KR101924610B1 - 개인 사용자 장치를 이용한 안전한 2채널 인증 방법 및 시스템 - Google Patents

개인 사용자 장치를 이용한 안전한 2채널 인증 방법 및 시스템 Download PDF

Info

Publication number
KR101924610B1
KR101924610B1 KR1020160161301A KR20160161301A KR101924610B1 KR 101924610 B1 KR101924610 B1 KR 101924610B1 KR 1020160161301 A KR1020160161301 A KR 1020160161301A KR 20160161301 A KR20160161301 A KR 20160161301A KR 101924610 B1 KR101924610 B1 KR 101924610B1
Authority
KR
South Korea
Prior art keywords
authentication
otp
user device
information
user
Prior art date
Application number
KR1020160161301A
Other languages
English (en)
Other versions
KR20180061761A (ko
Inventor
유영준
이은정
Original Assignee
유아스시스템즈(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 유아스시스템즈(주) filed Critical 유아스시스템즈(주)
Priority to KR1020160161301A priority Critical patent/KR101924610B1/ko
Publication of KR20180061761A publication Critical patent/KR20180061761A/ko
Application granted granted Critical
Publication of KR101924610B1 publication Critical patent/KR101924610B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)

Abstract

개인 사용자 장치를 이용한 안전한 2채널 인증 방법 및 시스템이 개시된다. 사용자 장치를 이용한 안전한 2채널 인증 방법은 제1 사용자 장치와 대상 시스템 사이에서 인증 URL 정보를 획득하기 위한 제1 인증 절차를 진행하는 단계, 제1 사용자 장치와 OTP 인증 서버 간에 인증 정보 생성을 위한 제2 인증 절차를 진행하는 단계, 제2 사용자 장치와 OTP 인증 서버 간에 접속 허용 여부를 결정하기 위한 제3 인증 절차를 진행하는 단계, 제1 사용자 장치, OTP 인증 서버 및 대상 시스템 간의 최종 접속을 위한 제4 인증 절차를 진행하는 단계를 포함할 수 있다.

