KR101804845B1 - 무선단말기에서의 otp인증방법 - Google Patents
무선단말기에서의 otp인증방법 Download PDFInfo
- Publication number
- KR101804845B1 KR101804845B1 KR1020160109738A KR20160109738A KR101804845B1 KR 101804845 B1 KR101804845 B1 KR 101804845B1 KR 1020160109738 A KR1020160109738 A KR 1020160109738A KR 20160109738 A KR20160109738 A KR 20160109738A KR 101804845 B1 KR101804845 B1 KR 101804845B1
- Authority
- KR
- South Korea
- Prior art keywords
- otp
- secret key
- server
- wireless terminal
- generating
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Telephone Function (AREA)
Abstract
본 발명은 무선단말기에서의 OTP인증방법에 관한 것으로, 더욱 상세하게는 무선단말기에 탑재되는 앱 형태의 소프트웨어 기반 OTP 발생기는 OTP 생성용 비밀키가 무선단말기에 저장되어 있기 때문에 해킹에 취약한 문제점이 있는데, 이것을 무선단말기에 OTP 생성용 비밀키 A와 제2서버에 OTP 생성용 비밀키 B를 분리 저장하고, OTP 비밀번호를 생성하는 단계에서 제2서버에 저장된 OTP 생성용 비밀키 B를 무선 단말기로 전달받고 무선단말기에 저장된 OTP 생성용 비밀키 A와 결합하여 OTP를 생성하는 방식으로, 특히 OTP 생성용 비밀키 B를 안전하게 전달받기 위한 방법으로 사용자의 생체정보를 무선단말기를 이용하여 생체정보 검증을 완료한 이후 최초 사용자가 생체정보 등록 시 제2서버에 저장된 공개키를 이용하여 OTP 생성용 비밀키 B를 암호화 한 후 무선단말기에 전달하고, 이를 무선단말기에 저장되어 있는 개인키로 복호화하하므로써 보안을 강화한 방식으로; 사용자의 생체정보를 이용한 1차 검증과, 1차 검증의 결과와 연동하여 무선단말기에서 안전하게 생성된 OTP 비밀번호를 이용한 2차 검증을 통하여 사용자 본인임을 인증함에 따라 보안성을 높여줄 수 있으며, OTP 생성에 필요한 비밀키(OTP 생성용 비밀키 AB)를 무선단말기와 제2서버에 분할하여 저장시키므로 무선단말기가 해킹 되어 OTP 생성용 비밀키 A 가 유출되더라도 정상적인 OTP 비밀번호를 생성할 수 없으므로 OTP 생성용 비밀키의 분실을 걱정하지 않아도 되므로 보안성이 월등히 우수해지는 효과를 기대할 수 있는 무선단말기에서의 OTP인증방법에 관한 것이다.
Description
본 발명은 무선단말기에서의 OTP인증방법에 관한 것으로, 더욱 상세하게는 무선단말기에 탑재되는 앱 형태의 소프트웨어 기반 OTP 발생기는 OTP 생성용 비밀키가 무선단말기에 저장되어 있기 때문에 해킹에 취약한 문제점이 있는데, 이것을 무선단말기에 OTP 생성용 비밀키 A와 제2서버에 OTP 생성용 비밀키 B를 분리 저장하고, OTP 비밀번호를 생성하는 단계에서 제2서버에 저장된 OTP 생성용 비밀키 B를 무선 단말기로 전달받고 무선단말기에 저장된 OTP 생성용 비밀키 A와 결합하여 OTP를 생성하는 방식으로, 특히 OTP 생성용 비밀키 B를 안전하게 전달받기 위한 방법으로 사용자의 생체정보를 무선단말기를 이용하여 생체정보 검증을 완료한 이후 최초 사용자가 생체정보 등록 시 제2서버에 저장된 공개키를 이용하여 OTP 생성용 비밀키 B를 암호화 한 후 무선단말기에 전달하고, 이를 무선단말기에 저장되어 있는 개인키로 복호화하하므로써 보안을 강화한 방식으로; 사용자의 생체정보를 이용한 1차 검증과, 1차 검증의 결과와 연동하여 무선단말기에서 안전하게 생성된 OTP 비밀번호를 이용한 2차 검증을 통하여 사용자 본인임을 인증함에 따라 보안성을 높여줄 수 있으며, OTP 생성에 필요한 비밀키(OTP 생성용 비밀키 AB)를 무선단말기와 제2서버에 분할하여 저장시키므로 무선단말기가 해킹 되어 OTP 생성용 비밀키 A 가 유출되더라도 정상적인 OTP 비밀번호를 생성할 수 없으므로 OTP 생성용 비밀키의 분실을 걱정하지 않아도 되므로 보안성이 월등히 우수해지는 효과를 기대할 수 있는 무선단말기에서의 OTP인증방법에 관한 것이다.
최근 지문 등 생체인증을 무선단말기에 접목한 인프라가 급속히 확대되어 인증, 결제 등 금융거래의 인증으로 사용되고 있다. 그렇지만 단순한 생체인증으로 금융 및 결제 등의 거래에 적용하기는 보안 안전성이 부족하다고 인식되어 적용 확산이 힘든 것이 현실이다.
그리고, 스마트폰과 같은 무선단말기의 소프트웨어 기반 OTP 생성기술은 각종 게임, 포털 및 기업용 업무인증 등의 서비스에 인증수단으로 사용되고 있으나 범용적인 통신망을 사용하고 있어 해킹 등의 보안위협을 가지고 있다. 이로 인해 금융과 같은 높은 보안수준을 필요로 하는 분야에 사용하기는 힘들었으며 이를 극복하기 위한 다양한 시도가 있었으나 큰 효과를 보지 못한 상황이다.
본 특허는 최근 급격히 발전하고 있는 생체인증 기술과 전통적인 인증방식인 OTP의 결합된 형태로 기존의 무선단말기를 이용한 소프트웨어기반 OTP의 단점을 극복한 방식이다.
* 선행기술문헌 *
대한민국 특허출원 제 10-2009-0063260호
현재 스마트폰과 같은 무선단말기에서 소프트웨어 기반 OTP를 안전하게 생성하기 위하여는 USIM, 스마트카드 등의 Secure Element 및 Trust Zone 등의 기술을 사용하여야 하나, 이 방식들은 지원되는 무선단말기의 대상이 최신 안드로이드 스마트기기로 한정되고 있어서, 다양한 사용자 스마트기기를 지원하지 못하는 한계가 있다.
또한, 안드로이드 및 iOS 스마트 기기에서 자체적으로 지원하는 키스토어, 키체인 등의 SecureStorage를 사용하여 서비스 지원대상 스마트기기를 확대 적용할 수 있으나, USIM, 스마트카드칩 등과 비교하여 상대적으로 보안이 취약하기 때문에 금융서비스에 적용하기에는 부적합한 것으로 인식되고 있다.
본 발명에서는 안드로이드 및 iOS 스마트기기 등을 포괄적으로 지원하며, 사용자 생체 정보를 검증 후, 유효 할 경우에만 OTP 생성용 비밀키B를 서버에서 사용자 무선단말기로 전송하여, 무선단말기 해킹으로 인해 OTP 비밀키A가 유출되더라도 사용자 생체 정보 인증 없이는 OTP를 생성할 수 없도록 하여 USIM 또는 추가적인 스마트카드를 사용하지 않고도 좀 더 안전한 소프트웨어 기반의 OTP를 만들고자 한다.
상기 목적달성을 위한 본 발명은
무선단말기에서 OTP생성하는 방식에 있어서,
OTP 생성에 필요한 고유의 키 값인 OTP 생성용 비밀키를 OTP 생성용 비밀키 A 와 OTP 생성용 비밀키 B 로 분할하여 무선단말기와 그 무선단말기와 통신으로 연결되는 제 2 서버에 각각 저장하는 단계와;
무선단말기가 제 1 서버에 접속하려고 할 때 제 1 서버가 무선단말기에 OTP번호를 요청하고, 무선단말기에 탑재된 구동앱은 제 2 서버에 OTP 생성용 비밀키 B를 요청하는 단계와;
제 2 서버가 OTP 생성용 비밀키 B를 구동앱으로 전송하는 단계와;
구동앱의 OTP생성부가 OTP 생성용 비밀키 A 와 B 를 결합하여 OTP 생성용 비밀키를 이용하여 OTP를 발생시켜 제 1 서버로 전송하여 인증이 이루어지도록 하는단계;
로 구성한 것을 특징으로 한다.
본 발명에 의하면, OTP 생성에 필요한 OTP 생성용 비밀키를 USIM, 스마트카드칩, TRUST ZONE 등 안전한 저장장치에 저장하지 않고서도 OTP 생성용 비밀키를 무선단말기와 제 2 서버에 분할하여 저장시킴에 따라 무선단말기가 해킹되어 무선단말기에 분할 저장된 OTP 생성용 비밀키가 분실 혹은 유출되더라도 정상적으로 OTP를 생성할 수없기 때문에 타인에 의한 OTP 무단 도용피해를 막을 수 있으며,
특히 무선단말기에서 OTP 생성에 필요한 OTP 생성용 비밀키 B 를 전송받기 위해서는 무선단말기에서 입력받은 사용자 생체정보의 인증이 완료되어야 하므로 OTP 생성용 비밀키 관리의 보안성을 월등히 향상시킬 수 있다.
또한, 최근 점진적으로 증가하고 있는 생체인증서비스는 위조나 재생 등 다양한 사고가 발생하여 인증의 신뢰성 확보를 위한 방안으로 타 인증 수단과 결합된 형태의 인증서비스를 추진하고 있으며, 생체인증과 OTP 인증을 결합하므로써, 생체인증의 취약점을 보완하고 전체 인증보안 강도를 높이는 효과를 기대할 수 있다.
도 1 은 본 발명의 무선단말기에서의 OTP 인증방법을 구현하기 위한 제 1 실시예를 보인 도면.
도 2 는 본 발명에서 OTP 생성용 비밀키의 분할방법을 예시한 도면.
도 3 은 본 발명의 무선단말기에서의 OTP 인증방법을 구현하기 위한 제 2 실시예를 보인 도면.
도 4 는 본 발명의 제 3 실시예를 보인 도면.
도 2 는 본 발명에서 OTP 생성용 비밀키의 분할방법을 예시한 도면.
도 3 은 본 발명의 무선단말기에서의 OTP 인증방법을 구현하기 위한 제 2 실시예를 보인 도면.
도 4 는 본 발명의 제 3 실시예를 보인 도면.
이하, 첨부된 도면 도 1 내지 도 4 를 참조하여 본 발명의 바람직한 실시 예를 설명하면 다음과 같다.
도 1 은 본 발명의 제 1 실시예를 설명하기 위한 하드웨어적 구성을 보인 도면이다.
제 1 실시예는
무선단말기에서 OTP생성하는 방식에 있어서,
OTP 생성에 필요한 고유의 키 값인 OTP 생성용 비밀키를 OTP 생성용 비밀키 A 와 OTP 생성용 비밀키 B 로 분할하여 무선단말기와 그 무선단말기와 통신으로 연결되는 제 2 서버에 각각 저장하는 단계와;
무선단말기가 제 1 서버에 접속하려고 할 때 제 1 서버가 무선단말기에 OTP번호를 요청하고, 무선단말기에 탑재된 구동앱은 제 2 서버에 OTP 생성용 비밀키 B를 요청하는 단계와;
제 2 서버가 OTP 생성용 비밀키 B를 구동앱으로 전송하는 단계와;
구동앱의 OTP생성부가 OTP 생성용 비밀키 A 와 B 를 결합하여 OTP 생성용 비밀키를 이용하여 OTP를 발생시켜 제 1 서버로 전송하여 인증이 이루어지도록 하는단계;
로 구성한 것을 특징으로 한다.
그리고, 전체 OTP 생성용 비밀키 AB는 2진법 또는 10진법으로 표현될 수 있는 문자 또는 숫자 데이타일때,
OTP 생성용 비밀키 A 와 OTP 생성용 비밀키 B 의 데이타 크기는 같지 않도록 설정하는 것을 특징으로 한다.
또한, OTP 생성용 비밀키 A 는 고정되고, OTP 생성용 비밀키 B는 OTP 인증시마다 가변되는 것을 특징으로 한다.
도면부호 10 은 사용자가 사용하는 무선단말기에 탑재되는 구동앱을 나타낸다.
구동앱(10)은 사용자 인증을 위해 OTP를 생성하고, 무선단말기에 구성되어 있는 통신수단을 이용하여 제 1 서버(20) 또는 제 2 서버(40)와 교신할 수 있다.
또한 구동앱(10)은 OTP 생성용 비밀키 AB 를 이용하여 OTP를 생성하는 OTP생성부(13)가 구성되고, 또한 OTP 생성용 비밀키 AB 로 부터 분할된 OTP 생성용 비밀키 A 가 저장되는 데이타 저장부(14)가 구성된다.
무선단말기는 스마트폰, PDA, 테이블PC 등 다양한 무선단말기가 대상이 될 수 있다.
도면부호 20 은 제 1 서버를 나타내는 것으로, 제 1 서버(20)는 클라이언트가 접속되는 클라이언트서버 또는 금융시스템에서의 뱅킹서버 또는 게임서버 중 어느 하나일 수 있다.
즉, 제 1 서버(20)는 사용자들이 접속할 수 있는 서버이고, 사용자들이 무선단말기를 이용하여 접속하여 어떤 작업을 수행하고자 할 때 사용자 인증을 위해 무선단말기로 OTP번호를 요청하고, 이후 무선단말기의 구동앱(10)으로 부터 OTP번호가 전송되면, 그 OTP번호를 OTP인증서버(30)로 전송하여 인증하도록 하며, 사용자 인증이 완료되면 해당 무선단말기의 작업이 이루어지도록 동작한다.
OTP인증서버(30)는 OTP 생성용 비밀키 AB 를 저장하고 있으며, 사용자 인증요청시 수신된 OTP번호와 자체 저장하고 있는 OTP 생성용 비밀키 AB를 이용하여 생성한 자체 OTP 번호를 비교하여 일치할 경우 사용자를 인증한다.
도면부호 40 은 제 2 서버를 나타내는 것으로서, 분할된 OTP 생성용 비밀키 B를 저장하며, 구동앱(10)으로 부터 비밀키 B의 요청이 있을 경우 저장되어 있는 OTP 생성용 비밀키 B 를 무선단말기의 구동앱(10)으로 전송한다.
본 발명에서 OTP 생성용 비밀키 AB를 OTP 생성용 비밀키 A 와 OTP 생성용 비밀키 B 로 분할하고, 비밀키 A 는 구동앱(10)에 저장시키고 비밀키 B 는 구동앱(10)과 통신할 수 있는 제 2 서버(40)에 저장시키는 것이며, 이와같이 OTP 생성에 사용되는 비밀키를 분할하여 물리적으로 분리된 구동앱과 제 2 서버에 분할하여 저장시킴에 따라 무선단말기가 해킹 당하더라도 OTP 생성용 비밀키의 일부만이 해킹되기 때문에 보안성이 향상되도록 한 것이다.
도 2 에서는 비밀키 A 와 비밀키 B 를 분할하는 방법에 대한 여러가지 실시예를 예시하였다.
OTP 생성용 비밀키 AB 는 2진법 또는 10진법으로 표현될 수 있는 문자 또는 숫자 데이타 또는 헤쉬함수 일 수 있으며, 도 2 (a) 와 같이 분할되는 비밀키 A 와 비밀키 B 의 데이타 길이를 동일한 길이로 분할 할 수 있다.
또한 도 2 (b)(c) 와 같이 분할되는 비밀키 A 와 비밀키 B 의 길이를 서로 다르게 분할 할 수 있는데, 도 2 (b)는 비밀키 A 보다 비밀키 B 의 데이타 길이가 더 길어지도록 분할 한 것이고, 도 2 (c) 는 비밀키 A 의 데이타 길이가 비밀키 B 보다 더 길어지도록 분할 한 것이다.
비밀키 A 와 비밀키 B 의 데이타 길이(또는 크기)가 같지 않도록 분할하는 것은 OTP 인증서버(30)에서 인위적으로 차등 분할 할 수도 있고, 비밀키의 분할 비율을 사용자가 설정하도록 할 수도 있다.
한편, 도 2 (d)는 비밀키 A 를 고정시키고, 비밀키 B 를 가변시키는 방법이다.
즉, 구동앱(10)에 저장되는 OTP 생성용 비밀키 A 는 변함없이 고정시킨 상태에서 OTP를 생성할 때마다 제 2 서버(40)에 저장되는 OTP 생성용 비밀키 B 를 가변시키는 것이며, 이러한 OTP 생성용 비밀키 B 의 가변은 OTP 인증서버(30)에서 가변시켜 제 2 서버(40)에 저장하도록 하여 구현할 수 있다.
이와같이 구성되는 본 발명의 제 1 실시예의 동작을 설명하면 다음과 같다.
구동앱(10)이 탑재된 무선단말기를 이용하는 사용자가 제 1 서버(20)에 접속하여 시스템접속 또는 전자상거래 등과 같은 임의의 거래를 요청하면, 제 1 서버(20)는 사용자 인증을 위하여 무선단말기로 OTP번호의 입력을 요청한다.
그러면, 구동앱(10)은 제 2 서버(40)로 OTP 생성용 비밀키 B 의 전송을 요청하고, 제 2 서버(40)는 자체 저장되어 있는 OTP 생성용 비밀키 B 를 구동앱(10)으로 전송하며, 구동앱(10)은 수신된 OTP 생성용 비밀키 B 와 데이타 저장부(14)에 저장되어 있는 OTP 생성용 비밀키 A 를 결합하여 완전한 OTP 생성용 비밀키 AB를 완성한다.
이때, OTP 생성부(13)는 완전한 OTP 생성용 비밀키 AB를 이용하여 OTP를 생성하여 구동앱(10) 화면에 출력하여 사용자가 OTP를 제 1 서버(20)에 전송하도록 하거나 또는 생성된 OTP 번호를 바로 제 1 서버(20)에 전송한다.
제 1 서버(20)는 입력되는 OTP를 OTP인증서버(30)에 전송하여 인증을 요청하고, OTP 인증서버(30)는 자체 저장되어 있는 OTP 생성용 비밀키 AB 를 이용하여 OTP를 생성한 후 수신된 OTP와 비교하여 일치여부를 판단한다.
상기 인증결과 사용자의 무선단말기로 부터 입력된 OTP번호의 인증이 확인되면 제 1 서버(20)는 사용자를 인증하고 사용자가 요청한 본거래를 수행하게된다.
도 3 은 본 발명의 제 2 실시예를 설명하기 위한 하드웨어적 구성을 보인 도면이며, 제 1 실시예의 구성과 동일한 구성에 대해서는 동일 도면부호 표기하여 중복설명을 피하기로 한다.
제 2 실시예는
구동앱(10)이 제 2 서버(40)에 OTP 생성용 비밀키 B를 요청하였을때,
제 2 서버(40)가 구동앱(10)으로 본인검증정보를 요청하는 단계와;
구동앱(10)이 사용자로 부터 획득된 본인검증정보를 제 2 서버(40)로 전송하는 단계;를 더 포함하고,
제 2 서버(40)는 전송된 본인검증정보를 인증하여 무선단말기 사용자가 검증되었을때 OTP 생성용 비밀키 B를 무선단말기의 구동앱(10)으로 전송하는 것을 특징으로 한다.
또한, 본인검증정보는 패스워드(PASSWORD) 또는 사용자의 생체정보이고, 생체정보는 사용자의 홍채, 지문, 음성, 얼굴, 신체특징부위 중 어느 하나 인 것을 특징으로 한다.
구동앱(10)에는 사용자의 생체정보를 입력받거나 감지할 수 있는 생체정보입력부를 구비할 수 있으며, 생체정보입력부는 홍채를 인식할 수 있는 카메라 또는 지문을 인식할 수 있는 이미지센서, 음성을 입력받을 수 있는 마이크, 얼굴이나 신체특징부위를 인식할 수 있는 카메라 중 어느 하나를 포함할 수 있다.
이와같이 구성되는 제 2 실시예의 동작을 설명하면 다음과 같다.
구동앱(10)이 제 2 서버(40)에 OTP 생성용 비밀키 B 를 요청하면, 제 2 서버(40)는 구동앱(10)으로 사용자를 식별할 수 있는 본인검증정보의 전송을 요청한다.
이때, 구동앱(10)은 사용자가 입력하는 패스워드를 본인검증정보로서 제 2 서버(40)에 전송하거나 또는 사용자가 입력하는 생체정보를 본인검증정보로서 제 2 서버(40)에 전송한다.
생체정보는 사용자의 홍채, 지문, 음성, 얼굴 또는 신체특징부위 중 어느 하나로 설정될 수 있고, 설정되는 생체정보는 사전에 제 2 서버(40)에 저장된다.
따라서, 구동앱(10)에서 패스워드가 입력되어 전송되면, 제 2 서버(40)는 사전에 저장되어 있는 패스워드와 일치하는지를 비교한 후 입력된 패스워드가 유효하다고 판단되면 저장되어 있는 OTP 생성용 비밀키 B 를 구동앱(10)으로 전송하는 것이다.
또한 구동앱(10)에서 생체정보가 입력되어 전송되면, 제 2 서버(40)는 사전에 저장되어 있는 생체정보와 일치하는지를 비교한 후 입력된 생체정보가 유효하다고 판단되면 저장되어 있는 OTP 생성용 비밀키 B를 구동앱(10)으로 전송하는 것이다.
한편, 도 4 는 본 발명의 제 3 실시예를 설명하기 위한 하드웨어적 구성을 도시한 것으로서,
구동앱(10)이 사용자가 입력한 생체정보 또는 생체정보 검증 후 얻어진 서명값을 제2서버(40)로 전송하여 검증 요청하는 단계 와;
생체인증의 검증 응답으로서 제2서버로부터 전송되는 인증세션키와 OTP생성용 비밀키B 를 수신하고, 구동앱(10)에 저장된 OTP 생성용 비밀키 A와 수신 된 OTP 생성용 비밀키 B를 결합하여 OTP 생성용 비밀키 AB를 완성하고, 완성된 OTP 생성용 비밀키AB를 이용하여 OTP를 생성하는 단계와;
생성된 OTP와 인증세션키를 제1서버(20)로 전송하여 인증하는 단계;로 구성한 것을 특징으로 한다.
또한, 생체정보는 사용자의 홍채, 지문, 음성, 얼굴, 신체특징부위 중 어느 하나인 것을 특징으로 한다.
또한, 생체정보는 사용자 무선단말기내에 저장하여 무선단말기에서 검증 하거나, 제2서버에 저장하여 제 2 서버에서 검증하는 것을 특징으로 한다.
또한, 구동앱(10)은 사용자의 생체정보를 입력 받거나 감지할 수 있는 생체정보 입력부(15)와, 생체정보 입력부(15)를 통해 입력되거나 감지한 생체정보를 이용하여 사용자를 인증하는 생체 클라이언트(11)와; 개인키와 OTP생성용 비밀키 A, 그리고 고유코드와 중요정보를 저장하는 데이타저장부(14)와; OTP 생성용 비밀키 AB로 OTP를 생성하는 OTP생성부(13)와; 생체인증서에 전자서명하는 서명부(12); 를 포함하여 구성한 것을 특징으로 한다.
그리고, 인터넷망을 통해 접속하는 사용자의 금융거래 요청 시 사용자 단말기로 생체 인증을 요청하면서 거래정보를 전달하고, 이후 사용자 단말기의 구동앱(10)으로 부터 OTP와 인증세션키가 전송되면 OTP를 OTP서버(30)로 전송하여 인증요청하고, 인증세션키를 제2서버(40)로 전송하여 인증요청하며, OTP와 인증세션키가 모두 인증되었을 때 사용자가 요청한 금융거래를 수행하는 제1서버(20)와;
OTP 생성용 비밀키 AB를 저장하고 있고, 제 1 서버(20)로 부터 거래연동 OTP의 인증요청 시 자체 저장하고 있는 OTP 생성용 비밀키 AB와 거래정보를 이용하여 OTP를 생성하여 인증하는 OTP인증서버(30)와;
사용자의 생체인증정보와 OTP 생성용 비밀키 B를 저장하고 있으면서 구동앱(10)으로 부터 서명검증 요청 시 검증을 수행하고, 검증이 완료될 경우 인증세션키를 생성하고, 인증세션키와 OTP 생성용 비밀키 B를 구동앱(10)으로 전송하며, 제1서버(20)로 부터 인증세션키의 인증요구 시 인증하는 제2서버(40);를 포함하여 구성한다.
이와같이 구성된 본 발명의 동작을 설명하면 다음과 같다.
먼저, 생체인증방법으로 금융이체 및 간편결제 또는 본인인증 거래를 원하는 사용자는 은행 및 해당 기관에서 대면 또는 비대면 방식으로 최초 인증코드를 부여받고, 구동앱(10)에서 그 인증코드를 이용 하여 최초 동작한다.
그리고, 구동앱(10)은 최초 동작시 사용자는 생체인증에 사용할 생체정보를 설정한다. 생체정보는 홍채,지문,음성,얼굴, 신체특징부위 중 어느 하나를 사용할 수 있고,사용자는 생체인증에 사용할 생체정보를 등록한다. 생체정보를 등록하면서 OTP서버(30)에 접속하여 인증코드를 입력 전송하고, OTP서버(30)는 OTP 생성용 비밀키 A를 구동앱(10)으로 전송하며, 사용자의 생체정보를 스마트기기의 데이타저장부(14)에 OTP 생성용 비밀키 A와 동시에 저장하고, 개인키/공개키 쌍을 생성하고 개인키는 사용자 스마트기기에 저장하고, 공개키와 OTP 비밀키 B를 제2서버로 전송하여 등록한다.
생체정보의 등록은 생체정보 입력부(15)를 이용하여 구현되는데, 상기 생체정보 입력부(15)는 홍채를 인식할 수 있는 카메라, 지문을 인식할 수 있는 이미지 스캐너, 음성을 식별할 수 있는 음성판독기 중 어느 하나로 구현될 수 있다. 생체정보 입력부(15)를 통해 입력된 생체정보는 생체클라이언트(11)에 저장 되어 향후 사용자의 생체인증에 사용될 수 있고, 또한 사용자의 등록 정보는 제2서버(40)로 전송되어 사용자 개인키로 서명된 서명값 검증에 사용된다.
또한, 제2서버(40)에는 사용자의 스마트폰의 고유코드 및 중요정보가 저장 되며, 분할된 OTP 생성용 비밀키 B 도 저장된다.
상기 설명과 같이 사전등록절차가 완료된 후 사용자가 스마트폰의 구동앱(10)을 실행시켜 제1서버(20)에 접속하여 이체 또는 결제 등의 정보를 입력하면서 거래를 요청 하게 되면, 제1서버(20)는 사용자가 입력한 거래정보를 구동앱(10)으로 전송 하면서 생체인증을 요청한다.
구동앱(10)은 스마트폰 화면상에 생체정보를 입력하라는 화면을 띄우고, 이후 사용자가 생체정보입력부(15)를 통해 생체정보를 입력하면 생체클라이언트(11)는 생체정보입력부(15)를 통해 입력된 생체정보를 이용하여 사용자를 인증 하고, 정상적인 사용자가 확인되면 구동앱(10)은 제2서버(40)로 서명검증시작을 요청하고, 제2서버(40)은 구동앱(10)으로 서명하기 위한 챌린지(질의값)을 전송하여 개인키 서명을 하게 한다. 서명을 완료 하면 구동앱(40)은 챌린지(질의값) 서명검증을 제2서버(40)로 전송하여 검증을 요청한다.
이때, 제2서버(40)는 구동앱(10)으로 부터 전송된 서명값을 확인하고 추가로 스마트폰 고유코드 및 중요정보에 대응하는 사용자를 식별한 후 인증세션키를 생성한다.
그리고, 생체서버(40)는 생성된 인증세션키와 분할된 OTP 비밀키 B를 생체인증 앱(10)으로 전송한다.
OTP 비밀키B와 인증세션키 및 추가정보 등 통신상으로 전송할 때는 서버에 저장된 공개키로 암호화 전송하여, 사용자 스마트기기에 저장된 개인키로만 복호화 가능하게 하여, 키 등 중요 정보의 전송에 보안을 강화하여 송수신 된다.
구동앱(10)은 수신된 OTP 생성용 비밀키 B를 데이타 저장부(14)에 저장되어 있는 OTP 생성용 비밀키 A 와 결합하여 완전한 OTP 비밀키 AB를 완성하고, 그 OTP 비밀키 AB로 OTP를 생성한다.
생성된 OTP 와 인증세션키를 제1서버(20)로 전송하면, 제1서버(20)는 입력된 거래연동 OTP를 OTP서버(30)로 전송하여 검증하고, 또한 입력된 인증세션키를 제2서버(40)로 전송하여 검증을 요청한다.
상기 검증요청에 따라 수신된 OTP와 인증세션키가 모두 검증되면 제1서버(20)는 사용자가 요청한 거래에 대한 이체 또는 결제 등의 본 거래를 수행하게 되는 것이다.
10: 구동앱, 11: 생체 클라이언트,
12: 서명부, 13: OTP 생성부,
14: 데이타저장부, 15: 생체정보 입력부,
20: 제1서버, 30: OTP인증서버,
40: 제2서버,
12: 서명부, 13: OTP 생성부,
14: 데이타저장부, 15: 생체정보 입력부,
20: 제1서버, 30: OTP인증서버,
40: 제2서버,
Claims (12)
- 무선단말기에서 OTP생성하는 방식에 있어서,
OTP 생성에 필요한 고유의 키 값인 OTP 생성용 비밀키를 OTP 생성용 비밀키 A 와 OTP 생성용 비밀키 B 로 분할하여 무선단말기와 그 무선단말기와 통신으로 연결되는 제 2 서버에 각각 저장하는 단계와;
무선단말기가 제 1 서버에 접속하려고 할 때 제 1 서버가 무선단말기에 OTP번호를 요청하고, 무선단말기에 탑재된 구동앱은 제 2 서버에 OTP 생성용 비밀키 B를 요청하는 단계와;
제 2 서버가 OTP 생성용 비밀키 B를 인증시마다 가변시켜 구동앱으로 전송하는 단계와;
구동앱의 OTP생성부가 OTP 생성용 비밀키 A 와 B 를 결합하여 OTP 생성용 비밀키를 이용하여 OTP를 발생시켜 제 1 서버로 전송하여 인증이 이루어지도록 하는단계;
로 구성하고,
전체 OTP 생성용 비밀키는 2진법 또는 10진법으로 표현될 수 있는 문자 또는 숫자 데이타일때,
OTP 생성용 비밀키 A 와 OTP 생성용 비밀키 B 의 데이타 크기는 같지 않도록 설정하는 것을 특징으로 하는 무선단말기에서의 OTP 인증방법.
- 삭제
- 삭제
- 제 1 항에 있어서,
구동앱이 제 2 서버에 OTP 생성용 비밀키 B를 요청하였을때,
제 2 서버가 구동앱으로 본인검증정보를 요청하는 단계와;
구동앱이 사용자로 부터 획득된 본인검증정보를 제 2 서버로 전송하는 단계;를 더 포함하고,
제 2 서버는 전송된 본인검증정보를 인증하여 무선단말기 사용가가 검증되었을때 OTP 생성용 비밀키 B를 무선단말기의 구동앱으로 전송하는 것을 특징으로 하며,
본인검증정보는 패스워드(PASSWORD) 또는 사용자의 생체정보이고,
생체정보는 사용자의 홍채, 지문, 음성, 얼굴 중 어느 하나 인 것을 특징으로 하는 무선단말기에서의 OTP 인증방법.
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160109738A KR101804845B1 (ko) | 2016-08-29 | 2016-08-29 | 무선단말기에서의 otp인증방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160109738A KR101804845B1 (ko) | 2016-08-29 | 2016-08-29 | 무선단말기에서의 otp인증방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101804845B1 true KR101804845B1 (ko) | 2017-12-06 |
Family
ID=60922465
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160109738A KR101804845B1 (ko) | 2016-08-29 | 2016-08-29 | 무선단말기에서의 otp인증방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101804845B1 (ko) |
-
2016
- 2016-08-29 KR KR1020160109738A patent/KR101804845B1/ko active IP Right Grant
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8689290B2 (en) | System and method for securing a credential via user and server verification | |
| US10313317B2 (en) | Systems and methods for securely managing biometric data | |
| KR102358546B1 (ko) | 장치에 대해 클라이언트를 인증하기 위한 시스템 및 방법 | |
| CN106575326B (zh) | 利用非对称加密实施一次性密码的系统和方法 | |
| US8132722B2 (en) | System and method for binding a smartcard and a smartcard reader | |
| US9813236B2 (en) | Multi-factor authentication using a smartcard | |
| US8739266B2 (en) | Universal authentication token | |
| US20190251561A1 (en) | Verifying an association between a communication device and a user | |
| US11329824B2 (en) | System and method for authenticating a transaction | |
| US20200196143A1 (en) | Public key-based service authentication method and system | |
| KR102012262B1 (ko) | 키 관리 방법 및 fido 소프트웨어 인증장치 | |
| KR101616795B1 (ko) | Pki 기반의 개인키 파일 관리 방법 및 그 시스템 | |
| KR101868564B1 (ko) | 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법 | |
| US20230198751A1 (en) | Authentication and validation procedure for improved security in communications systems | |
| EP3320664B1 (en) | Method of authenticating communication of an authentication device and at least one authentication server using local factor | |
| KR101804845B1 (ko) | 무선단말기에서의 otp인증방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |