하고,
    상기 사용자 단말기는 상기 비콘 발신기에서 재설정된 비콘 메시지에서 추출된 일시적 마이너 ID, 상기 단말기 검증 정보 및 상기 랜덤 정보에 기초하여 생성되는 마이너 ID 검증 정보를 상기 인증 서버에 출력하고,
    상기 인증 서버는 상기 일시적 마이너 ID에 의해 상기 마이너 ID 검증 정보를 검증한 결과에 따라 상기 사용자 단말기를 인증하도록 동작하는 것을 특징으로 하는 인증 시스템.
  9. 출석 장소와 시간에 관한 메이저 ID와 마이너 ID를 포함하는 비콘 메시지를 송출하는 비콘 발신기;
    상기 비콘 메시지 내의 메이저 ID, 사용자 식별 정보, 단말기 검증 정보 및 랜덤 정보를 포함하는 인증 개시 요청 메시지를 인증 서버에 출력하는 사용자 단말기; 및
    상기 인증 개시 요청 메시지 내의 메이저 ID에 따라 출석 장소와 시간을 식별하고, 상기 사용자 식별 정보에 따라 출석할 사용자를 식별하며, 상기 단말기 검증 정보, 상기 사용자 식별 정보 및 상기 랜덤 정보에 기초하여 생성되는 서버 검증 정보를 포함하는 서버 응신 메시지를 상기 사용자 단말기에 출력하는 인증 서버를 포함하고,
    상기 사용자 단말기는 상기 서버 응신 메시지 내의 서버 검증 정보를 검증하고, 일회성 패스워드를 생성하여 상기 인증 서버에 출력하고,
    상기 인증 서버는 상기 일회성 패스워드를 검증하고, 일시적 마이너 ID를 생성하며, 상기 생성된 일시적 마이너 ID에 따라 상기 비콘 발신기의 비콘 메시지를 재설정하고,
    상기 사용자 단말기는 상기 비콘 발신기에서 재설정된 비콘 메시지에서 추출된 일시적 마이너 ID, 상기 단말기 검증 정보 및 상기 랜덤 정보에 기초하여 생성되는 마이너 ID 검증 정보를 상기 인증 서버에 출력하고,
    상기 인증 서버는, 상기 일시적 마이너 ID에 의해 상기 마이너 ID 검증 정보를 검증한 결과에 따라, 상기 사용자 단말기가 상기 비콘 발신기에 인접함을 인증하도록 동작하는 것을 특징으로 하는 출석 체크 시스템.
  10. 출입 제한 구역의 출입구에 설치되고, 상기 출입 제한 구역에 관한 메이저 ID와 마이너 ID를 포함하는 비콘 메시지를 송출하는 비콘 발신기;
    상기 비콘 메시지 내의 메이저 ID, 사용자 식별 정보, 단말기 검증 정보 및 랜덤 정보를 포함하는 인증 개시 요청 메시지를 인증 서버에 출력하는 사용자 단말기; 및
    상기 인증 개시 요청 메시지 내의 메이저 ID에 따라 상기 출입 제한 구역을 식별하고, 상기 사용자 식별 정보에 따라 상기 출입 제한 구역에 접근한 사용자를 식별하며, 상기 단말기 검증 정보, 상기 사용자 식별 정보 및 상기 랜덤 정보에 기초하여 생성되는 서버 검증 정보를 포함하는 서버 응신 메시지를 상기 사용자 단말기에 출력하는 인증 서버를 포함하고,
    상기 사용자 단말기는 상기 서버 응신 메시지 내의 서버 검증 정보를 검증하고, 일회성 패스워드를 생성하여 상기 인증 서버에 출력하고,
    상기 인증 서버는 상기 일회성 패스워드를 검증하고, 일시적 마이너 ID를 생성하며, 상기 생성된 일시적 마이너 ID에 따라 상기 비콘 발신기의 비콘 메시지를 재설정하고,
    상기 사용자 단말기는 상기 비콘 발신기에서 재설정된 비콘 메시지에서 추출된 일시적 마이너 ID, 상기 단말기 검증 정보 및 상기 랜덤 정보에 기초하여 생성되는 마이너 ID 검증 정보를 상기 인증 서버에 출력하고,
    상기 인증 서버는, 상기 일시적 마이너 ID에 의해 상기 마이너 ID 검증 정보를 검증한 결과에 따라, 상기 사용자 단말기가 상기 비콘 발신기에 인접함을 인증하도록 동작하는 것을 특징으로 하는 출입 통제 시스템.
  11. 비콘 발신기, 사용자 단말기 및 인증 서버를 포함하는 인증 시스템을 이용한 사용자 인증 방법으로서,
    상기 사용자 단말기가, 상기 비콘 발신기로부터 수신된 비콘 메시지에 따라 인증 개시 요청 메시지를 인증 서버에 출력하는 단계;
    상기 인증 서버가, 상기 인증 개시 요청 메시지에 응답하여 서버 응신 메시지를 상기 사용자 단말기에 출력하는 단계;
    상기 사용자 단말기가, 상기 서버 응신 메시지에 따라 일회성 패스워드를 생성하여 상기 인증 서버에 출력하는 단계;
    상기 인증 서버가, 상기 일회성 패스워드를 검증하고, 일시적 마이너 ID를 생성하며, 상기 생성된 일시적 마이너 ID에 따라 상기 비콘 발신기의 비콘 메시지를 재설정하는 단계;
    상기 사용자 단말기가, 상기 비콘 발신기에서 재설정된 비콘 메시지에서 추출된 일시적 마이너 ID에 기초하여 생성되는 마이너 ID 검증 정보를 상기 인증 서버에 출력하는 단계;
    상기 인증 서버가, 상기 마이너 ID 검증 정보를 상기 일시적 마이너 ID에 의해 검증한 결과에 따라 상기 사용자 단말기를 인증하는 단계를 포함하는 것을 특징으로 하는 인증 시스템을 이용한 사용자 인증 방법으로서,
    상기 인증 개시 요청 메시지는, 상기 사용자 단말기에 의해, 상기 비콘 메시지 내의 메이저 ID, 단말기 검증 정보 및 랜덤 정보를 포함하여 생성되고,
    상기 서버 응신 메시지는, 상기 인증 서버에 의해, 서버 검증 정보를 포함하여 생성되는 것을 특징으로 하는 인증 시스템을 이용한 사용자 인증 방법.
  12. 삭제
  13. 청구항 11에 있어서, 상기 단말기 검증 정보는, 상기 사용자 단말기에 의해, 상기 사용자 단말기의 단말기 식별 정보와 사용자의 패스워드에 기초하여 생성되고,
    상기 서버 검증 정보는, 상기 인증 서버에 의해, 상기 단말기 검증 정보와 상기 랜덤 정보에 기초하여 생성되는 것을 특징으로 하는 인증 시스템을 이용한 사용자 인증 방법.
  14. 청구항 13에 있어서, 상기 일시적 마이너 ID는, 상기 인증 서버에 의해, 상기 일회성 패스워드와 상기 메이저 ID에 기초하여 생성되고,
    상기 마이너 ID 검증 정보는, 상기 사용자 단말기에 의해, 상기 일시적 마이너 ID, 상기 단말기 검증 정보 및 상기 랜덤 정보에 기초하여 생성되는 것을 특징으로 하는 인증 시스템을 이용한 사용자 인증 방법.
  15. 청구항 11에 있어서, 상기 인증 서버가, 상기 일시적 마이너 ID를 생성한 후에, 소정의 접속 경로 정보를 포함하는 접속 요청 메시지를 상기 사용자 단말기에 송신하는 단계를 더 포함하고,
    상기 마이너 ID 검증 정보는, 상기 사용자 단말기에 의해, 상기 접속 경로 정보에 따라 상기 인증 서버로 송신되는 것을 특징으로 하는 인증 시스템을 이용한 사용자 인증 방법.
  16. 청구항 11에 있어서, 상기 인증 서버가, 상기 사용자 단말기의 인증이 종료하면, 상기 일시적 마이너 ID를 무효화하는 단계; 및
    상기 비콘 발신기가, 원래의 마이너 ID를 포함하는 비콘 메시지를 송출하는 단계를 더 포함하는 것을 특징으로 하는 인증 시스템을 이용한 사용자 인증 방법.
  17. 삭제
  18. 비콘 발신기, 사용자 단말기 및 인증 서버를 포함하는 인증 시스템을 이용한 사용자 인증 방법으로서,
    상기 사용자 단말기가, 비콘 메시지 내의 메이저 ID, 단말기 검증 정보 및 랜덤 정보를 포함하는 인증 개시 요청 메시지를 인증 서버에 출력하는 단계;
    상기 인증 서버가, 상기 인증 개시 요청 메시지 내의 메이저 ID를 검증하고, 상기 단말기 검증 정보와 상기 랜덤 정보에 기초하여 생성되는 서버 검증 정보를 포함하는 서버 응신 메시지를 상기 사용자 단말기에 출력하는 단계;
    상기 사용자 단말기가, 상기 서버 응신 메시지 내의 서버 검증 정보를 검증하고, 일회성 패스워드를 생성하여 상기 인증 서버에 출력하는 단계;
    상기 인증 서버가, 상기 일회성 패스워드를 검증하고, 일시적 마이너 ID를 생성하며, 상기 생성된 일시적 마이너 ID에 따라 상기 비콘 발신기의 비콘 메시지를 재설정하는 단계;
    상기 사용자 단말기가, 상기 비콘 발신기에서 재설정된 비콘 메시지에서 추출된 일시적 마이너 ID, 상기 단말기 검증 정보 및 상기 랜덤 정보에 기초하여 생성되는 마이너 ID 검증 정보를 상기 인증 서버에 출력하는 단계; 및
    상기 인증 서버가 상기 일시적 마이너 ID에 의해 상기 마이너 ID 검증 정보를 검증한 결과에 따라 상기 사용자 단말기를 인증하는 단계를 포함하는 인증 시스템을 이용한 사용자 인증 방법.
  19. 컴퓨터에서 청구항 11, 청구항 13 내지 청구항 16, 청구항 18 중 어느 한 청구항에 따른 인증 시스템을 이용한 사용자 인증 방법의 각 단계들을 구현하도록 작성되어 기록 매체에 기록된 컴퓨터 프로그램.
KR1020150111621A 2015-08-07 2015-08-07 비콘 발신기와 일회성 패스워드를 이용한 인증 시스템 및 인증 방법 KR101692161B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150111621A KR101692161B1 (ko) 2015-08-07 2015-08-07 비콘 발신기와 일회성 패스워드를 이용한 인증 시스템 및 인증 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150111621A KR101692161B1 (ko) 2015-08-07 2015-08-07 비콘 발신기와 일회성 패스워드를 이용한 인증 시스템 및 인증 방법

Publications (1)

Publication Number Publication Date
KR101692161B1 true KR101692161B1 (ko) 2017-01-18

Family

ID=57992515

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150111621A KR101692161B1 (ko) 2015-08-07 2015-08-07 비콘 발신기와 일회성 패스워드를 이용한 인증 시스템 및 인증 방법

Country Status (1)

Country Link
KR (1) KR101692161B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101922540B1 (ko) 2017-12-22 2018-11-27 충남대학교산학협력단 비콘 아이디 검증방법
KR20190024030A (ko) * 2017-08-31 2019-03-08 (주)이스톰 인증 비콘을 이용하여 사용자 및 IoT 기기를 인증하는 방법 및 시스템
KR102061298B1 (ko) 2019-11-26 2019-12-31 전종현 비콘을 이용한 주유소 모니터링 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101028882B1 (ko) 2010-09-14 2011-04-12 김종승 휴대단말기를 이용한 otp 방식의 사용자인증 시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101028882B1 (ko) 2010-09-14 2011-04-12 김종승 휴대단말기를 이용한 otp 방식의 사용자인증 시스템 및 방법

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
R. van Rijswijk-Deij, Simple Location-Based One-time Passwords, Utrecht: Technical Paper, 2010.* *
정현희 외 3인, ‘iBeacon을 이용한 자동 출입 인증 시스템 설계’, 한국컴퓨터정보학회 학술발표논문집, 2015.01* *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190024030A (ko) * 2017-08-31 2019-03-08 (주)이스톰 인증 비콘을 이용하여 사용자 및 IoT 기기를 인증하는 방법 및 시스템
KR102107190B1 (ko) * 2017-08-31 2020-05-06 (주)이스톰 인증 비콘을 이용하여 사용자 및 IoT 기기를 인증하는 방법 및 시스템
KR101922540B1 (ko) 2017-12-22 2018-11-27 충남대학교산학협력단 비콘 아이디 검증방법
KR102061298B1 (ko) 2019-11-26 2019-12-31 전종현 비콘을 이용한 주유소 모니터링 방법

Similar Documents

Publication Publication Date Title
US9578025B2 (en) Mobile network-based multi-factor authentication
EP3223452B1 (en) Method and apparatus for providing service on basis of identifier of user equipment
US8646063B2 (en) Methods, apparatus, and computer program products for subscriber authentication and temporary code generation
EP3677005B1 (en) Authentication protocol based on trusted execution environment
TW201706900A (zh) 終端的認證處理、認證方法及裝置、系統
KR20180095873A (ko) 무선 네트워크 접속 방법 및 장치, 및 저장 매체
CN102026180A (zh) M2m传输控制方法、装置及系统
KR101706117B1 (ko) 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법
WO2002093967A1 (en) Authentication in data communication
KR20120091635A (ko) 통신 시스템에서 인증 방법 및 장치
EP3073704A1 (en) Method of data securing transmitted over bluetooth and transmitter device transmitting secured data over bluetooth
US20140259124A1 (en) Secure wireless network connection method
US9443069B1 (en) Verification platform having interface adapted for communication with verification agent
US20210256102A1 (en) Remote biometric identification
KR101692161B1 (ko) 비콘 발신기와 일회성 패스워드를 이용한 인증 시스템 및 인증 방법
JP4987820B2 (ja) 認証システム、接続制御装置、認証装置および転送装置
KR101197213B1 (ko) 위치 정보 기반 인증시스템 및 방법
KR101212509B1 (ko) 서비스 제어시스템 및 그 방법
JPWO2020188679A1 (ja) 通信システム
CN109460647B (zh) 一种多设备安全登录的方法
KR101745482B1 (ko) 스마트홈 시스템에서의 통신 방법 및 그 장치
KR20150005788A (ko) 사용자 키 값을 이용한 사용자 인증 방법
CN105610667B (zh) 建立虚拟专用网通道的方法和装置
KR20150005789A (ko) 인증서를 이용한 사용자 인증 방법
JP5553914B1 (ja) 認証システム、認証装置、及び認証方法

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190905

Year of fee payment: 4