Description

개인 사용자 장치를 이용한 안전한 2채널 인증 방법 및 시스템{Method and system for safety 2 channel authentication based on personal user equipment}
본 발명은 인증 방법에 관한 것으로서, 보다 상세하게는 개인 사용자 장치를 이용한 안전한 2채널 인증 방법 및 시스템에 관한 것이다.
스마트폰의 출현은 사회 및 개인 생활의 패러다임을 빠르게 변화시키고 있다. 스마트폰은 기존의 이동통신망만을 사용하는 제한적인 통신 환경을 벗어나 다양한 근거리 통신 기술 등의 사용과 함께 생활속의 정보기기로 자리매김하고 있으며 이러한 새로운 통신 기술을 적용한 다양한 서비스가 새롭게 제공되고 있다.
스마트폰은 또한, 기존의 휴대전화기에 비하여 빠른 데이터 처리속도, 대용량 저장 공간, 대형화된 화면 등을 제공함으로써 다양한 개인 정보의 저장과 운영, 서비스에 대한 활용을 가능케 하였으나, 스마트폰 내에 개인 정보의 안정한 저장과 사용에 따른 안정성 확보라는 문제점을 또한 제기하였다.
스마트폰에 저장되어 있는 개인정보는 사용자의 개인 ID로써의 역할뿐만 아니라, 스마트폰을 통한 전자적 지급 결제를 위한 결제 정보로써의 역할을 수행하고 있으므로 결제시의 금융정보의 송수신 등에서 발생 가능한 내외부의 직간접적인 위협으로부터 보호될 수 있는 방안이 고려되어야 한다.
또한, 스마트폰을 이용한 모바일 금융결제 서비스의 확산과 안전한 사용을 위하여 스마트폰에 저장되는 모든 정보를 보호하기 위한 기기보안, 운영 어플리케이션을 포함한 시스템 보안 및 네트워크 보안 등을 위한 다양한 보안 기술이 요구되고 있다.
10-2012-0052811
본 발명의 목적은 개인 사용자 장치를 이용한 안전한 2채널 인증 방법을 제공할 수 있다.
본 발명의 다른 목적은 개인 사용자 장치를 이용한 안전한 2채널 인증 방법을 수행하는 시스템을 제공할 수 있다.
본 발명의 일 측면에 따른 사용자 장치를 이용한 안전한 2채널 인증 방법은 제1 사용자 장치와 대상 시스템 사이에서 인증 URL(uniform resource locator) 정보를 획득하기 위한 제1 인증 절차를 진행하는 단계, 상기 제1 사용자 장치와 OTP(one time password) 인증 서버 간에 인증 정보 생성을 위한 제2 인증 절차를 진행하는 단계, 제2 사용자 장치와 상기 OTP 인증 서버 간에 접속 허용 여부를 결정하기 위한 제3 인증 절차를 진행하는 단계, 상기 제1 사용자 장치, 상기 OTP 인증 서버 및 상기 대상 시스템 간의 최종 접속을 위한 제4 인증 절차를 진행하는 단계를 포함할 수 있다.
한편, 상기 제1 인증 절차는 상기 제1 사용자 장치를 통해 상기 대상 시스템에 접속하는 단계, 상기 대상 시스템에서 로그인 여부, OTP 인증 여부에 대한 검증을 수행하는 단계와 상기 대상 시스템에서 인증 URL(uniform resource locator)을 상기 제2 사용자 장치로 전송하는 단계를 포함할 수 있다.
또한, 상기 제2 인증 절차는 상기 제1 사용자 장치에서 상기 인증 URL를 통해 상기 OTP 인증 서버로 인증을 수행하는 단계, 상기 OTP 인증 서버가 인증 필요 정보를 생성하는 단계, OTP 인증 페이지에는 상기 인증 필요 정보 중 인증 요청 고유값을 상기 제1 사용자 장치의 화면에 OTP 인증 코드로 표시하고 상기 제2 사용자 장치의 앱을 실행시켜 접속 승인 절차를 진행할 것을 알리는 단계를 포함할 수 있다.
또한, 상기 제3 인증 절차는 상기 제2 사용자 장치에서 상기 앱을 실행하는 단계, 상기 제2 사용자 장치가 상기 OTP 인증 서버로 인증을 요청하는 단계, 상기 OTP 인증 서버가 상기 제2 사용자 장치로부터 수신한 고유 인증키를 복호화하여 해당 사용자가 존재하는지, 인증 정보가 유효한지 여부를 검증하는 단계, 상기 OTP 인증 서버가 유효한 인증 정보가 존재하는 경우 인증 요청 고유값, OTP, 부가 정보를 상기 제2 사용자 장치로 전송하는 단계와 상기 제2 사용자 장치가 접속 승인, 접속 거부 또는 접속 제한을 수행하는 단계를 포함할 수 있다.
또한, 상기 제4 인증 절차는 상기 제1 사용자 장치가 일정 주기를 기반으로 자동으로 접속 승인이 되었는지 여부를 체크하여 상기 OTP 인증 서버로 승인 여부를 조회하는 단계, 상기 OTP 인증 서버가 상기 제2 사용자 장치에서 수행한 승인 정보가 있다면 상기 제1 사용자 장치에서 요청한 각종 인증 값과 상기 제2 사용자 장치에서 승인한 정보의 일치 여부를 검증하고, 일치하는 경우, 접속 허용 페이지를 응답하는 단계, 상기 제1 사용자 장치를 통해 상기 OTP 인증 서버로부터 수신한 상기 접속 허용 페이지로 접속하고 수신한 암호화된 파라미터를 상기 대상 시스템으로 전송하는 단계와 상기 대상 시스템으로의 상기 암호화된 파라미터를 기반으로 상기 대상 시스템으로 상기 최종 접속을 수행하는 단계를 포함할 수 있다.
또한, 사용자 장치를 이용한 안전한 2채널 인증 방법은 상기 제2 사용자 장치에 대한 사전 인증 절차를 수행하는 단계를 더 포함하되, 상기 사전 인증 절차는 상기 제1 사용자 장치 및 상기 제2 사용자 장치가 동일 사용자의 소유임을 나타내기 위한 절차이고, 상기 사전 인증 절차는, 상기 제1 사용자 장치가 OTP 정보를 출력하는 단계와 상기 제2 사용자 장치가 상기 OTP 정보를 입력하는 단계 및 상기 OTP 정보를 기반으로 장치 인증을 하고 인증 결과 정보를 암호화하여 제 2 사용자 장치와 상기 OTP 인증 서버에 각각 저장하는 단계를 포함할 수 있다.
본 발명의 또 다른 측면에 따른 사용자 장치를 이용한 안전한 2채널 인증 방법을 수행하는 인증 시스템은 2채널 인증을 위한 사용자의 제1 사용자 장치 및 제2 사용자 장치, 상기 2 채널 인증을 통해 접속하고자 하는 대상 시스템과 상기 2 채널 인증을 위한 인증 절차를 위한 OTP(one time password) 인증 서버를 포함할 수 있되, 상기 인증 시스템에서는 제1 인증 절차, 제2 인증 절차, 제3 인증 절차 및 제4 인증 절차가 수행되고, 상기 제1 인증 절차는 제1 사용자 장치와 대상 시스템 사이에서 인증 URL(uniform resource locator) 정보를 획득하기 위해 수행되고, 상기 제2 인증 절차는 상기 제1 사용자 장치와 OTP(one time password) 인증 서버 간에 인증 정보 생성을 위해 진행되고, 상기 제3 인증 절차는 제2 사용자 장치와 상기 OTP 인증 서버 간에 접속 허용 여부를 결정하기 위해 수행되고, 상기 제4 인증 절차는 상기 제1 사용자 장치, 상기 OTP 인증 서버 및 상기 대상 시스템 간의 최종 접속을 위해 수행될 수 있다.
한편, 상기 제1 인증 절차는 상기 제1 사용자 장치를 통해 상기 대상 시스템에 접속하는 단계, 상기 대상 시스템에서 로그인 여부, OTP 인증 여부에 대한 검증을 수행하는 단계와 상기 대상 시스템에서 인증 URL(uniform resource locator)을 상기 제2 사용자 장치로 전송하는 단계를 포함할 수 있다.
또한, 상기 제2 인증 절차는 상기 제1 사용자 장치에서 상기 인증 URL를 통해 상기 OTP 인증 서버로 인증을 수행하는 단계, 상기 OTP 인증 서버가 인증 필요 정보를 생성하는 단계, OTP 인증 페이지에는 상기 인증 필요 정보 중 인증 요청 고유값을 상기 제1 사용자 장치의 화면에 OTP 인증 코드로 표시하고 상기 제2 사용자 장치의 앱을 실행시켜 접속 승인 절차를 진행할 것을 알리는 단계를 포함할 수 있다.
또한, 상기 제3 인증 절차는 상기 제2 사용자 장치에서 상기 앱을 실행하는 단계, 상기 제2 사용자 장치가 상기 OTP 인증 서버로 인증을 요청하는 단계, 상기 OTP 인증 서버가 상기 제2 사용자 장치로부터 수신한 고유 인증키를 복호화하여 해당 사용자가 존재하는지, 인증 정보가 유효한지 여부를 검증하는 단계, 상기 OTP 인증 서버가 유효한 인증 정보가 존재하는 경우 인증 요청 고유값, OTP, 부가 정보를 상기 제2 사용자 장치로 전송하는 단계와 상기 제2 사용자 장치가 접속 승인, 접속 거부 또는 접속 제한을 수행하는 단계를 포함할 수 있다.
또한, 상기 제4 인증 절차는 상기 제1 사용자 장치가 일정 주기를 기반으로 자동으로 접속 승인이 되었는지 여부를 체크하여 상기 OTP 인증 서버로 승인 여부를 조회하는 단계, 상기 OTP 인증 서버가 상기 제2 사용자 장치에서 수행한 승인 정보가 있다면 상기 제1 사용자 장치에서 요청한 각종 인증 값과 상기 제2 사용자 장치에서 승인한 정보의 일치 여부를 검증하고, 일치하는 경우, 접속 허용 페이지를 응답하는 단계, 상기 제1 사용자 장치를 통해 상기 OTP 인증 서버로부터 수신한 상기 접속 허용 페이지로 접속하고 수신한 암호화된 파라미터를 상기 대상 시스템으로 전송하는 단계와 상기 대상 시스템으로의 상기 암호화된 파라미터를 기반으로 상기 대상 시스템으로 상기 최종 접속을 수행하는 단계를 포함할 수 있다.
또한, 사용자 장치를 이용한 안전한 2채널 인증 방법을 수행하는 인증 시스템은 상기 제2 사용자 장치에 대한 사전 인증 절차를 수행하되, 상기 사전 인증 절차는 상기 제1 사용자 장치 및 상기 제2 사용자 장치가 동일 사용자의 소유임을 나타내기 위한 절차이고, 상기 사전 인증 절차는, 상기 제1 사용자 장치가 OTP 정보를 출력하는 단계와 상기 제2 사용자 장치가 상기 OTP 정보를 입력하는 단계 및 상기 OTP 정보를 기반으로 장치 인증을 하고 인증 결과 정보를 암호화하여 제 2 사용자 장치와 상기 OTP 인증 서버에 각각 저장하는 단계를 포함할 수 있다.
본 발명의 실시예에 따른 개인 사용자 장치를 이용한 안전한 2채널 인증 방법 및 시스템에서는 2채널 인증을 통해 인증의 보안성을 향상 시킬 수 있다.
구체적으로 사용자가 인증 수행을 위해 현재 표시된 화면과 실제 인증 처리를 위해 대상 시스템에서 OTP 번호를 요청하는 화면의 일치 여부를 대상 시스템에서 생성하는 인증 시작 고유값과 인증 시스템에서 화면에 표시하는 인증 요청 고유값(이하 OTP 인증코드)을 이용하여 사용자가 직접 판단이 가능하게 하고 제어 할 수 있다.
또한, 유효한 권한을 가진 본인이 보유한 별도의 개인 단말기에 OTP 인증 코드와 사용자만이 알 수 있는 부가 정보를 표시함으로써 사용자가 직접 화면의 일치 여부를 판별 가능하게 하여 유사한 인증 화면을 만들어 OTP 번호를 가로채는 피싱을 방지할 수 있고 사용자의 정상 접속 및 인증 요청에 뒤이어 해커가 미리 취득한 아이디 패스워드를 통해 접속하고 인증 요청을 추가로 요청하여 시간 기반 OTP 토큰을 사용하는 사용자가 OTP 또는 사용자의 휴대폰으로 마지막으로 전송된 SMS 의 OTP를 시스템에 입력하는 순간 입력된 OTP 값을 가로채서 정상적인 접속을 가장하는 해킹 등이 불가능하게 하며 더 나아가 사용자가 해킹 시도의 위험을 인지하면 간단한 버튼 조작을 이용해 실시간으로 인증 자체를 중지 가능하게 하여 추가 침해 사고를 방지할 수 있다.
도 1은 본 발명의 실시예에 따른 스마트폰 앱 승인 방식의 2채널 인증 장치에 대한 흐름도이다.
도 2는 본 발명의 다른 실시예에 따른 SMS 전송방식의 2채널 인증 장치에 대한 흐름도이다.
도 3은 본 발명이 적용된 OTP 인증서버의 인증 페이지를 나타낸 개념도이다.
도 4는 본 발명의 실시예에 따른 스마트폰 앱 화면을 나타낸 개념도이다.
도 5는 본 발명의 실시예에 따른 OPT 인증 서버의 인증 페이지를 나타낸 개념도이다.
도 6은 본 발명의 실시예에 따른 휴대폰 SMS 수신 화면을 나타낸 개념도이다.
도 7은 본 발명의 실시예에 따른 대상 시스템에서 인증정보 생성을 나타낸 순서도이다.
도 8은 본 발명의 실시예에 따른 인증 정보를 검증하는 방법을 나타낸 순서도이다.
도 9는 본 발명의 실시예에 따른 OTP 인증 서버에서 인증 정보를 생성하는 방법을 나타낸 순서도이다.
도 10은 본 발명을 실시예에 따른 OTP 인증서버에서 승인 정보 검증을 수행하는 방법을 나타낸 순서도이다.
도 11은 본 발명의 실시예에 따른 스마트폰을 기반으로 한 최초 인증 방법을 나타낸 흐름도이다.
도 12는 본 발명의 실시예에 따른 스마트폰 최초 인증 페이지를 나타낸 개념도이다.
도 13은 본 발명의 실시예에 따른 스마트폰 앱 의 최초 인증 화면을 나타낸 개념도이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예와 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조 부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
이하, 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다.
본 발명은 시간 동기식 OTP 토큰 또는 SMS 메시지를 이용하여 2채널 인증을 수행하는 시스템의 취약점을 개선하기 위한 것이다.
사용자가 인증 수행을 위해 현재 표시된 화면과 실제 인증 처리를 위해 대상 시스템에서 OTP 번호를 요청하는 화면의 일치 여부를 대상 시스템에서 생성하는 인증 시작 고유값과 인증 시스템에서 화면에 표시하는 인증 요청 고유값(이하 OTP 인증코드)을 이용하여 사용자가 직접 판단이 가능하게 하고 제어 할 수 있다.
유효한 권한을 가진 본인이 보유한 별도의 개인 단말기에 OTP 인증 코드와 사용자만이 알 수 있는 부가 정보를 표시함으로써 사용자가 직접 화면의 일치 여부를 판별 가능하게 하여 유사한 인증 화면을 만들어 OTP 번호를 가로채는 피싱을 방지할 수 있고 사용자의 정상 접속 및 인증 요청에 뒤이어 해커가 미리 취득한 아이디 패스워드를 통해 접속하고 인증 요청을 추가로 요청하여 시간 기반 OTP 토큰을 사용하는 사용자가 OTP 또는 사용자의 휴대폰으로 마지막으로 전송된 SMS 의 OTP를 시스템에 입력하는 순간 입력된 OTP 값을 가로채서 정상적인 접속을 가장하는 해킹 등이 불가능하게 하며 더 나아가 사용자가 해킹 시도의 위험을 인지하면 간단한 버튼 조작을 이용해 실시간으로 인증 자체를 중지 가능하게 하여 추가 침해 사고를 방지할 수 있다.
도 1은 본 발명의 실시예에 따른 스마트폰 앱 승인 방식의 2채널 인증 장치에 대한 흐름도이다.
도 1을 참조하면, 사용자가 PC(personal computer)를 통해 대상 시스템에 접속한다(단계 S100).
대상 시스템에서 로그인 여부, OTP 인증 여부에 대한 검증이 수행된다(단계 S105).
로그인이 되어있지 않다면 대상 시스템의 로그인 페이지가 제공되고, 로그인이 되어있고 만료되지 않은 OTP(one time password) 인증 기록이 있는 경우 사용자에 의해 요청된 페이지가 응답될 수 있다.
로그인이 되어있고 유효한 OTP 인증 기록이 없는 경우, 대상 시스템은 요청된 페이지를 제공하지 않고, 인증 서버를 통한 인증 절차를 수행을 유도할 수 있다. 예를 들어, 대상 시스템은 인증 서버의 페이지를 표시함으로써 인증을 수행하도록 강제할 수 있다.
인증 서버의 페이지를 표시하기 위한 URL에 대한 정보를 제공 시 대상 시스템은 리턴 파라미터로 인증 시작 고유값, 부가 정보를 하나의 문자열로 합하여 암호화하여 전송할 수 있다. 인증 시작 고유값, 부가 정보를 하나의 문자열로 합하여 각각의 인증에 필요한 요소 값들을 구분할 수 없게 만들 수 있다. 인증 시작 고유값은 매번 요청시마다 변경되어야 하고 인증을 수행하는 동안에는 유일한 값으로 생성되며 서버의 안전한 장소에 저장될 수 있다.
부가 정보는 접속한 사용자의 아이디, 접속한 대상 시스템 아이디, 대상 시스템명, 현재 타임스탬프 등을 포함할 수 있다. 부가 정보 중 일부는 사용자가 인증 요청을 승인 시 본인이 요청한 인증 정보가 맞는지 여부를 확인하기 위한 용도로 사용된다.
대상 시스템에서 인증 URL이 전송된다(단계 S110).
PC에서 URL를 통해 OTP 인증 서버로 인증을 수행한다(단계 S115).
사용자는 PC를 통해 대상 시스템으로부터 응답 받은 URL 주소로 브라우저가 자동으로 인증을 재시도한다.
OTP 인증 서버가 인증 필요 정보를 생성한다(단계 S120).
OTP 인증 서버는 수신한 파라미터에서 암호화 문자열을 복호화하여 인증 시작 고유값 및 부가 정보를 추출한다. 이와 동시에 인증 요청에 대한 인증 요청 고유값(OTP 인증 코드) 및 OTP 를 생성하고 현재 접속한 PC의 정보(IP 주소 등)를 모두 매칭하여 OTP 인증 서버의 안전한 장소에 저장할 수 있다.
대상 시스템과 OTP 인증 서버는 특정 표준 시각을 기준으로 NTP(시간 동기화)가 되어 있어야 하며 수신한 타임스탬프가 OTP 인증 서버의 타임스탬프와 비교하여 일정 시간 이상이 흘렀다면 인증이 불가할 수 있다. 인증 요청 고유값은 PC 화면에 OTP 인증코드로 표현되며 인증 요청에 대한 고유값이고 유니크한 값으로 랜덤 하게 생성된다. OTP(One Time Password) 는 스마트 폰에서 인증 승인 시 사용될 1회용 패스워드 이며 동시에 보안토큰 이므로 랜덤한 값으로 생성한다.
OTP 인증 페이지에는 단계 S140에서 생성된 인증 요청 고유값을 PC 화면에 OTP 인증코드로 표시하고 스마트폰의 앱을 실행시켜 접속을 승인해야 하는 것을 알릴 수 있다(단계 S125).
스마트폰으로 앱을 실행한다(단계 S130).
스마트폰은 미리 인증을 받아야 하며 최초 인증 시 고유 인증키가 발급되며 고유 인증키는 스마트폰의 안전한 장소에 암호화되어 저장될 수 있다. 스마트폰이 암호화된 인증키를 복호화할 수 있는 비밀키를 가지고 있지 않으며 비밀키는 OTP 인증 서버에서만 존재하므로 OTP 인증 서버에서만 복호화가 가능하다. 따라서 스마트폰에서는 암호화된 고유 인증키를 암호화된 상태 그대로 필요에 따라, 각종 인증이 필요할 시 OTP 인증서버에 전송할 수 있다.
스마트 폰이 OTP 인증 서버로 인증을 요청할 수 있다(단계 S135).
스마트폰 앱을 실행하면 암호화된 고유 인증키가 OTP 인증 서버로 전송된다.
수신한 고유 인증키를 복호화하여 해당 사용자가 존재하는지, 인증 정보가 유효한지를 검증한다(단계 S140).
해당 사용자가 승인해야 할 시간이 만료되지 않은 접속 요청 정보가 있는지 단계 S140에서 복호화한 값을 대조군으로 비교하여 해당 정보가 존재한다면 스마트폰으로 응답을 한다.
인증 서버는 유효한 인증정보가 존재하는 경우 인증 요청 고유값, OTP, 부가정보를 사용자 스마트폰으로 응답한다(단계 S145).
스마트폰 앱은 수신한 인증 요청 고유값을 스마트폰 화면에 OTP 인증코드로 표시하고 사용자는 OTP 인증 코드와 PC에 표시된 OTP 인증코드가 일치하고 부가 정보(대상 시스템에 로그인한 아이디, 대상 시스템 명 등), 접속한 PC의 정보(IP 주소 등)이 자신이 요청한 정보와 일치한다고 판단하면 접속 승인을 하며 일치하지 않을 경우는 접속 거부, 접속 제한을 수행할 수 있다(단계 S150).
접속 거부는 현재 요청에 대한 정보를 스마트폰과 OTP 인증 서버에서 모두 폐기하므로 PC 에서는 인증 요청을 처음부터 다시 시작해야만 한다. 접속 제한은 OTP 인증 서버에서 해당 계정에 대한 접속을 차단하여 이후에 요청되는 인증이나 승인 요청에 대해 OTP 인증 서버에서 해당 작업을 수행하지 않으므로 원천적으로 모든 인증 방법을 무효화시켜 자신의 정보를 보호한다. 접속 승인 시에는 스마트폰 고유 인증키, 수신한 인증 요청 고유값, OTP를 OTP 인증 서버로 재전송한다. 접속 거부시에는 수신한 OTP가 아닌 거절 코드를, 접속 제한시에는 접속 제한 코드를 전송한다. 거절 코드, 접속 제한 코드는 미리 OTP 인증 서버와 스마트폰의 앱 간에 약속된 임의의 코드 값이다.
PC 화면에서는 일정 주기를 가지고 자동으로 접속 승인이 되었는지 체크하며 수동으로 승인여부를 조회할 수도 있다(단계 S155).
스마트폰에서 수행한 승인 정보가 있다면 현재 PC 에서 요청한 각종 인증 값과 스마트폰에서 승인한 정보가 일치하는지 검증하고(단계 S160), 일치한다면 접속 허용 페이지를 응답한다(단계 S165)
응답 시 파라미터로 최초에 대상 시스템으로부터 파라미터로 수신한 인증 시작 고유값을 다시 암호화하여 전송함으로써 어떤 요청에 대한 응답인지 판별이 가능하게 한다.
PC에서는 OTP 인증 서버로부터 수신한 접속 허용 페이지로 접속하고(단계 S170) 수신한 암호화된 파라미터를 그대로 대상 시스템으로 전송한다(단계 S175).
대상 시스템에서는 단계 S105에서 자신이 발급한 인증시작 고유값과 파라미터로 암호화하여 수신한 인증시작 고유값이 같다면 요청한 페이지에 접속을 허용하고 일치하지 않는다면 단계 S110의 인증 URL을 응답하여 인증 요청 프로세스를 반복한다(단계 S175). 단, 수신한 타임스탬프와 현재의 타임스탬프를 비교하여 일정 시간이 흘렀거나 최초에 발급한 타임스탬프로부터 현재 시간이 일정 시간 이상 흘렀다면 최종 접속을 허용하지 않아 인증을 위해 PC와 주고 받았던 URL의 재 사용을 방지한다.
모든 연결은 네트워크 전송구간의 안전한 전송을 수행하기 위해 SSL 연결로 이루어질 수 있다.
다른 표현으로 본 발명의 일 측면에 따른 사용자 장치를 이용한 안전한 2채널 인증 방법은 제1 인증 절차 내지 제4 인증 절차로 구분할 수 있다.
구체적으로 제1 사용자 장치와 대상 시스템 사이에서 인증 URL(uniform resource locator) 정보를 획득하기 위한 제1 인증 절차를 진행하는 단계, 제1 사용자 장치와 OTP(one time password) 인증 서버 간에 인증 정보 생성을 위한 제2 인증 절차를 진행하는 단계, 제2 사용자 장치와 OTP 인증 서버 간에 접속 허용 여부를 결정하기 위한 제3 인증 절차를 진행하는 단계, 제1 사용자 장치, OTP 인증 서버 및 대상 시스템 간의 최종 접속을 위한 제4 인증 절차를 진행하는 단계로 인증 절차가 진행될 수 있다.
한편, 제1 인증 절차는 제1 사용자 장치를 통해 대상 시스템에 접속하는 단계, 대상 시스템에서 로그인 여부, OTP 인증 여부에 대한 검증을 수행하는 단계와 대상 시스템에서 인증 URL(uniform resource locator)을 제2 사용자 장치로 전송하는 단계를 포함할 수 있다.
또한, 제2 인증 절차는 제1 사용자 장치에서 인증 URL를 통해 OTP 인증 서버로 인증을 수행하는 단계, OTP 인증 서버가 인증 필요 정보를 생성하는 단계, OTP 인증 페이지에는 인증 필요 정보 중 인증 요청 고유값을 제1 사용자 장치의 화면에 OTP 인증 코드로 표시하고 제2 사용자 장치의 앱을 실행시켜 접속 승인 절차를 진행할 것을 알리는 단계를 포함할 수 있다.
또한, 제3 인증 절차는 제2 사용자 장치에서 앱을 실행하는 단계, 제2 사용자 장치가 OTP 인증 서버로 인증을 요청하는 단계, OTP 인증 서버가 제2 사용자 장치로부터 수신한 고유 인증키를 복호화하여 해당 사용자가 존재하는지, 인증 정보가 유효한지 여부를 검증하는 단계, OTP 인증 서버가 유효한 인증 정보가 존재하는 경우 인증 요청 고유값, OTP, 부가 정보를 제2 사용자 장치로 전송하는 단계와 제2 사용자 장치가 접속 승인, 접속 거부 또는 접속 제한을 수행하는 단계를 포함할 수 있다.
또한, 제4 인증 절차는 제1 사용자 장치가 일정 주기를 기반으로 자동으로 접속 승인이 되었는지 여부를 체크하여 OTP 인증 서버로 승인 여부를 조회하는 단계, OTP 인증 서버가 제2 사용자 장치에서 수행한 승인 정보가 있다면 제1 사용자 장치에서 요청한 각종 인증 값과 제2 사용자 장치에서 승인한 정보의 일치 여부를 검증하고, 일치하는 경우, 접속 허용 페이지를 응답하는 단계, 제1 사용자 장치를 통해 OTP 인증 서버로부터 수신한 접속 허용 페이지로 접속하고 수신한 암호화된 파라미터를 대상 시스템으로 전송하는 단계와 대상 시스템으로의 암호화된 파라미터를 기반으로 대상 시스템으로 최종 접속을 수행하는 단계를 포함할 수 있다.
도 2는 본 발명의 다른 실시예에 따른 SMS 전송 방식의 2채널 인증 장치에 대한 흐름도이다.
도 2에서는 SMS를 기반으로 인증을 수행하는 방법이 개시된다.
도 2를 참조하면, 단계S200 내지 단계 S220은 전술한 도 1의 단계 S100 내지 단계 S120과 동일할 수 있다.
OTP 인증 페이지에는 단계 S220에서 생성된 인증 요청 고유값을 OTP 인증 코드로 PC 화면에 표시하고 휴대폰으로 수신된 OTP를 입력해야 인증됨을 알릴 수 있다(단계 S225).
단계 S220에서 생성된 인증 요청 고유값, OTP, 접속 요청을 하는 아이디 및 시스템 아이디, 부가 정보를 푸시 메시지 또는 SMS 문자의 형태로 사용자 단말에 전송할 수 있다(단계 S230).
사용자는 수신한 인증 요청 고유값(OTP 인증 코드)과 PC에 표시된 인증 요청 고유값(OTP 인증 코드)이 일치하고 부가 정보(대상 시스템에 로그인한 아이디, 대상 시스템 이름 등), 접속한 PC의 정보(IP 주소 등)이 자신이 요청한 정보와 일치한다고 판단하면(단계 S235) 수신한 OTP 를 OTP 인증 페이지에 입력할 수 있다(단계S240).
수신한 정보가 일치하지 않을 경우는 OTP를 입력하는 대신 OTP 인증 페이지에서 접속 거부, 접속 제한을 수행할 수 있다. 접속 거부는 현재 요청에 대한 정보를 OTP 인증 서버에서 폐기하므로 PC 에서는 인증을 처음부터 다시 시도해야만 한다. 접속 제한은 OTP 인증 서버에서 해당 계정에 대한 접속을 차단하여 OTP 인증 서버의 OTP 인증 페이지를 표시하지 않으므로 원천적으로 모든 인증 방법을 무효화시켜 자신의 정보를 보호한다.
현재 PC 에서 입력한 OTP 와 OTP 인증 서버에 저장된 OTP가 일치한다면(단계 S245) 접속 허용 페이지를 응답한다(단계 S250).
응답시 파라미터로 최초에 대상 시스템으로부터 파라미터로 수신한 인증 시작 고유값을 다시 암호화하여 전송함으로써 어떤 요청에 대한 응답인지 판별이 가능하게 한다.
이후, PC에서는 OTP 인증 서버로부터 수신한 접속 허용 페이지로 접속하고 수신한 암호화된 파라미터를 그대로 대상 시스템으로 전송한다(단계 S245).
대상 시스템에서는 단계 S205에서 자신이 발급한 인증시작 고유값과 파라미터로 암호화하여 수신한 인증시작 고유값이 같다면 요청한 페이지에 접속을 허용하고 일치하지 않는다면 단계 S210의 인증 URL을 응답하여 인증 요청 프로세스를 반복한다(단계 S260). 단, 수신한 타임스탬프와 현재의 타임스탬프를 비교하여 일정 시간이 흘렀거나 최초에 발급한 타임스탬프로부터 현재 시간이 일정 시간 이상 흘렀다면 최종 접속을 허용하지 않아 인증을 위해 PC와 주고 받았던 URL의 재사용을 방지한다.
모든 연결은 네트워크 전송구간의 안전한 전송을 수행하기 위해 SSL 연결로 이루어질 수 있다.
도 3은 본 발명이 적용된 OTP 인증서버의 인증 페이지를 나타낸 개념도이다.
도 3을 참조하면, OTP 인증 서버의 인증 화면 상에 스마트폰 앱 승인 방식의 인증을 원하는 사용자에게 접속하는 사용자의 ID, 시스템 이름, OTP 인증 코드가 표시될 수 있다.
휴대폰에서 접속 승인을 하면 자동으로 화면이 전환되어 최초에 접속하려고 하는 시스템의 페이지로 이동되며 네트워크 장애 등으로 자동으로 전환되지 않을 경우 접속 승인 수동 확인 버튼을 통해 재검증하고 이동이 가능할 수 있다.
남은 시간 안에 휴대폰에서 접속 승인을 해야 하며 시간이 경과하면 인증 정보는 폐기되어 재사용할 수 없다.
도 4는 본 발명의 실시예에 따른 스마트폰 앱 화면을 나타낸 개념도이다.
도 4를 참조하면, 스마트폰의 앱을 실행시키면 표시되는 화면으로서 OTP 인증 코드를 PC 화면과 동일하게 표시하며 각종 안내가 수행될 수 있다.
접속 승인을 누르면 접속이 승인되며 PC 화면이 자동으로 최초에 접속하고자 하는 시스템의 페이지로 이동한다.
승인 거부를 누르면 현재 요청 정보가 만료되어 PC 화면의 OTP 인증 코드 재 생성을 하기 전까지는 어떠한 동작도 수행할 수 없다.
계정 잠금을 누르면 현재 인증 받고자 하는 시스템과 계정에 대해 더 이상 인증 요청을 받지 않게 설정되며 아이디 패스워드를 입력하고 시스템에 접속하려고 하여도 OTP 인증서버에서 인증을 거부하므로 시스템에 접속할 수 없다.
도 5는 본 발명의 실시예에 따른 OPT 인증 서버의 인증 페이지를 나타낸 개념도이다.
도 5를 참조하면, OTP 인증서버의 인증 화면으로 OTP 입력 방식의 인증을 원하는 사용자의 경우 접속하는 사용자의 ID, 시스템이름, OTP 인증코드, OTP 입력 박스, OTP 입력 버튼, 승인거부, 계정 잠금, OTP 인증코드 재생성, 인증 취소 등이 표시될 수 있다.
휴대폰이 수신한 OTP가 입력되면 OTP 입력 값의 검증 후 화면이 전환되어 최초에 접속하려고 하는 시스템의 페이지로 이동될 수 있다.
SMS로 수신한 OTP 인증 코드가 PC에서 표시하는 OTP 인증 코드와 다를 경우 OTP 인증 코드 및 OTP 번호를 재 생성할 수 있으며 인증을 취소할 수도 있다.
남은 시간 안에 OTP 번호를 입력해야 하며 시간이 경과하면 인증 정보는 폐기되어 재사용될 수 없다.
승인 거부를 누르면 현재 요청 정보가 만료되어 PC 화면의 OTP 인증 코드 재생성 전까지는 어떠한 동작도 수행할 수 없다.
계정 잠금을 누르면 현재 인증 받고자 하는 시스템과 계정에 대해 더 이상 인증 요청을 받지 않게 설정되며 아이디 패스워드를 입력하고 시스템에 접속하려고 하여도 OTP 인증 서버에서 인증을 거부하므로 시스템에 접속 할 수 없다.
도 6은 본 발명의 실시예에 따른 휴대폰 SMS 수신 화면을 나타낸 개념도이다.
도 6을 참조하면, 휴대폰으로 수신한 SMS 문자의 내용을 표시하는 것으로 PC 화면과 유사하게 각종 안내가 수행될 수 있다.
OTP 인증 코드, OTP 번호를 분리하여 표시하며 PC의 OTP 인증 코드와 수신한 SMS의 OTP 인증 코드가 동일한 경우에만 사용자가 직접 OTP 번호를 PC에 입력해야 인증이 완료될 수 있다.
앱에서 제공하던 승인 거부, 계정 잠금 기능은 PC에서 대신 제공될 수 있다.
도 7은 본 발명의 실시예에 따른 대상 시스템에서 인증정보 생성을 나타낸 순서도이다.
도 7을 참조하면, 인증 기본값을 읽을 수 있다(단계 S700).
암/복호화용 키, 사이트 아이디, 사용자 아이디, 현재 타임스탬프, OTP 인증서버 URL, 인증 성공 URL, 인증 실패 URL, 인증 취소 URL을 대상 시스템의 미리 정의된 설정에서 읽을 수 있다.
인증 기본값이 분석된다(단계 S710).
읽은 인증 기본값이 올바르게 입력되어 있는지가 분석될 수 있다.
인증 기본값이 유효한지 여부가 판단된다(단계 S720).
인증시작 고유값이 생성된다(단계 S730).
매 인증 요청시마다 새로 생성되는 값으로 사이트 아이디, 사용자 아이디, 현재 타임스탬프, 랜덤문자열로 구성하며 1회성 및 유일성을 만족하게 구성될 수 있다.
인증정보 암호화가 수행된다(단계 S740).
사이트 아이디, 사용자 아이디, 현재 타임스탬프, 인증 시작 고유값을 모두 연결하여 양방향 암호화를 함으로써 매번 암호화된 결과값이 변경되므로 인증 정보의 원본 문자열을 유추할 수 없게 만든다. 암호화를 할 때는 인증 기본값 중 암호화용 키를 이용한다. 암호화용 키는 OTP 인증서버와 대상 시스템에서만 비공개로 보유하고 있다.
인증 정보가 서버에 저장된다(단계 S750).
암호화된 인증 정보가 데이터베이스 또는 메모리 등 서버의 안전한 곳에 저장될 수 있다.
인증 요청 URL이 생성될 수 있다(단계 S760).
OTP 인증 서버 주소의 파라미터로 사이트 아이디, 암호화된 인증 정보를 추가한다.
인증 요청 URL 응답이 수행될 수 있다(단계 S770).
생성된 인증 요청 URL을 응답함으로써 사용자의 브라우저는 자동으로 인증 요청 URL 로 접속하여 인증 요청 페이지가 표시될 수 있다.
도 8은 본 발명의 실시예에 따른 인증 정보를 검증하는 방법을 나타낸 순서도이다.
도 8을 참조하면, 로그인 상태인지 여부를 판단하고 인증 완료 정보를 읽을 수 있다(단계 S800).
대상 시스템에 저장된 정보 중 이전에 인증을 완료한 기록이 있는지 조회한다.
인증 완료 정보가 유효한지 여부를 판단한다(단계 S810).
이미 인증을 받아 완료한 정보가 만료되지 않았다면 추가 인증을 진행하지 않고 사용자가 접속하려고 하는 URL 을 표시할 수 있다.
수신 파라미터를 읽는다(단계 S820).
OTP 인증 서버에서 인증 완료 후 추가로 제공한 파라미터를 읽을 수 있다.
수신 파라메터를 복호화하고(단계 S830), 수신 파라미터가 유효한지 여부를 판단한다(단계 S840).
수신한 파라미터를 복호화하고 대상 시스템에서 인증을 시작할 때 생성한 인증시작 고유값과 수신한 인증시작 고유값이 일치하는지, 사이트 아이디, 사용자 아이디가 각각 현재 대상시스템에 로그인한 사용자와 일치하는지, 현재 시간 타임스탬프와 수신한 타임스탬프의 시간 간격이 만료시간 이전인지 검증하여 수신 파라미터의 유효성을 검토한다.
이 중 한가지라도 유효하지 않다면 전술한 도 7에서와 같이 인증 정보를 생성하여(단계 S850) 인증요청 URL 을 응답한다(단계 S860).
인증 완료 정보를 저장한다(단계 S860).
인증이 완료되면 사용자 아이디, 현재 타임스탬프를 암호화하여 데이터베이스 또는 메모리 등 서버의 안전한 곳에 저장하여 추후에 타임아웃 이전에 해당 페이지를 재방문 하였을 때 인증 없이 사용자가 이용 할 수 있게 하는 기능을 제공할 수 있다.
도 9는 본 발명의 실시예에 따른 OTP 인증 서버에서 인증 정보를 생성하는 방법을 나타낸 순서도이다.
도 9를 참조하면, 파라미터를 읽을 수 있다(단계 S900).
대상 시스템에서 인증 요청 URL 을 생성할 때 추가된 파라미터를 수신한다.
파라미터를 복호화한다(단계 S910).
사이트 아이디를 기준으로 맵핑된 암호화/복호화용 키를 조회하여 암호화된 파라미터를 복호화 한다.
각종 인증값이 유효한지 여부를 판단한다(단계 S920).
수신한 타임 스탬프가 만료 시간 이전인지, 사용자 아이디가 OTP 인증 서버에 등록되어 있는지 여부를 검증한다.
인증 시작 고유값, 부가 정보를 저장한다(단계 S930).
파라미터 복호화로 얻은 인증 시작 고유값, 사용자 아이디, 사이트 아이디를 부가 정보와 함께 저장한다. 부가 정보는 추후에 사용자가 본인이 인증 요청을 한 것인지 확인하기 위한 용도로써 사이트 이름, 접속 IP, 접속 시간 등으로 정한다.
인증 요청 고유값을 생성한다(단계 S940).
인증 요청 고유값은 랜덤한 문자로 생성하며 OTP 인증을 수행하는 동안은 유일해야 하고 인증 화면을 표시할 때 마다 갱신되어야 한다. 화면에 표시할 때는 OTP 인증코드로써 표시한다. 사용자는 OTP 인증 코드가 PC와 앱에서 동시에 표시된 것을 확인하고 본인이 접속하고자 하는 페이지에 대해 인증이 승인되는지 판별할 수 있다.
OTP 번호를 생성한다(단계 S950).
OTP 번호는 랜덤한 문자로 6자 이상을 기본으로 생성하며 인증 요청 고유 값과 짝으로 이용하기 때문에 인증이 완료되거나 취소될 때까지 유일한 값일 필요는 없다.
OTP 인증 정보를 저장한다(단계 S960).
스마트폰 앱 또는 SMS 로 전송하기 이전에 인증시작 고유값, 부가정보, 인증요청 고유값, OTP 번호를 암호화하여 OTP 인증서버에 저장한다.
인증화면을 표시한다(단계 S970).
사용자의 인증을 요청하는 전술한 도 3, 도 5 와 같은 인증 화면을 표시할 수 있다.
도 10은 본 발명을 실시예에 따른 OTP 인증서버에서 승인 정보 검증을 수행하는 방법을 나타낸 순서도이다.
도 10을 참조하면, 고유 인증키를 수신할 수 있다(단계 S1000).
스마트폰 앱으로 승인을 하는 경우 현재 승인을 요청하는 스마트폰이 미리 인증 받은 스마트 폰인지 검증하기 위해 최초 인증 시 발행한 고유 인증키를 수신한다.
고유 인증키를 복호화한다(단계 S1010).
고유 인증키를 복호화하여 사이트 아이디, 사용자 아이디, 휴대폰 번호, 타임스탬프를 얻는다.
고유 인증키가 유효한지 여부에 대해 판단한다(단계 S1020).
사이트 아이디, 사용자 아이디를 키로 OTP 인증 서버에 저장된 정보가 존재하는지 확인하고 휴대폰 번호가 일치하는지. 타임스탬프가 만료되지 않았는지 검증한다. 인증된 휴대폰 정보가 없다면 휴대폰 인증 요청을 한다.
인증요청 고유값, OTP 번호 수신한다(단계 S1030).
스마트폰 앱으로 승인을 하는 경우 수신한 인증요청 고유값, OTP 번호를 수신하며 SMS로 인증하는 경우 인증 화면을 통해 OTP 번호만을 수신한다. SMS로 인증하는 경우, 사용자가 스스로 인증 요청 고유 값이 PC에 표시된 것과 SMS로 전송된 것이 동일한지 비교해야 하며 만약 일치하지 않는다면 OTP 번호를 입력하지 않고 인증 요청 취소 또는 계정 사용 중지 등을 PC 화면에서 선택할 수 있다.
OTP의 유효성을 판단한다(단계 S1040).
현재 수신된 OTP 인증 정보가 만료되지 않았는지, 계정 사용이 중지되지 않았는지 확인한 후 유효하다면 계속해서 인증을 처리하고 유효하지 않다면 OTP를 재입력하도록 하거나 휴대폰 승인을 재 요청하도록 한다(단계 S1045).
인증 완료 정보에 대한 암호화를 수행한다(단계 S1050).
인증이 완료되면 인증시작 고유값, 사이트 아이디, 사용자 아이디, 현재 타임스탬프를 사이트 아이디와 맵핑된 암호화용 키로 암호화 한다.
인증 완료 URL을 응답한다(단계 S1060).
인증이 완료되었으므로 인증 성공 URL을 응답하며 파라미터로 인증 완료 정보 암호화를 한 것을 추가하여 대상 시스템에서 검증이 가능하도록 한다.
도 11은 본 발명의 실시예에 따른 스마트폰을 기반으로 한 최초 인증 방법을 나타낸 흐름도이다.
도 11을 참조하면, 단계 S1100 내지 단계 S1120은 단계 S100 내지 단계 S120과 동일할 수 있다.
OTP 인증 서버에서 인증 필요 정보를 생성한다(단계 S1125).
휴대폰 인증을 받은 기록이 없거나 휴대폰 인증 정보가 만료되었다면 휴대폰 인증을 위한 인증 필요 정보를 생성한다. OTP 번호는 랜덤한 문자로 생성하고 인증을 수행하는 동안은 유일해야 한다.
생성된 OTP 번호를 PC 화면에 표시한다(단계 S1130).
스마트폰 앱을 실행하고(단계 S1135), PC 화면의 OTP 번호를 입력하고(단계 S1140), 인증 버튼을 누르면 휴대폰번호, OTP 번호가 OTP 인증서버로 전송된다.
OTP 인증 서버에서 스마트폰 인증 정보에 대한 검증을 수행하고(단계 S1145), 스마트폰 고유 인증키를 응답한다(단계 S1150).
휴대폰번호, OTP 번호 두 가지 모두 일치하는 정보를 검색하여 존재 한다면 스마트폰 고유 인증키를 생성한다. 고유 인증키는 현재 타임스탬프, 휴대폰 번호, 휴대폰 고유번호, 사이트 아이디를 붙여 양방향 암호화 하여 원본 문자열을 유추할 수 없도록 한다. 암호화할 때 사용하는 암호화 키는 랜덤한 문자열로 생성하여 사용하고 OTP 인증서버의 안전한 곳에 저장하며 휴대폰으로 전송하지 않는다.
생성한 스마트폰 고유 키를 응답하여 스마트폰 앱에서는 스마트폰에 안전한 장소에 암호화 문자열 그대로를 저장한다.
PC 에서 휴대폰 인증 확인을 누르면(단계 S1155), 인증이 완료된 정보가 존재하는지 검증한다(단계 S1160).
OTP 인증 페이지가 PC 상에서 표시될 수 있다(단계 S1165).
이후의 절차는 도 1의 단계 S130부터 수행될 수 있다.
도 12는 본 발명의 실시예에 따른 스마트폰 최초 인증 페이지를 나타낸 개념도이다.
도 12를 참조하면, 스마트폰 앱에서 입력할 OTP 번호를 표시한다.
인증 확인 버튼을 누르면 스마트폰 인증이 완료되었는지 체크한다.
남은 시간 안에 인증을 완료해야 하며 일정 시간이 경과하면 인증 정보 및 OTP 번호는 폐기되어 인증을 수행할 수 없다. 이런 경우는 OTP 번호 재 생성을 하여 새로 번호를 생성할 수 있다.
도 13은 본 발명의 실시예에 따른 스마트폰 앱 의 최초 인증 화면을 나타낸 개념도이다.
도 13을 참조하면, PC 에 표시된 OTP 번호를 앱에 입력하고 인증 버튼을 누른다.
상단에 표시된 접속 정보가 일치하지 않는다면 OTP 번호를 입력하지 않는다
개인 사용자 장치를 이용한 안전한 2채널 인증 방법 및 시스템은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.
상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들일 수 있고, 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD 와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.
프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (12)

  1. 사용자 장치를 이용한 안전한 2채널 인증 방법은,
    제1 사용자 장치와 대상 시스템 사이에서 인증 URL(uniform resource locator) 정보를 획득하기 위한 제1 인증 절차를 진행하는 단계;
    상기 제1 사용자 장치와 OTP(one time password) 인증 서버 간에 인증 정보 생성을 위한 제2 인증 절차를 진행하는 단계;
    제2 사용자 장치와 상기 OTP 인증 서버 간에 접속 허용 여부를 결정하기 위한 제3 인증 절차를 진행하는 단계;
    상기 제1 사용자 장치, 상기 OTP 인증 서버 및 상기 대상 시스템 간의 최종 접속을 위한 제4 인증 절차를 진행하는 단계를 포함하는 것을 특징으로 하는 방법.
  2. 제1항에 있어서, 상기 제1 인증 절차는,
    상기 제1 사용자 장치를 통해 상기 대상 시스템에 접속하는 단계;
    상기 대상 시스템에서 로그인 여부 및 OTP 인증 여부에 대한 검증을 수행하는 단계; 및
    상기 대상 시스템에서 인증 URL(uniform resource locator)을 상기 제1 사용자 장치로 전송하는 단계를 포함하는 것을 특징으로 하는 방법.
  3. 제2항에 있어서, 상기 제2 인증 절차는,
    상기 제1 사용자 장치에서 상기 인증 URL를 통해 상기 OTP 인증 서버로 인증을 수행하는 단계;
    상기 OTP 인증 서버가 인증 필요 정보를 생성하는 단계;
    OTP 인증 페이지에는 상기 인증 필요 정보 중 인증 요청 고유값을 상기 제1 사용자 장치의 화면에 OTP 인증 코드로 표시하고 상기 제2 사용자 장치의 앱을 실행시켜 접속 승인 절차를 진행할 것을 알리는 단계를 포함하는 것을 특징으로 하는 방법.
  4. 제3항에 있어서, 상기 제3 인증 절차는,
    상기 제2 사용자 장치에서 상기 앱을 실행하는 단계;
    상기 제2 사용자 장치가 상기 OTP 인증 서버로 인증을 요청하는 단계;
    상기 OTP 인증 서버가 상기 제2 사용자 장치로부터 수신한 고유 인증키를 복호화하여 해당 사용자가 존재하는지, 인증 정보가 유효한지 여부를 검증하는 단계;
    상기 OTP 인증 서버가 유효한 인증 정보가 존재하는 경우 인증 요청 고유값, OTP 및 부가 정보를 상기 제2 사용자 장치로 전송하는 단계; 및
    상기 제2 사용자 장치가 접속 승인, 접속 거부 또는 접속 제한을 수행하는 단계를 포함하는 것을 특징으로 하는 방법.
  5. 삭제
  6. 제1항에 있어서,
    상기 제2 사용자 장치에 대한 사전 인증 절차를 수행하는 단계를 더 포함하되,
    상기 사전 인증 절차는 상기 제1 사용자 장치 및 상기 제2 사용자 장치가 동일 사용자의 소유임을 나타내기 위한 절차이고,
    상기 사전 인증 절차는,
    상기 제1 사용자 장치가 OTP 정보를 출력하는 단계;
    상기 제2 사용자 장치가 상기 OTP 정보를 입력하는 단계; 및
    상기 OTP 정보를 기반으로 장치 인증을 하고 인증 결과 정보를 암호화하여 제 2 사용자 장치와 상기 OTP 인증 서버에 각각 저장하는 단계를 포함하는 것을 특징으로 하는 방법.
  7. 사용자 장치를 이용한 안전한 2채널 인증 방법을 수행하는 인증 시스템은,
    2채널 인증을 위한 사용자의 제1 사용자 장치 및 제2 사용자 장치;
    상기 2 채널 인증을 통해 접속하고자 하는 대상 시스템; 및
    상기 2 채널 인증을 위한 인증 절차를 위한 OTP(one time password) 인증 서버를 포함하되,
    상기 인증 시스템에서는 제1 인증 절차, 제2 인증 절차, 제3 인증 절차 및 제4 인증 절차가 수행되고,
    상기 제1 인증 절차는 제1 사용자 장치와 대상 시스템 사이에서 인증 URL(uniform resource locator) 정보를 획득하기 위해 수행되고,
    상기 제2 인증 절차는 상기 제1 사용자 장치와 OTP(one time password) 인증 서버 간에 인증 정보 생성을 위해 진행되고,
    상기 제3 인증 절차는 제2 사용자 장치와 상기 OTP 인증 서버 간에 접속 허용 여부를 결정하기 위해 수행되고,
    상기 제4 인증 절차는 상기 제1 사용자 장치, 상기 OTP 인증 서버 및 상기 대상 시스템 간의 최종 접속을 위해 수행되는 것을 특징으로 하는 인증 시스템.
  8. 제7항에 있어서, 상기 제1 인증 절차는,
    상기 제1 사용자 장치를 통해 상기 대상 시스템에 접속하는 단계;
    상기 대상 시스템에서 로그인 여부 및 OTP 인증 여부에 대한 검증을 수행하는 단계; 및
    상기 대상 시스템에서 인증 URL(uniform resource locator)을 상기 제1 사용자 장치로 전송하는 단계를 포함하는 것을 특징으로 하는 인증 시스템.
  9. 제8항에 있어서, 상기 제2 인증 절차는,
    상기 제1 사용자 장치에서 상기 인증 URL를 통해 상기 OTP 인증 서버로 인증을 수행하는 단계;
    상기 OTP 인증 서버가 인증 필요 정보를 생성하는 단계;
    OTP 인증 페이지에는 상기 인증 필요 정보 중 인증 요청 고유값을 상기 제1 사용자 장치의 화면에 OTP 인증 코드로 표시하고 상기 제2 사용자 장치의 앱을 실행시켜 접속 승인 절차를 진행할 것을 알리는 단계를 포함하는 것을 특징으로 하는 인증 시스템.
  10. 제9항에 있어서, 상기 제3 인증 절차는,
    상기 제2 사용자 장치에서 상기 앱을 실행하는 단계;
    상기 제2 사용자 장치가 상기 OTP 인증 서버로 인증을 요청하는 단계;
    상기 OTP 인증 서버가 상기 제2 사용자 장치로부터 수신한 고유 인증키를 복호화하여 해당 사용자가 존재하는지, 인증 정보가 유효한지 여부를 검증하는 단계;
    상기 OTP 인증 서버가 유효한 인증 정보가 존재하는 경우 인증 요청 고유값, OTP 및 부가 정보를 상기 제2 사용자 장치로 전송하는 단계; 및
    상기 제2 사용자 장치가 접속 승인, 접속 거부 또는 접속 제한을 수행하는 단계를 포함하는 것을 특징으로 하는 인증 시스템.
  11. 삭제
  12. 제7항에 있어서
    상기 인증 시스템에서 상기 제2 사용자 장치에 대한 사전 인증 절차를 수행되고,
    상기 사전 인증 절차는 상기 제1 사용자 장치 및 상기 제2 사용자 장치가 동일 사용자의 소유임을 나타내기 위한 절차이고,
    상기 사전 인증 절차는,
    상기 제1 사용자 장치가 OTP 정보를 출력하고, 상기 제2 사용자 장치가 상기 OTP 정보를 입력하고 상기 OTP 정보를 기반으로 장치 인증을 하고 인증 결과 정보를 암호화하여 제 2 사용자 장치와 상기 OTP 인증 서버에 각각 저장하는 절차인 것을 특징으로 하는 인증 시스템.
KR1020160161301A 2016-11-30 2016-11-30 개인 사용자 장치를 이용한 안전한 2채널 인증 방법 및 시스템 KR101924610B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160161301A KR101924610B1 (ko) 2016-11-30 2016-11-30 개인 사용자 장치를 이용한 안전한 2채널 인증 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160161301A KR101924610B1 (ko) 2016-11-30 2016-11-30 개인 사용자 장치를 이용한 안전한 2채널 인증 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20180061761A KR20180061761A (ko) 2018-06-08
KR101924610B1 true KR101924610B1 (ko) 2018-12-03

Family

ID=62600046

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160161301A KR101924610B1 (ko) 2016-11-30 2016-11-30 개인 사용자 장치를 이용한 안전한 2채널 인증 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101924610B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102063931B1 (ko) * 2019-11-04 2020-01-08 주식회사 지오유 리버스 otp 인증 서비스를 제공하는 인증 장치 및 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1806902B1 (en) 2006-01-10 2008-06-25 Alcatel Lucent Method and login server for providing a user with a centralised login procedure
US20120066749A1 (en) 2009-03-02 2012-03-15 Encap As Method and computer program for generation and verification of otp between server and mobile device using multiple channels
KR101656458B1 (ko) 2016-03-07 2016-09-09 유한회사 실릭스 본인 확인 및 본인 인증을 위한 인증 방법 및 시스템

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120052811A (ko) 2010-11-16 2012-05-24 한국미쓰비시엘리베이터 주식회사 승강기용 와이어 로프의 파단 감지 장치
KR20150124868A (ko) * 2014-04-29 2015-11-06 이선형 개인정보 유출과 스미싱을 방지할 수 있는 사용자 이중 인증 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1806902B1 (en) 2006-01-10 2008-06-25 Alcatel Lucent Method and login server for providing a user with a centralised login procedure
US20120066749A1 (en) 2009-03-02 2012-03-15 Encap As Method and computer program for generation and verification of otp between server and mobile device using multiple channels
KR101656458B1 (ko) 2016-03-07 2016-09-09 유한회사 실릭스 본인 확인 및 본인 인증을 위한 인증 방법 및 시스템

Also Published As

Publication number Publication date
KR20180061761A (ko) 2018-06-08

Similar Documents

Publication Publication Date Title
US9197420B2 (en) Using information in a digital certificate to authenticate a network of a wireless access point
KR101451359B1 (ko) 사용자 계정 회복
JP2018038068A (ja) 通信端末および関連システムのユーザーの識別情報を確認するための方法
CN114662079A (zh) 用于从多个装置访问数据的方法和系统
US20230179420A1 (en) Software credential token process, software, and device
JP5827680B2 (ja) IPsecとIKEバージョン1の認証を伴うワンタイム・パスワード
CN109981665B (zh) 资源提供方法及装置、资源访问方法及装置和系统
US10686771B2 (en) User sign-in and authentication without passwords
DK2414983T3 (en) Secure computer system
US20210256102A1 (en) Remote biometric identification
KR101659847B1 (ko) 모바일 단말을 이용한 2채널 사용자 인증 방법
KR20220167366A (ko) 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템
KR102101726B1 (ko) 블록체인 기반의 브라우저의 웹스토리지를 이용한 간편인증 방법 및 시스템
KR102101719B1 (ko) 브라우저의 웹스토리지를 이용한 간편인증 방법 및 시스템
KR101388935B1 (ko) 2채널 기반의 사용자 인증 장치 및 방법
KR101924610B1 (ko) 개인 사용자 장치를 이용한 안전한 2채널 인증 방법 및 시스템
CN110912857B (zh) 移动应用间共享登录的方法、存储介质
KR101996317B1 (ko) 인증변수를 이용한 블록체인 기반의 사용자 인증 시스템 및 그 방법
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
Nishimura et al. Secure authentication key sharing between personal mobile devices based on owner identity
KR101645414B1 (ko) 클라이언트 단말 장치 및 클라이언트 단말 장치가 모바일 서비스 서버에 접속하기 위한 방법
TW201533605A (zh) 整合式智慧卡unix認證管理系統與方法
CN115801450B (zh) 时间、终端多维联合认证方法及系统
KR102199747B1 (ko) Otp 기반의 가상키보드를 이용한 보안 방법 및 시스템
CN117972787A (zh) 一种基于jwt的大模型知识库访问控制方法及系统

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant