KR19980043045A - Authentication system of remote financial service using input / output access means - Google Patents
Authentication system of remote financial service using input / output access means Download PDFInfo
- Publication number
- KR19980043045A KR19980043045A KR1019980018539A KR19980018539A KR19980043045A KR 19980043045 A KR19980043045 A KR 19980043045A KR 1019980018539 A KR1019980018539 A KR 1019980018539A KR 19980018539 A KR19980018539 A KR 19980018539A KR 19980043045 A KR19980043045 A KR 19980043045A
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- input
- user
- value
- output connection
- Prior art date
Links
Abstract
본 발명은, 챌린지/레스펀스 프로토콜에 기반한 원격 금융 서비스의 인증 시스템에 있어서, 챌린지/레스펀스 프로토콜에 기반한 원격 금융 서비스를 제공하기 위해 인증 토큰 카드와 컴퓨터 단말기를 입출력 접속 수단을 통해 전기적으로 접속하여 양방향 통신 접속성을 제공함과 동시에 컴퓨터 단말기와 인증 판단 시스템을 컴퓨터 통신망을 통해 컴퓨터 통신이 가능하도록 접속한 상태에서 기설정된 챌린지/레스펀스 기반의 인증 절차를 수행하는 입출력 접속 수단을 이용한 원격 금융 서비스의 인증 시스템에 관한 것이다.The present invention provides an authentication system for a remote financial service based on a challenge / response protocol, wherein an authentication token card and a computer terminal are electrically connected to each other through an input / output connection means to provide a remote financial service based on a challenge / response protocol. In addition to providing two-way communication connectivity, a remote financial service using an input / output connection means for performing a predetermined challenge / response-based authentication procedure while connecting a computer terminal and an authentication determination system to enable computer communication through a computer communication network. It relates to an authentication system.
본 발명에 따르면, 사용자의 키입력을 최소화하여 이용의 편리성 및 고속성을 도모하면서도 사용자의 진위에 대한 인증의 보안성 및 신뢰성을 제공할 수 있는 이점이 있으며, 컴퓨터 단말기의 명령에 따라 인증 토큰 카드에 기록된 인증 파라미터를 가변시킬 수 있음에 따라 서비스를 제공하는 금융사로 하여금 서비스 형태에 대한 자유도를 폭넓게 가질 수 있는 이점이 있다.According to the present invention, there is an advantage that it is possible to provide the security and reliability of authentication for the authenticity of the user while minimizing the user's key input to facilitate the convenience and high speed, the authentication token according to the command of the computer terminal As the authentication parameters recorded on the card can be changed, there is an advantage that a financial company providing a service can have a wide degree of freedom in the form of service.
Description
본 발명은 원격 금융 서비스의 인증 시스템에 관한 것으로, 더욱 상세하게는 챌린지/레스펀스 프로토콜에 기반한 원격 금융 서비스의 인증 시스템에 있어서, 챌린지/레스펀스 프로토콜에 기반한 원격 금융 서비스를 제공하기 위해 인증 토큰 카드와 컴퓨터 단말기를 입출력 접속 수단을 통해 전기적으로 접속하여 양방향 통신 접속성을 제공함과 동시에 컴퓨터 단말기와 인증 판단 시스템을 컴퓨터 통신망을 통해 컴퓨터 통신이 가능하도록 접속한 상태에서 기설정된 챌린지/레스펀스 기반의 인증 절차를 수행함으로써 사용자의 키입력을 최소화하여 이용의 편리성 및 고속성을 도모하면서도 사용자의 진위에 대한 인증의 보안성 및 신뢰성을 제공할 수 있는 입출력 접속 수단을 이용한 원격 금융 서비스의 인증 시스템에 관한 것이다.The present invention relates to an authentication system for a remote financial service, and more particularly, to an authentication system for a remote financial service based on a challenge / response protocol, an authentication token card for providing a remote financial service based on a challenge / response protocol. Challenge / response-based authentication with the computer terminal and the computer terminal electrically connected to each other through input / output connection means to provide bidirectional communication connectivity, and at the same time the computer terminal and the authentication judgment system are connected to each other to enable computer communication. Regarding the authentication system of remote financial service using input / output access means that can provide the security and reliability of authentication for the authenticity of the user while minimizing the user's key input by performing the procedure will be.
최근 들어, 홈 트레이딩(home trading), 폰 뱅킹(phone banking)과 PC 뱅킹(Personal Computer banking) 등과 같은 원격 금융 서비스(remote banking service)는 금융 서비스를 제공하기 위한 금융사와 고객간에 상존하는 시간적/공간적인 제약을 용이하게 해소해주는 편의성에 힘입어 다양한 금융 서비스들 중에서도 높은 선호도를 보이고 있으며 동시에 그 이용 인구의 증가가 날로 가속화되어 가고 있다.Recently, remote banking services such as home trading, phone banking, and personal computer banking have existed in the time / space that exists between financial companies and customers to provide financial services. With the convenience of easily eliminating the restrictions, it is showing high preference among various financial services, and at the same time, the increase in the use population is accelerating.
도 1은 전술한 바와 같은 인증 암호를 이용하여 홈 트레이딩(home trading), 폰 뱅킹(phone banking)과 PC 뱅킹(Personal Computer banking) 등과 같은 원격 금융 서비스 시스템을 자동 응답 시스템을 이용하여 구성한 일례를 도시한 구성예이다.1 illustrates an example in which a remote financial service system such as home trading, phone banking, personal computer banking, and the like is configured by using an answering system using an authentication password as described above. One configuration example.
도 1에 도시한 바와 같이, 종래 기술에 따른 자동 응답 시스템을 이용한 원격 금융 서비스 시스템은, 전화기(10)와, 이 전화기(10)의 송수신 신호가 경유하게 되는 공중 통신망(PSTN: Public Switched Telephone Network; 20)과, 금융사에서 제공하는 전화 번호로 공중 통신망(20)을 통해 접속할 수 있으며 청각적인 사용자 인터페이스(user interface)를 제공하는 자동 응답 시스템(ARS; 30)과, 이 자동 응답 시스템(30)의 지원 하에 전화기(30)의 키패드를 통해 입력된 고객의 기설정된 인증 암호(즉, 비밀 번호)를 데이터 베이스 내에 저장된 해당 고객의 인증 번호와 대조·확인함으로써 사용자의 진위 여부를 인증하는 인증서버(40)로 구성된다.As shown in FIG. 1, a remote financial service system using an automatic answering system according to the prior art is a public switched network (PSTN) through which a telephone 10 and a transmission / reception signal of the telephone 10 pass through. 20) an automatic answering system (ARS) 30 which can be accessed through a public telecommunication network 20 at a telephone number provided by a financial institution and provides an acoustic user interface, and the automatic answering system 30 An authentication server for authenticating the authenticity of the user by checking and verifying a preset authentication password (i.e., a password) of the customer entered through the keypad of the telephone 30 with the support of the corresponding customer stored in the database. 40).
통상, 인증서버(40)에 의해 사용자의 진위 여부가 확인되면, 당해 계좌에 대한 허용된 모든 권한을 부여함에 따라 원격 금융 서비스의 구현 기술은 인증 과정에 대한 보안성을 극대화함이 핵심 과제가 되고 있음은 주지의 사실이다.In general, if the authenticity of the user is confirmed by the authentication server 40, as the granting of all the authority for the account, the implementation technology of the remote financial service is a key task to maximize the security of the authentication process It is a well known fact.
오늘날, 각종 전자 기술의 발달로 인해 다양한 경로를 통해 보안을 요하는 특정 정보에 접근할 수 있는 도구의 보급이 저변화되어 가고 있으며, 기존의 기술에 따른 정보의 보안성을 해체하는 기술이 당업자 외의 비전문가에 의해서도 개발 공지되고 있음에 따라 해당 특정 정보가 비인가자에 의해 접근·열람·파기·복제·도용되는 등의 행위를 차단·보호하기 위한 좀 더 고도한 보안 기술의 등장이 기대되고 있다.Today, due to the development of various electronic technologies, the spread of tools that can access specific information that requires security through various paths is being changed. The development and notification of non-experts is expected to lead to the emergence of more sophisticated security technologies to block and protect such information from unauthorized access, access, destruction, cloning, and theft.
이와 같은 기술적인 추이에 편승하여 보안 시스템의 큰 주류 중에 한 분야를 차지하고 있는 원격 금융 서비스 시스템의 인증과 관련한 보안성을 확보하기 위한 노력이 다양한 각도에서 경진되고 있음은 주지의 사실이다.It is well known that efforts to secure security related to authentication of a remote financial service system, which is one of the mainstream of security systems, have been advanced from various angles.
본 발명은 원격 금융 서비스의 인증 시스템에 관련된 바, 종래 기술에 따른 원격 금융 서비스의 인증 시스템을 간략하게 살펴보기로 한다.The present invention relates to an authentication system for a remote financial service, and a brief description will be made of an authentication system for a remote financial service according to the prior art.
먼저, 원격 금융 서비스의 인증 과정을 주도하는 인증서버에 접근하기 위한 대표적인 방법을 소개하면, 그 하나의 방법으로는 전술한 바 있는 자동 응답 시스템에 기반한 전화기와 공중 통신망을 이용하는 방법이 있으며, 또 다른 방법으로는 최근에 빠른 속도로 대중화되고 있는 컴퓨터 통신망을 이용하여 인증서버에 접속하는 방법이 있다.First, a representative method for accessing an authentication server that leads the authentication process of a remote financial service is introduced. One method is to use a telephone and a public communication network based on the above-described answering machine. As a method, there is a method of accessing an authentication server by using a computer communication network which is rapidly popularized recently.
이와 같은 통신 시스템을 동원하여 인증서버와 접속이 형성되면, 인증서버로부터 사용자의 진위를 확인받는 인증 과정을 수행하게 되는 데, 이때 사용되는 인증 암호를 발생시키는 가장 일반적인 방법으로는 인증 암호(또는, 고유 암호, 비밀 번호)를 각 사용자의 머리 속에 기억하고 있다가 금융 서비스에 대한 인증이 필요할 시에 이를 입력하여 사용자의 진위를 인증받는 방법이 가장 대표적이다.When a connection with the authentication server is established by using such a communication system, an authentication process for verifying the authenticity of the user is performed by the authentication server. An authentication password (or, The most common method is to remember the unique password, password) in the head of each user and authenticate the authenticity of the user by entering it when authentication for financial services is required.
그러나, 이미 잘 알려진 바와 같이, 이와 같은 방법은 본인이 기억하고 있는 각 개인의 인증 암호는 타인에 의해 노출될 위험이 많으며 고정적으로 설정된 암호를 이용함에 따라 지문을 검출한다든지 인증 암호를 입력하는 장면을 녹화하는 소정의 부정한 방법의 동원에 의해 타인에게 쉽게 유출될 수 있는 소지가 있으며, 특히, 해당 금융사의 당당 직원 등에 의해 용이하게 열람될 수 있음에 따라 인증 암호의 외부 유출을 차단시키지 못함으로 인해 이와 관련된 금융 사고가 다수 발생하고 있으며 이에 대한 책임 소재를 파악하는 데에도 많은 노력이 필요한 실정이다.However, as is well known, this method has a high risk that each person's authentication password is exposed to others and detects a fingerprint or inputs an authentication password by using a fixed password. There is a possibility of being easily leaked to others by the mobilization of a certain fraudulent method of recording the video, especially, because it can be easily read by the party staff of the financial institution, etc. There are many financial accidents related to this, and much effort is required to identify the responsibilities.
이러한 문제점을 보완하기 위한 하나의 대안으로 등장한 좀 더 진보된 형태의 인증 방법으로는 흔히, 난수표로 명명되는 사전에 작성·배포된 난수증(또는 난수 플라스틱)을 이용하는 원격 금융 서비스 시스템의 인증 방법이 있다.A more advanced form of authentication that has emerged as an alternative to solve this problem is the authentication method of a remote financial service system that uses a randomly generated random number (or random number plastic), often called a random number. have.
전술한 종래 기술에 있어서, 후자는 다수의 인증 암호를 포함하고 있는 난수표 상에서 해당되는 인증 암호를 판독하여 새로운 세션(session)을 형성함에 따라 전자에 비해 기밀성이 상대적으로 높지만, 난수표를 이용한 방법도 역시 일정한 규칙의 범위 내에서 동작하는 인증 시스템임에 따라 기밀성이 다소 높아지기는 하지만 난수표가 복제되어 유출되거나 해당 금융사의 당당 직원 등이 부정한 방법을 동원할 경우에는 별도의 대책이 없다는 점에서 이 또한 전자와 더불어 안전성 측면에서 의문이 제기되고 있다.In the above-described prior art, the latter is relatively more confidential than the former by reading a corresponding authentication password on a random number table including a plurality of authentication passwords to form a new session, but the method using the random number is also Although the confidentiality is somewhat higher due to the authentication system operating within the scope of a certain rule, there is no countermeasure in case there is no countermeasure when the random number is copied and leaked or the employee of the relevant financial company uses an illegal method. In addition, questions are raised in terms of safety.
이와 같은 문제를 해결하고자 본 발명의 발명자는 도 2에 도시한 바와 같이, 챌린지/레스펀스 프로토콜에 기반한 원격 금융 서비스의 인증 시스템에 있어서, 원격 금융 서비스에 대한 인증을 필요로 하는 사용자의 입력을 입력받기 위한 전화기(110)와; 상기 전화기(110)의 다이얼링에 의해 통화로를 형성하며 기설정된 사용자 식별자를 입력받아 원격 금융 서비스의 인증 절차를 수행하기 위한 사용자 인터페이스를 제공하는 자동 응답 시스템(120)과; 상기 자동 응답 시스템(120)으로부터 입력된 상기 사용자 식별자를 인지하고, 챌린지값을 발생하여 상기 자동 응답 시스템(120)을 통해 상기 사용자에게 전달하도록 한 후, 상기 챌린지값에 대한 단방향 함수의 출력값에 의해 결정되는 자체 레스펀스값을 발생하여 상기 전화기(110)와 상기 자동 응답 시스템(120)을 통해 인가되는 상기 챌린지값에 대응하는 사용자 레스펀스값과 동일한지 여부를 판단함으로써 상기 사용자의 진위 여부를 인증하는 인증서버(130)로 구성된 인증 판단 시스템(100); 및 상기 사용자로부터 상기 챌린지값을 입력받음에 따라 내장된 상기 단방향 함수를 통해 상기 챌린지값에 대응하는 상기 사용자 레스펀스값을 발생하여 상기 사용자가 상기 인증 판단 시스템(100)에 제공할 수 있도록 외부에 표시하는 인증 토큰 카드(200)로 구성되는 것을 특징으로 하는 대한민국 특허출원 제 97-56548 호, 원격 금융 서비스의 인증 시스템을 제안한 바 있다.To solve this problem, the inventor of the present invention, as shown in Figure 2, in the authentication system of the remote financial service based on the challenge / response protocol, input of a user requiring authentication for the remote financial service A telephone 110 for receiving; An automatic answering system (120) forming a call path by dialing the telephone (110) and receiving a preset user identifier and providing a user interface for performing an authentication procedure of a remote financial service; Recognizing the user identifier input from the answering machine 120, generating a challenge value and transmitting the challenge value to the user through the answering machine 120, and then outputting the unidirectional function with respect to the challenge value. Authentication of the authenticity of the user is generated by determining whether the user response value corresponding to the challenge value applied through the telephone 110 and the answering machine 120 is generated by generating the determined response value. Authentication determination system 100 composed of the authentication server 130 to be; And generating the user response value corresponding to the challenge value through the built-in one-way function in response to receiving the challenge value from the user so that the user may provide the challenge value to the authentication determination system 100. Republic of Korea Patent Application No. 97-56548, characterized in that consisting of the authentication token card 200 to display, has proposed an authentication system for remote financial services.
또한, 대한민국 특허출원 제 97-56548 호, 원격 금융 서비스의 인증 시스템의 경우, 자동 응답 시스템의 음성 서비스의 지원을 받음에 따라 고도한 기술을 이용하지 않더라도 타인에 의해 도청을 당할 여지가 있으며, 특히, 이러한 형태의 원격 금융 서비스는 청각 장애자나 정상인에 비해 청취력이 떨어지는 사람에게 무용지물의 금융 서비스가 될 가능성이 높다는 문제점을 인식하여 이를 해결하고자, 도 3에 도시한 바와 같이, 챌린지/레스펀스 프로토콜(challenge/response protocol)에 기반한 원격 금융 서비스의 인증 시스템에 있어서, 원격 금융 서비스에 대한 인증을 필요로 하는 사용자에게 입출력 수단을 제공하는 컴퓨터 단말기(100)와; 상기 컴퓨터 단말기(100)의 다이얼링에 의해 통신 접속을 형성하며 기설정된 사용자 식별자를 입력받아 원격 금융 서비스의 인증 절차를 수행하기 위한 양방향 통신 접속성을 제공하는 통신서버(310; communication server)와, 상기 통신서버(710)로부터 입력된 상기 사용자 식별자를 인지하고, 챌린지값을 발생하여 상기 통신서버(710)를 통해 상기 사용자에게 전달하도록 한 후, 상기 챌린지값에 대한 단방향 함수의 출력값에 의해 결정되는 자체 레스펀스값을 발생하여 상기 컴퓨터 단말기(100)와; 상기 통신서버(710)를 통해 인가되는 상기 챌린지값에 대응하는 사용자 레스펀스값과 동일한지 여부를 판단함으로써 상기 사용자의 진위 여부를 인증하는 인증서버(320; authentication server)로 구성된 인증 판단 시스템(300); 및 상기 사용자로부터 상기 챌린지값을 입력받음에 따라 내장된 상기 단방향 함수를 통해 상기 챌린지값에 대응하는 상기 사용자 레스펀스값을 발생하여 상기 사용자가 상기 컴퓨터 단말기(100)를 통해 상기 인증 판단 시스템(300)에 제공할 수 있도록 외부에 표시하는 인증 토큰 카드(400)로 구성된 것을 특징으로 하는 대한민국 특허출원 제 97-57621 호, 컴퓨터 통신망을 이용한 원격 금융 서비스의 인증 시스템을 제안한 바 있다.In addition, the Republic of Korea Patent Application No. 97-56548, the authentication system of the remote financial service, there is a possibility of being eavesdropped by other people even without the use of advanced technology, as supported by the voice service of the automated answering system, in particular To solve this problem, a remote financial service of this type is more likely to be a financial service of a useless person to a hearing-impaired person or a hearing-impaired person compared to a normal person, as shown in FIG. 3, as shown in FIG. An authentication system for a remote financial service based on a challenge / response protocol, comprising: a computer terminal (100) for providing input / output means to a user requiring authentication for a remote financial service; A communication server 310 for establishing a communication connection by dialing the computer terminal 100 and providing a bidirectional communication connectivity for receiving a predetermined user identifier to perform an authentication procedure of a remote financial service; Recognizes the user identifier input from the communication server 710, generates a challenge value and transmits it to the user through the communication server 710, and then determines itself by the output value of the one-way function for the challenge value. Generating a response value and the computer terminal 100; Authentication determination system 300 comprising an authentication server 320 for authenticating the authenticity of the user by determining whether or not the user response value corresponding to the challenge value applied through the communication server 710 is the same. ); And generating the user response value corresponding to the challenge value through the built-in one-way function in response to receiving the challenge value from the user so that the user determines the authentication determination system 300 through the computer terminal 100. Korean Patent Application No. 97-57621, which consists of an authentication token card 400 displayed externally to provide to the outside, has proposed a remote financial service authentication system using a computer communication network.
한편, 종래 기술에 따른 챌린지/레스펀스 프로토콜에 기반하여 레스펀스값을 발생시키는 토큰 카드의 경우, 토큰 카드 제조사가 제조 과정에서 제품의 일련번호에 대응하는 암호키값을 고정적으로 설정하여 출시함에 따라 이 토큰 카드를 채택하는 보안 시스템(금융 인증 시스템, 비밀 파일 저장 시스템 등)의 보안성이 부정한 방법에 의해 해체되었을 경우에 책임 및 원인의 소재를 가리기가 어려우며, 실제로, 제조사의 담당자가 이와 같은 사고의 원인의 주체가 될 수도 있는 보안상의 문제점이 있었다.Meanwhile, in the case of a token card generating a response value based on a challenge / response protocol according to the prior art, the token card manufacturer fixedly sets and releases an encryption key value corresponding to the serial number of a product during the manufacturing process. When the security of a security system adopting a token card (financial authentication system, secret file storage system, etc.) has been dismantled by an illegal method, it is difficult to cover the responsibilities and whereabouts. There was a security problem that could be the cause of the cause.
한편, 시스템 운용적인 측면에서 볼 때, 종래 기술은 토큰 카드의 비밀번호(PIN; Personal Identification Number), 비밀번호의 자릿수 및 입력 실패 횟수, 암호키값 등과 같은 인증 파라미터를 가변시킬 수 있는 기능을 지원하지 못함에 따라 금융사, 기업체의 정보부서, 정보 기관, 연구소 등과 같은 보안 시스템의 운용 주체에게 폭넓은 시스템 운용의 자유도를 제공하지 못하는 문제점이 있었다.On the other hand, in terms of system operation, the prior art does not support a function that can change authentication parameters such as a PIN (Personal Identification Number) of a token card, the number of digits and input failures of a password, an encryption key value, and the like. Accordingly, there was a problem in that it did not provide a wide range of freedom of system operation to the subjects of security systems such as financial companies, corporate information departments, information agencies, and research institutes.
예컨대, 토큰 카드의 비밀번호에 대한 입력 실패 횟수가 고정되어 있을 경우, 인가자와 비인가자를 불문하고 기설정된 입력 실패 횟수를 초과하는 잘못된 비밀번호를 토큰 가드에 인가하면, 토큰 카드가 잠김(lock) 상태가 됨에 따라 더 이상의 시도를 허용하지 않음으로써 비인가자의 습득에 기인한 보안성의 해체로부터 시스템을 보호하는 안전 장치를 두고 있는 것이 일반적이다. 이러한 경우, 특별한 시스템 운용키와 같은 별도의 대비 조치를 취해 놓지 않으면 토큰 카드를 갱신하여 재사용할 수 없는 불편함이 있다.For example, if the number of input failures for the password of the token card is fixed, the token card may be locked if an incorrect password that exceeds the preset number of input failures, regardless of the authorized or unauthorized person, is applied to the token guard. As a result, it is common to have a safeguard that protects the system from the dissolution of security due to the unauthorized acquisition by disallowing further attempts. In such a case, it is inconvenient to renew the token card and reuse it unless special measures are taken such as a special system operation key.
이와 같은 문제를 해결하고자 본 발명의 발명자는, 챌린지/레스펀스 프로토콜에 기반한 원격 금융 서비스를 제공하기 위해 챌린지값에 대응하는 레스펀스값을 발생하는 인증 토큰 카드에 있어서, 인증 토큰 카드의 외부에 형성된 통신 포트를 통해 통신 인터페이스 장치의 지원하에 호스트 컴퓨터와 통신함에 의해 기설정된 인증 파라미터를 가변적으로 설정할 수 있도록 함으로써 원격 금융 서비스의 인증에 대한 보안성을 개선함과 동시에 서비스를 제공하는 금융사로 하여금 서비스 형태에 대한 자유도를 폭넓게 가질 수 있도록 하는 것을 특징으로 하는 대한민국 특허출원 제 97-60361 호, 입출력 접속 수단을 이용한 원격 금융 서비스의 인증 시스템을 제안한 바 있다.In order to solve such a problem, the inventor of the present invention, in the authentication token card for generating a response value corresponding to the challenge value in order to provide a remote financial service based on the challenge / response protocol, is formed outside the authentication token card The communication port allows a financial company that provides a service to improve the security of authentication of a remote financial service by allowing a variable setting of predetermined authentication parameters by communicating with a host computer through a communication interface device. Republic of Korea Patent Application No. 97-60361, characterized in that to have a wide range of degrees of freedom for, has proposed a remote financial service authentication system using the input and output access means.
여기서, 전술한 대한민국 특허출원 제 97-56548 호, 원격 금융 서비스의 인증 시스템 및 대한민국 특허출원 제 97-57621 호, 컴퓨터 통신망을 이용한 원격 금융 서비스의 인증 시스템은 모두 인증서버와의 통신을 통해 가변적인 인증 암호를 발생하도록 고안된 휴대형 인증 토큰 카드(secure-token card)를 채용함에 따라 인증 암호의 외부 유출을 근본적으로 차단시킴으로써 사용자의 진위에 대한 인증의 보안성 및 신뢰성을 극대화하고 있으나, 기본적으로 양자는 개인이 휴대할 수 있도록 고안된 인증 토큰 카드가 사용자로부터 챌린지값을 입력받음에 따라 내장된 상기 단방향 함수를 통해 이 챌린지값에 대응하는 상기 사용자 레스펀스값을 발생하여 상기 사용자가 상기 컴퓨터 단말기나 전화기를 통해 상기 인증 판단 시스템에 제공할 수 있도록 외부에 표시하는 방법이기 때문에 사용자가 수동으로 일일이 챌린지값을 입력하고 그에 따른 사용자 레퍼런스값을 확인하여 인증 판단 시스템에 제공해야 하는 일정부분 조작상의 불편함이 있다.Here, the above-mentioned Republic of Korea Patent Application No. 97-56548, the authentication system of the remote financial service and the Republic of Korea Patent Application No. 97-57621, the authentication system of the remote financial service using a computer communication network are all variable through communication with the authentication server The adoption of a portable secure-token card designed to generate an authentication password essentially blocks external leakage of the authentication password, thereby maximizing the security and reliability of authentication of the user's authenticity. As an authentication token card designed to be carried by an individual receives a challenge value from a user, the built-in one-way function generates the user response value corresponding to the challenge value so that the user can access the computer terminal or the telephone. To the outside to be provided to the authentication determination system. Because of the method, the user manually inputs the challenge value and checks the user reference value accordingly, and there is an inconvenience in some operations that must be provided to the authentication determination system.
또한, 이와 같은 수동 조작은 조작상의 불편함을 초래함과 동시에 키입력 오류를 빈번하게 발생시킬 수 있는 소지가 있고, 사용자의 키입력에 의해 인증 처리를 위한 소요 시간이 지연되는 문제가 있을 뿐만 아니라 인증 토큰 카드의 조작법을 상세하게 숙지해야 하는 불편함이 상존한다.In addition, such manual operation may cause an inconvenience in operation and may frequently generate a key input error, and may not only cause a delay in the time required for authentication processing by a user's key input. There is an inconvenience of having to know the operation method of the authentication token card in detail.
따라서 본 발명은 이와 같은 문제점을 해결하기 위해 안출된 것으로, 챌린지/레스펀스 프로토콜에 기반한 원격 금융 서비스의 인증 시스템에 있어서, 챌린지/레스펀스 프로토콜에 기반한 원격 금융 서비스를 제공하기 위해 인증 토큰 카드와 컴퓨터 단말기를 입출력 접속 수단을 통해 전기적으로 접속하여 양방향 통신 접속성을 제공함과 동시에 컴퓨터 단말기와 인증 판단 시스템을 컴퓨터 통신망을 통해 컴퓨터 통신이 가능하도록 접속한 상태에서 기설정된 챌린지/레스펀스 기반의 인증 절차를 수행함으로써 사용자의 키입력을 최소화하여 이용의 편리성 및 고속성을 도모하면서도 사용자의 진위에 대한 인증의 보안성 및 신뢰성을 제공할 수 있는 입출력 접속 수단을 이용한 원격 금융 서비스의 인증 시스템을 제공함에 그 목적이 있다.Accordingly, the present invention has been made to solve such a problem, in the authentication system of the remote financial service based on the challenge / response protocol, an authentication token card and a computer to provide the remote financial service based on the challenge / response protocol. By providing a two-way communication connectivity by electrically connecting the terminal through the input and output connection means, while performing a predetermined challenge / response-based authentication procedure while the computer terminal and the authentication determination system are connected to enable the computer communication through the computer communication network. By minimizing the user's key input, the system provides an authentication system for remote financial services using input / output access means that can provide user's authenticity with security and reliability while minimizing user's key input. There is a purpose.
본 발명의 또 다른 목적은, 입출력 접속 수단을 통해 접속된 컴퓨터 단말기는 물론이고 컴퓨터 통신망에 접속된 여하의 컴퓨터 단말기의 명령에 따라 인증 토큰 카드에 기록된 인증 파라미터를 가변시킬 수 있는 입출력 접속 수단을 이용한 원격 금융 서비스의 인증 시스템을 제공함에 있다.Still another object of the present invention is to provide an input / output connection means capable of varying the authentication parameters recorded on the authentication token card according to the instructions of any computer terminal connected to the computer communication network as well as the computer terminal connected through the input / output connection means. The present invention provides an authentication system for remote financial services.
도 1은 원격 금융 서비스 시스템을 자동 응답 시스템을 이용하여 구성한 일례를 도시한 구성도,1 is a configuration diagram showing an example in which a remote financial service system is configured using an answering machine;
도 2는 대한민국 특허출원 제 97-56548 호, 원격 금융 서비스의 인증 시스템을 나타낸 블록도,2 is a block diagram showing an authentication system of Korean Patent Application No. 97-56548, a remote financial service,
도 3은 대한민국 특허출원 제 97-57621 호, 컴퓨터 통신망을 이용한 원격 금융 서비스의 인증 시스템을 나타낸 블록도,3 is a block diagram showing an authentication system for a remote financial service using Korean Patent Application No. 97-57621, a computer communication network;
도 4는 본 발명에 따른 입출력 접속 수단을 이용한 원격 금융 서비스의 인증 시스템의 바람직한 실시예를 나타낸 구성도,Figure 4 is a block diagram showing a preferred embodiment of the authentication system for remote financial services using the input and output connection means according to the present invention,
도 5는 본 발명에 따른 인증 토큰 카드의 바람직한 실시예를 나타낸 블록도,5 is a block diagram showing a preferred embodiment of an authentication token card according to the present invention;
도 6은 본 발명에 따른 입출력 접속 수단을 이용한 원격 금융 서비스의 인증 방법의 바람직한 실시예를 나타낸 순서도,6 is a flowchart showing a preferred embodiment of a method for authenticating a remote financial service using an input / output access means according to the present invention;
도 7은 PCMCIA 확장 버스를 이용하여 본 발명의 또 다른 실시예를 나타낸 구성에서 컴퓨터 단말기에 인증 토큰 카드를 결합하기 전의 모습을 나타낸 예시도,7 is an exemplary view showing a state before coupling an authentication token card to a computer terminal in the configuration showing another embodiment of the present invention using a PCMCIA expansion bus,
도 8은 컴퓨터 단말기에 인증 토큰 카드를 결합한 후의 모습을 나타낸 구성도,8 is a block diagram showing a state after coupling the authentication token card to the computer terminal,
도 9는 적외선 송수광 포트를 이용하는 컴퓨터 단말기와 인증 토큰 카드를 나타낸 예시도,9 is an exemplary view showing a computer terminal and an authentication token card using an infrared transceiver port;
도 10은 적외선 송수광 포트를 이용하여 본 발명의 또 다른 실시예를 나타낸 구성도,10 is a block diagram showing another embodiment of the present invention using an infrared light transmitting port,
도 11은 본 발명에 따른 인증 파라미터 가변을 위한 어플리케이션 창의 일례를 도시한 예시도이다.11 is an exemplary view showing an example of an application window for variable authentication parameters according to the present invention.
도면의 주요부분에 대한 부호의 설명Explanation of symbols for main parts of the drawings
400 : 컴퓨터 단말기 420 : 제 2 입출력 접속부400: computer terminal 420: second input / output connection
500 : 인증 토큰 카드 510 : 키패드500: authentication token card 510: keypad
520 : EEPROM 530 : 입출력 접속부520: EEPROM 530: input / output connection
540 : 마이크로프로세서 유니트 550 : 액정 디스플레이부540: microprocessor unit 550: liquid crystal display
600 : 컴퓨터 통신망 700 : 인증 판단 시스템600: computer communication network 700: authentication judgment system
710 : 통신서버 720 : 인증서버710: communication server 720: authentication server
이와 같은 목적을 달성하기 위해 본 발명에 따른 입출력 접속 수단을 이용한 원격 금융 서비스의 인증 시스템에 있어서, 인증 토큰 카드는 챌린지/레스펀스 프로토콜에 기반한 원격 금융 서비스를 제공하기 위해 챌린지값을 입력받음에 따라 단방향 함수에 따라 상기 챌린지값에 대응하는 사용자 레스펀스값을 발생하며 상기 챌린지값을 입력받고 상기 사용자 레스펀스값을 출력하기 위한 입출력 접속 수단인 제 1 입출력 접속부를 구비하고, 컴퓨터 단말기는 컴퓨터 통신망에 컴퓨터 통신이 가능하도록 접속됨과 동시에 자체에 탑재된 입출력 접속 수단인 제 2 입출력 접속부를 통해 상기 제 1 입출력 접속부와 착탈 가능하도록 접속되어 상기 인증 토큰 카드와 양방향 통신이 가능하도록 지원하며, 인증 판단 시스템은 컴퓨터 통신망에 접속된 상기 컴퓨터 단말기를 통해 상기 인증 토큰 카드에게 챌린지값을 제공한 후, 상기 챌린지값에 대한 단방향 함수(one-way function)의 출력값인 자체 레스펀스값을 발생하여 상기 컴퓨터 단말기를 통해 상기 인증 토큰 카드로부터 입력되는 상기 사용자 레스펀스값과 동일한지 여부를 판단함으로써 상기 사용자의 진위 여부를 인증하는 것이 특징이다.In the authentication system of the remote financial service using the input / output access means according to the present invention in order to achieve the above object, the authentication token card in response to receiving a challenge value to provide a remote financial service based on the challenge / response protocol And a first input / output connection unit for generating a user response value corresponding to the challenge value according to a unidirectional function, the first input / output connection unit being an input / output connection unit for receiving the challenge value and outputting the user response value. It is connected to enable computer communication and at the same time connected to the first input and output connecting portion detachably via the second input and output connecting means which is an on-board input and output means to support two-way communication with the authentication token card, the authentication determination system The computer connected to a computer network After providing a challenge value to the authentication token card through a terminal, a self-response value, which is an output value of a one-way function for the challenge value, is generated and input from the authentication token card through the computer terminal. The authenticity of the user is determined by determining whether the user response value is equal to the user response value.
이하, 본 발명에 따른 입출력 접속 수단을 이용한 원격 금융 서비스의 인증 시스템의 바람직한 실시예의 구성을 첨부한 도 4를 참조하여 설명하면 다음과 같다.Hereinafter, a configuration of a preferred embodiment of a system for authenticating a remote financial service using an input / output connection means according to the present invention will be described with reference to FIG. 4.
도 4는 본 발명에 따른 입출력 접속 수단을 이용한 원격 금융 서비스의 인증 시스템의 바람직한 실시예를 나타낸 구성도이고, 도 5는 본 발명에 따른 인증 토큰 카드의 바람직한 실시예를 나타낸 블록도이다.Figure 4 is a block diagram showing a preferred embodiment of the authentication system of the remote financial service using the input and output connection means according to the present invention, Figure 5 is a block diagram showing a preferred embodiment of the authentication token card according to the present invention.
본 발명에 따른 입출력 접속 수단을 이용한 원격 금융 서비스의 인증 시스템의 바람직한 실시예는 도 4에 도시한 바와 같이, 챌린지/레스펀스 프로토콜에 기반한 원격 금융 서비스의 인증 시스템에 있어서, 챌린지/레스펀스 프로토콜에 기반한 원격 금융 서비스를 제공하기 위해 챌린지값을 입력받음에 따라 단방향 함수에 따라 상기 챌린지값에 대응하는 사용자 레스펀스값을 발생하며 상기 챌린지값을 입력받고 상기 사용자 레스펀스값을 출력하기 위한 입출력 접속 수단인 제 1 입출력 접속부(530)를 구비한 인증 토큰 카드(500)와; 컴퓨터 통신이 가능하도록 컴퓨터 통신망(600)에 접속됨과 동시에 자체에 탑재된 외부 입출력 접속 수단인 제 2 입출력 접속부(410)를 통해 상기 제 1 입출력 접속부(530)와 착탈 가능하도록 접속되어 상기 인증 토큰 카드(500)와의 양방향 통신 접속성을 제공하는 컴퓨터 단말기(400); 및 상기 컴퓨터 통신망(600)에 접속된 상기 컴퓨터 단말기(400)를 통해 상기 인증 토큰 카드(500)에게 챌린지값을 제공한 후, 상기 챌린지값에 대한 단방향 함수(one-way function)의 출력값인 자체 레스펀스값을 발생하여 상기 컴퓨터 단말기(400)를 통해 상기 인증 토큰 카드(500)로부터 입력되는 상기 사용자 레스펀스값과 동일한지 여부를 판단함으로써 상기 사용자의 진위 여부를 인증하는 인증 판단 시스템(700)으로 구성된다.A preferred embodiment of the authentication system for remote financial services using the input / output access means according to the present invention is shown in FIG. 4, in the authentication system for remote financial services based on the challenge / response protocol. Input / output access means for generating a user response value corresponding to the challenge value according to a unidirectional function and receiving the challenge value and outputting the user response value in response to receiving a challenge value to provide a remote financial service based on the challenge. An authentication token card 500 having a first input / output connection unit 530; The authentication token card is connected to the computer communication network 600 to enable computer communication and detachably connected to the first input / output connection unit 530 through a second input / output connection unit 410 which is an external input / output connection unit mounted thereon. A computer terminal 400 providing bidirectional communication connectivity with 500; And providing a challenge value to the authentication token card 500 through the computer terminal 400 connected to the computer communication network 600, and then outputting a one-way function to the challenge value. An authentication determination system 700 for authenticating the authenticity of the user by generating a response value and determining whether it is equal to the user response value input from the authentication token card 500 through the computer terminal 400. It consists of.
여기서, 상기 인증 토큰 카드(500)는 도 5에 도시한 바와 같이, 사용자 입력을 인가받기 위한 키패드(510)와, 비밀번호(PIN; Personal Identification Number) 및 암호키값을 포함하는 인증 파라미터를 기억하며 상기 인증 파라미터에 대한 전기적인 소거성 및 프로그램성을 제공하는 EEPROM(Electrically Erasable and Programmable Read Only Memory; 520)과; 상기 제 2 입출력 접속부(410)와 전기적인 접속을 형성함으로써 상기 컴퓨터 단말기(400)와의 양방향 통신 접속성을 제공하도록 복수의 통신 접속 접점을 구비한 제 1 입출력 접속부(530)와; 상기 제 1 입출력 접속부(530) 또는 상기 키패드(510)를 통해 상기 챌린지값을 입력받음에 따라 내장된 상기 단방향 함수를 이용하여 상기 챌린지값 및 상기 암호키값에 대응하는 사용자 레스펀스값을 발생시키고, 상기 제 1 입출력 접속부(530)를 통해 인가되는 상기 컴퓨터 단말기(400)의 명령에 따라 상기 인증 파라미터를 가변시키는 마이크로프로세서 유니트(Microprocessor Unit; 540); 및 상기 마이크로프로세서 유니트(540)의 동작 상황을 표시함과 동시에 상기 발생된 사용자 레스펀스값을 디스플레이(display)하기 위한 액정 디스플레이부(550)를 포함한다.As shown in FIG. 5, the authentication token card 500 stores an authentication parameter including a keypad 510 for receiving a user input, a personal identification number (PIN), and an encryption key value. An electrically erasable and programmable read only memory (EEPROM) 520 that provides electrical eraseability and programmability for authentication parameters; A first input / output connector (530) having a plurality of communication connection contacts to provide bidirectional communication connectivity with the computer terminal (400) by making an electrical connection with the second input / output connector (410); In response to the challenge value being input through the first input / output connection unit 530 or the keypad 510, a user response value corresponding to the challenge value and the encryption key value is generated using the built-in one-way function. A microprocessor unit 540 for varying the authentication parameter according to a command of the computer terminal 400 applied through the first input / output connection unit 530; And a liquid crystal display unit 550 for displaying the operation status of the microprocessor unit 540 and displaying the generated user response value.
여기서, 상기 인증 판단 시스템(700)은, 상기 컴퓨터 단말기(400)의 다이얼링에 의해 통신 접속을 형성하며 기설정된 사용자 식별자를 입력받아 원격 금융 서비스의 인증 절차를 수행하기 위한 양방향 통신 접속성을 제공하는 통신서버(710; communication server); 및 상기 통신서버(710)로부터 입력된 상기 사용자 식별자를 인지하고, 챌린지값을 발생하여 상기 통신서버(710)를 통해 상기 사용자에게 전달하도록 한 후, 상기 챌린지값에 대한 단방향 함수의 출력값에 의해 결정되는 자체 레스펀스값을 발생하여 상기 통신서버(710)를 통해 상기 컴퓨터 단말기(400)로부터 인가되는 상기 사용자 레스펀스값과 동일한지 여부를 판단함으로써 상기 사용자의 진위 여부를 인증하는 인증서버(720; authentication server)로 구성된다.Here, the authentication determination system 700 forms a communication connection by dialing the computer terminal 400 and receives a preset user identifier to provide bidirectional communication connectivity for performing an authentication procedure of a remote financial service. Communication server 710; And recognizing the user identifier input from the communication server 710, generating a challenge value, and transmitting the challenge value to the user through the communication server 710, and then determining the output value of the one-way function with respect to the challenge value. An authentication server 720 for authenticating the authenticity of the user by generating a response value of the user and determining whether it is equal to the user response value applied from the computer terminal 400 through the communication server 710; authentication server).
여기서, 컴퓨터 통신망(600)은 기존의 유무선 공중 전화망이나 ISDN( Integrated Service Digital Network), 인터넷 등과 같이 컴퓨터 단말기와 접속 가능한 모든 유무선 네트워크를 통칭한다.Here, the computer communication network 600 collectively refers to all wired and wireless networks that can be connected to a computer terminal, such as an existing wired / wireless public telephone network, an integrated service digital network (ISDN), the Internet, and the like.
또한, 상기 제 2 입출력 접속부(410)는 상기 컴퓨터 단말기(400)의 직렬 통신 포트와 병렬 통신 포트 중 어느 한 통신 포트로, 상기 제 1 입출력 접속부(530) 와 결합되어 통신 상기 컴퓨터 단말기(400)와 상기 인증 토큰 카드(500) 간의 통신 인터페이스를 제공하는 것이 바람직하며, 특히, RS-232C 직렬 통신 포트를 이용하는 것이 더욱 바람직하다.In addition, the second input / output connection unit 410 is any one of a serial communication port and a parallel communication port of the computer terminal 400, and is coupled to the first input / output connection unit 530 to communicate with the computer terminal 400. It is desirable to provide a communication interface between the authentication token card 500 and, more particularly, to use an RS-232C serial communication port.
또한, 상기 제 2 입출력 접속부(410)는 랩톱 컴퓨터(laptop computer 즉, 노트북 컴퓨터, notebook computer)의 확장 버스로 채택되고 있는 PCMCIA(Personal Computer Memory Card International Association) 방식 기반의 확장 슬롯을 이용할 수도 있으며, 또한, MCA(Micro Channel Architecture), ISA(Industry Standard Architecture), EISA(Extended Industry Standard Architecture), PCI(Personal Computer Interface) 등과 같은 확장 버스에 기반한 확장 슬롯을 이용하여도 무방하다.In addition, the second input / output connection unit 410 may use an expansion slot based on a Personal Computer Memory Card International Association (PCMCIA) method, which is used as an expansion bus of a laptop computer (ie, a laptop computer). In addition, an expansion slot based on an expansion bus such as a micro channel architecture (MCA), an industry standard architecture (ISA), an extended industry standard architecture (EISA), and a personal computer interface (PCI) may be used.
여기서, 직렬 통신 포트는 직렬 인터페이스(serial interface) 또는 비동기 통신 어댑터(asynchronous communication adapter)라고 부르며, 통상, 비동기 직렬 데이터(asynchronous serial data)를 양방향으로 전송하기 위한 표준인 RS-232C를 이용한다. RS-232C는 본래 데이터 단말 장치와 모뎀이나 데이터 집선 장치와 같은 회선 종단 장치를 상호 접속하기 위한 규격으로, 전자 공업 제품에 대한 표준을 만들고 유지하는 것을 목적으로 하는 미국 전자 산업 분야의 기업 연합체인 전자 공업 협회(EIA; Electronic Industries Association)의 추천 규격(RS; Recommendation Standard)으로써 제정되어 있는 규격이다. 중앙 처리 장치와 주변 장치와의 사이에서 제어 신호나 데이터의 상호 통신을 위한 표준 인터페이스로 사용되고 있다. 이와 같은 규격에 따르는 인터페이스를 RS-232C 인터페이스라고 한다. 또한, 병렬 통신 포트(parallel port)의 '병렬'은 8개의 줄을 이용하여 한 번에 8개의 비트(즉, 1바이트)를 전송하기 때문에 붙여진 것으로, 소위 프린터 통신 포트로 명명되기도 하는 데, 이는 대부분의 경우에 프린터를 연결하기 위해 사용되기 때문이다. 또한 병렬 통신 포트의 표준을 정한 회사의 이름을 따서 센트로닉스(Centronics) 인터페이스라고도 명명된다.Here, the serial communication port is called a serial interface or asynchronous communication adapter, and generally uses RS-232C, which is a standard for transmitting asynchronous serial data in both directions. RS-232C is a standard for interconnecting data terminal devices and line termination devices, such as modems and data concentrators, and is an electronic federation of companies in the US electronics industry aimed at creating and maintaining standards for electronics products. It is a standard established as a Recommendation Standard (RS) of the Electronic Industries Association (EIA). It is used as a standard interface for communication of control signals and data between the central processing unit and peripheral devices. The interface conforming to this standard is called RS-232C interface. In addition, the 'parallel' of the parallel communication port (parallel port) is attached because it transmits eight bits (i.e., one byte) at a time by using eight lines, also called a printer communication port, This is because in most cases it is used to connect a printer. It is also called the Centronics interface, after the company that set the standard for parallel communication ports.
이와 같이 구성된 본 발명에 따른 입출력 접속 수단을 이용한 원격 금융 서비스의 인증 시스템의 바람직한 실시예의 작용을 첨부한 도면을 참조하여 설명하기로 한다.The operation of the preferred embodiment of the authentication system for the remote financial service using the input / output access means according to the present invention configured as described above will be described with reference to the accompanying drawings.
도 6은 본 발명에 따른 입출력 접속 수단을 이용한 원격 금융 서비스의 인증 방법의 바람직한 실시예를 나타낸 순서도이다.6 is a flowchart illustrating a preferred embodiment of a method for authenticating a remote financial service using an input / output access means according to the present invention.
먼저, 사용자의 인증을 필요로 하는 기관(일례로, 금융사: 은행, 증권사, 신탁회사, 보험사 기타)에서 사용자들에게 제작·배포한 인증 토큰 카드(500)에 구비된 제 1 입출력 접속부(530)를 컴퓨터 단말기(400)의 제 2 입출력 접속부(410)에 결합한 상태에서 컴퓨터 단말기(400)를 통해 컴퓨터 통신망(600)을 경유하여 금융사 또는 이를 대행하는 서비스 업체가 제공하는 통신서버(710)에 접속함으로써 사용자와 통신서버(710) 간에 양방향 통신 접속을 형성한다.(S10)First, a first input / output connection unit 530 provided in an authentication token card 500 manufactured and distributed to users by an institution (for example, a financial company: a bank, a securities company, a trust company, an insurance company, etc.) that requires user authentication. Is coupled to the second input / output connection unit 410 of the computer terminal 400 via the computer terminal 400 via the computer communication network 600 is connected to the communication server 710 provided by a financial company or a service company on behalf of it. As a result, a bidirectional communication connection is established between the user and the communication server 710. (S10)
컴퓨터 단말기(400)와 통신서버(710)와의 통신이 형성되면, 통신서버(710)에서는 사용자의 주민등록번호나 기개설된 통장 번호 등과 같은 사용자를 고유하게 식별할 수 있는 사용자 식별자를 요구한다.When the communication between the computer terminal 400 and the communication server 710 is established, the communication server 710 requires a user identifier that can uniquely identify the user, such as a user's social security number or an existing bankbook number.
사용자가 컴퓨터 단말기(400)의 키보드를 이용하여 사용자 식별자를 입력하면, 컴퓨터 단말기(400)는 이를 컴퓨터 통신망(600)을 통해 통신서버(710)에 전송하고 연이어 통신서버(710)는 수신한 사용자 식별자를 인증서버(720)에 전송한다.(S20)When a user inputs a user identifier by using the keyboard of the computer terminal 400, the computer terminal 400 transmits it to the communication server 710 through the computer communication network 600, and subsequently the communication server 710 receives the received user. The identifier is transmitted to the authentication server 720 (S20).
이에 따라, 인증서버(720)는 입력된 사용자 식별자와 자체적으로 내장된 자체 식별자와 일치하는 식별자가 존재하는지를 판단한다.(S30)Accordingly, the authentication server 720 determines whether there is an identifier that matches the input user identifier and its own built-in identifier (S30).
판단 결과, 사용자 식별자와 일치하는 자체 식별자가 존재하지 않으면, 통신서버(710)의 지원하에 사용자에게 허용된 소정의 에러 발생 횟수(N)만큼에 걸쳐 고객에게 정확한 사용자 식별자를 재차 입력할 것을 요구하며, 최종적으로 이와 같은 요구에 사용자의 입력이 부응하지 못할 경우에는 접속을 차단하도록 한다.(S40)As a result of the determination, if there is no own identifier that matches the user identifier, the customer is required to input the correct user identifier again over a predetermined number of error occurrences N allowed by the user with the support of the communication server 710. Finally, if the user's input does not meet such a request, the access is blocked (S40).
반면에, 사용자 식별자와 일치하는 자체 식별자가 존재하면, 인증 절차를 수행하기 위한 시스템적인 접속을 허락한다.On the other hand, if there is its own identifier that matches the user identifier, it allows a systemic connection to perform the authentication procedure.
이때, 사용자가 자신만 기억하는 인증 토큰 카드(500)의 비밀번호(PIN; Personal Identification Number)를 컴퓨터 단말기(400)의 입력수단을 통해 키입력함에 따라 인증 토큰 카드(500)에서도 인증서버(720)와 마찬가지로, 제 1 입출력 접속부(530) 및 제 2 입출력 접속부(410)를 경유하여 컴퓨터 단말기(400)로부터 인증 토큰 카드(500)의 비밀번호(PIN; Personal Identification Number)를 입력받아자체에 내장된 비밀번호(PIN; Personal Identification Number)와 비교하여 두 비밀번호가 일치할 경우에 한해서만 인증 절차를 수행할 수 있도록 시스템적인 연결성을 제공한다.In this case, as the user key-in the PIN (Personal Identification Number) of the authentication token card 500 that only the user remembers through the input means of the computer terminal 400, the authentication server 720 in the authentication token card 500. Similarly, a password (PIN) of the authentication token card 500 is input from the computer terminal 400 via the first input / output connector 530 and the second input / output connector 410. Compared to Personal Identification Number (PIN), it provides systemic connectivity so that authentication process can be performed only when two passwords match.
인증서버(720)의 판단 결과, 사용자 식별자와 일치하는 자체 식별자가 존재할 경우에 인증서버(720)가 챌린지/레스펀스 프로토콜에 입각하여 인증 절차를 수행하기 위한 챌린지값을 발생하여 통신서버(710)에 제공하면, 통신서버(710)는 이를 수신하여 컴퓨터 단말기(400)에 전달한다.(S50)As a result of the determination of the authentication server 720, if there is a unique identifier that matches the user identifier, the authentication server 720 generates a challenge value for performing an authentication procedure based on the challenge / response protocol, and then the communication server 710. If provided to, the communication server 710 receives it and delivers it to the computer terminal 400. (S50)
이후, 컴퓨터 단말기(400)가 수신한 챌린지값을 제 2 입출력 접속부(410)를 통해 출력하면, 인증 토큰 카드(500)는 제 1 입출력 접속부(530)를 통해 이를 전달받는다.(S60)Thereafter, when the challenge value received by the computer terminal 400 is output through the second input / output connection unit 410, the authentication token card 500 receives it through the first input / output connection unit 530. (S60)
이에 따라, 인증 토큰 카드(400)가 인증서버(720)에 내장된 단방향 함수와 동일한 단방향 함수를 이용하여 일련의 연산을 통해 이 챌린지값에 대응하는 사용자 레스펀스값을 산출하여 제 1 입출력 접속부(530)를 통해 출력하면, 컴퓨터 단말기(100)는 제 2 입출력 접속부(410)를 통해 수신하고(S70), 사용자 레스펀스값을 수신한 컴퓨터 단말기(400)는 컴퓨터 통신망(600)을 경유하여 인증 판단 시스템(700)에 이를 전송한다.(S80)Accordingly, the authentication token card 400 calculates a user response value corresponding to the challenge value through a series of operations using the same one-way function as the one-way function built in the authentication server 720, and then the first input / output connection unit ( When outputting through 530, the computer terminal 100 receives through the second input / output connection unit 410 (S70), and the computer terminal 400 receiving the user response value is authenticated via the computer communication network 600. It transmits this to the determination system 700 (S80).
인증서버(720)는 상기 원격 금융 서비스에 대한 인증이 필요한 사용자에게 챌린지값을 제공한 후, 상기 챌린지값에 대한 단방향 함수(one-way function)를 이용한 일련의 연산을 통해 출력값인 자체 레스펀스값을 발생시켜 저장하고 있다가, 인증서버(720)는 컴퓨터 통신망(600)을 통해 컴퓨터 단말기(400)가 전송한 사용자 레스펀스값이 통신서버(710)를 통해 전달되면, 사용자 레스펀스값과 자체 레스펀스값이 동일한지 여부를 비교·판단한다.(S90)The authentication server 720 provides a challenge value to a user requiring authentication for the remote financial service, and then outputs its own response value through a series of operations using a one-way function on the challenge value. While generating and storing the authentication server 720, the user response value transmitted from the computer terminal 400 through the computer communication network 600 is transmitted through the communication server 710, the user response value and itself Compare and determine whether the response value is the same (S90).
이후, 단계 S90의 판단 결과, 사용자 레스펀스값과 자체 레스펀스값이 동일함에 따라 적법한 사용자인 것으로 결정되면, 억세스(접근)의 허용여부를 통신서버(710)에 전달한다.Subsequently, when it is determined in step S90 that the user response value and the own response value are the same as the legitimate user, the communication server 710 transmits the permission of the access (access).
이어서, 통신서버(710)가 인증서버(720)로부터 받은 억세스의 허용 여부를 컴퓨터 통신망(600)을 경유하여 컴퓨터 단말기(400)에 전달하면, 컴퓨터 단말기(400)는 억세스 허용 여부를 표시 수단을 통해 사용자에게 전달하고, 적법한 액세스임에 따라 적법한 사용자에게 허용된 원격 금융 서비스를 계속 진행한다.(S100)Subsequently, when the communication server 710 transmits the permission of the access received from the authentication server 720 to the computer terminal 400 via the computer communication network 600, the computer terminal 400 indicates whether to allow the access. It delivers to the user through, and proceeds to the remote financial services allowed to the legitimate user according to the legitimate access (S100).
반면에, 단계 S90의 판단 결과, 사용자 레스펀스값과 자체 레스펀스값이 동일하지 않으면, 단계 S110에서는 사용자 레스펀스값과 자체 레스펀스값이 불일치한 횟수(M)가 허용된 소정의 에러 발생 횟수(M) 이하인지를 판단한다.On the other hand, if it is determined in step S90 that the user response value and the self response value are not the same, in step S110, the predetermined number of occurrences of the error allowed for the number M of inconsistency between the user response value and the self response value is allowed. (M) It determines whether it is below.
단계 S110의 판단 결과, 사용자 레스펀스값과 자체 레스펀스값이 불일치한 횟수(M)가 허용된 소정의 에러 발생 횟수(M) 이하이면, 단계 120에서는 인증서버(720)를 통해 새로운 챌린지값을 생성한 후에 단계 60으로 되돌아가고, 그렇지 않으면, 사용자의 요구로 거절함으로써 비인가자의 억세스를 차단한다.As a result of the determination in step S110, if the number M of inconsistency between the user response value and the own response value is less than the predetermined number of error occurrences M allowed, in step 120 a new challenge value is determined through the authentication server 720. After creation, the process returns to step 60, otherwise, the unauthorized user's access is blocked by rejecting the user's request.
참고로, 본원에서 이용되는 단방향 함수는 백도어를 갖는 단방향 함수(one-way function with back-door)를 일컫는 것으로, 대표적인 단방향 함수로는 해쉬 함수(hash function)가 있다.For reference, the one-way function used herein refers to a one-way function with back-door, and a typical one-way function is a hash function.
백도어를 갖는 단방향 함수의 주요 특징은 입력값(여기서는 챌린지값임.)에 대응하는 출력값(여기서는 레스펀스값임.)을 일련의 연산에 의해 산출할 수 있지만, 역으로, 출력값에 대응하는 입력값은 산출할 수 없음에 따라 보안성을 확보할 수 있는 특징이 있으며, 단, 키값을 가지고 있는 인가자만이 출력값에서 입력값을 산출할 수 있도록 허용함에 따라 백도어(back-door)라는 용어가 붙은 것이다.The main characteristic of a unidirectional function with a backdoor is that the output value (here, the response value) corresponding to the input value (here, the challenge value) can be calculated by a series of operations, but the input value corresponding to the output value is calculated. There is a feature that can be secured by not being able to do so, except that only the authorized person who has the key value can calculate the input value from the output value, and the term is called back-door.
한편, 챌린지값 및 레스펀스값은 숫자와 문자 중 어느 것으로도 표현이 가능할 뿐만 아니라 문자와 숫자를 조합한 형식(alphanumeric)으로 표현이 가능하지만, 통상, 숫자로 표현되는 것이 일반적이다.On the other hand, the challenge value and the response value can be expressed not only by any of numbers and letters, but also by alphanumeric in combination of letters and numbers, but are generally represented by numbers.
한편, 상기 제 2 입출력 접속부(410)는 전술한 바와 같이, 상기 컴퓨터 단말기(400)의 직렬 통신 포트와 병렬 통신 포트 중 어느 한 통신 포트를 이용할 수도 있으며, PCMCIA(Personal Computer Memory Card International Association), MCA(Micro Channel Architecture), ISA(Industry Standard Architecture), EISA(Extended Industry Standard Architecture), PCI(Personal Computer Interface) 등과 같은 확장 버스에 기반한 확장 슬롯을 이용할 수도 있다.As described above, the second input / output connection unit 410 may use any one of a serial communication port and a parallel communication port of the computer terminal 400, and may include a personal computer memory card international association (PCMCIA), Expansion slots based on expansion buses such as Micro Channel Architecture (MCA), Industry Standard Architecture (ISA), Extended Industry Standard Architecture (EISA), and Personal Computer Interface (PCI) can also be used.
바람직하게는, 상기 제 2 입출력 접속부(410) 및 상기 제 1 입출력 접속부(530)는 상호 착탈 가능하도록 접속됨에 의해 상기 컴퓨터 단말기(400)와 상기 인증 토큰 카드(500) 간의 통신 인터페이스를 제공하기 위한 것으로, 상기 컴퓨터 단말기(400)와 상기 인증 토큰 카드(500) 간에 실질적으로 주고 받는 데이터량은 매우 적기 때문에 양방향 통신성을 용이하게 구현할 수 있으면서도 작은 설치 공간을 필요로 하는 RS-232C 직렬 통신 포트를 이용하는 것이 더욱 바람직하다.Preferably, the second input / output connection unit 410 and the first input / output connection unit 530 are connected to each other detachably to provide a communication interface between the computer terminal 400 and the authentication token card 500. Since the amount of data exchanged substantially between the computer terminal 400 and the authentication token card 500 is very small, an RS-232C serial communication port that can easily implement bidirectional communication and requires a small installation space is provided. It is more preferable to use.
본 발명의 실시예에서 이용되는 RS-232C 직렬 통신 포트는 25핀 직렬 통신 포트 방식과 9핀 직렬 통신 포트 방식 중 어느 것을 채택하여도 무방하며, 참고로 각각의 핀 접속의 대응 관계를 설명하면, 상기 25핀 직렬 통신 포트에 접속되는 25핀 콘넥터 및 상기 9핀 직렬 통신 포트에 접속되는 9핀 콘넥터의 핀배열은 표 1과 같다.The RS-232C serial communication port used in the embodiment of the present invention may adopt any one of a 25-pin serial communication port method and a 9-pin serial communication port method. Referring to FIG. Table 1 shows pin assignments of the 25 pin connector connected to the 25 pin serial communication port and the 9 pin connector connected to the 9 pin serial communication port.
RS-232C 규격에 따르는 직렬 통신 포트는 25핀 콘넥터를 통해 상호 접속 관계를 설정하는 것이 통상적인 일이지지만, 25핀 콘넥터는 실제로 사용하지 않아도 되는 신호선들이 같이 있으며, 설치시 차지하는 부피가 크므로 9핀 콘넥너를 사용하는 경우가 종종 있으며, 상기 두 콘넥터를 혼용하여 사용하기 위해서는 표 2에서 볼 수 있는 바와 같이 동일한 신호선끼리 핀을 상호 접속하면 된다.Serial communication ports conforming to the RS-232C standard are usually connected to each other through a 25-pin connector. However, the 25-pin connector has signal lines that do not actually need to be used. Often, pin connectors are used, and in order to use the two connectors interchangeably, the same signal lines may be connected to each other as shown in Table 2.
또한, 상기 컴퓨터 단말기(400)와 상기 인증 토큰 카드(500) 간에 양방향 통신 접속성을 제공하기 위한 다른 실시예로는 최근에 노트북 컴퓨터(notebook computer)이나 팜탑 컴퓨터(palm top computer)의 확장 버스로 채택되고 있는 PCMCIA(Personal Computer Memory Card International Association) 방식 기반의 확장 슬롯을 이용하는 것이다.In addition, another embodiment for providing bidirectional communication connectivity between the computer terminal 400 and the authentication token card 500 has recently been extended to an expansion bus of a notebook computer or a palm top computer. It is using expansion slots based on the Personal Computer Memory Card International Association (PCMCIA) scheme.
도 7은 PCMCIA 확장 버스를 이용하여 본 발명의 또 다른 실시예를 나타낸 구성에서 컴퓨터 단말기에 인증 토큰 카드를 결합하기 전의 모습을 나타낸 예시도이고, 도 8은 컴퓨터 단말기에 인증 토큰 카드를 결합한 후의 모습을 나타낸 구성도이다.7 is an exemplary view showing a state before coupling the authentication token card to the computer terminal in a configuration showing another embodiment of the present invention using a PCMCIA expansion bus, Figure 8 is a view after coupling the authentication token card to the computer terminal The configuration diagram is shown.
도 7 및 도 8에 있어서, 상기 제 2 입출력 접속부(410)는 PCMCIA 확장 슬롯이되는 것이고, 상기 제 1 입출력 접속부(530)는 PCMCIA 확장 슬롯에 삽입하여 전기적인 결합성을 제공하는 PCMCIA 접속 단자부이다. 잘 알려진 바와 같이 이와 같은 구성은 설치 공간이 협소하며 양호한 양방향 통신성을 제공할 뿐만 아니라 이동성이 좋은 것이 특징이다. 특히, 이것은 컴퓨터 단말기(400, 즉, 노트북 컴퓨터)의 PCMCIA 확장 슬롯(410)에 인증 토큰 카드(530)의 PCMCIA 접속 단자부(530)를 끼우는 형식으로 삽입함으로써 착탈이 용이하고 외관이 보기에 좋다는 것이 가장 큰 장점이다.7 and 8, the second input / output connector 410 is to be a PCMCIA expansion slot, and the first input / output connector 530 is a PCMCIA connection terminal to be inserted into the PCMCIA expansion slot to provide electrical coupling. . As is well known, such a configuration is characterized by a small installation space and good mobility, as well as good bidirectional communication. In particular, it is easy to attach and detach by inserting the PCMCIA connection terminal 530 of the authentication token card 530 into the PCMCIA expansion slot 410 of the computer terminal 400 (ie, a notebook computer). It is the biggest advantage.
그리고, 상기 컴퓨터 단말기(400)와 상기 인증 토큰 카드(500) 간에 양방향 통신 접속성을 제공하기 위한 또 다른 실시예로는 최근에 데스크 톱 컴퓨터(desk top computer)나 노트북 컴퓨터(notebook computer)에서 무선 통신 포트의 일종으로 이용되고 있는 적외선 송수광 포트를 이용하는 것이다.In addition, another embodiment for providing bidirectional communication connectivity between the computer terminal 400 and the authentication token card 500 has recently been wireless in a desktop or notebook computer. It is to use the infrared transmitting and receiving port which is used as a kind of communication port.
도 9는 적외선 송수광 포트를 이용하는 컴퓨터 단말기와 인증 토큰 카드를 나타낸 예시도이고, 도 10은 적외선 송수광 포트를 이용하여 본 발명의 또 다른 실시예를 나타낸 구성도이다.9 is an exemplary view showing a computer terminal and an authentication token card using the infrared light transmitting port, Figure 10 is a block diagram showing another embodiment of the present invention using the infrared light transmitting port.
도 9 및 도 10에 있어서, 상기 제 2 입출력 접속부(410)는 컴퓨터 단말기(400)측의 적외선 송수광 포트이고, 상기 제 1 입출력 접속부(530)는 인증 토큰 카드(500)측의 적외선 송수광 포트인 것이다. 잘 알려진 바와 같이 이와 같은 구성은 제 1 입출력 접속부(530)와 제 2 입출력 접속부(410)를 케이블을 통해 접속할 필요가 없음에 따라 인증 절차를 수행할 시에 컴퓨터 단말기(400)와 토큰 인증 카드(500) 간의 거리의 연장이 비교적 자유로운 편이고, 양방향 통신 접속을 형성할 시에 컴퓨터 단말기에 삽입하거나 케이블과 통신 포트를 통해 착탈할 필요가 없음에 따라 사용하기 쉽고 양호한 양방향 통신성을 제공함과 동시에 좋은 이동성을 제공하고 외관이 미려한 것이 큰 장점이다.9 and 10, the second input / output connection unit 410 is an infrared transmitting / receiving port on the computer terminal 400 side, and the first input / output connection unit 530 is an infrared transmitting / receiving light on the authentication token card 500 side. It is a port. As is well known, such a configuration does not require connecting the first input / output connection unit 530 and the second input / output connection unit 410 via a cable. The distance between them is relatively free, and it is easy to use and provides good bidirectional communication as it does not need to be inserted into a computer terminal or detached through a cable and communication port when forming a bidirectional communication connection. It is a big advantage to provide and beautiful appearance.
선택적으로는, 상기 토큰 인증 카드(500)는 직병렬 통신 포트 및 확장 슬롯과 접속하기 위한 입출력 접속부를 복수로 구비할 수 있다. 예컨대, 직렬 통신 포트와 PCMCIA 확장 슬롯과 접속하기 위한 접속 단자부를 각각 별도로 구비할 수도 있음은 주지의 사실이다.In some embodiments, the token authentication card 500 may include a plurality of input / output connection units for connecting to a serial / parallel communication port and an expansion slot. For example, it is well-known that it may separately provide a connection terminal part for connecting with a serial communication port and a PCMCIA expansion slot, respectively.
이하, 직병렬 통신 포트 및 확장 슬롯을 이용한 상기 컴퓨터 단말기(400)와 상기 인증 토큰 카드(500) 간에 양방향 통신 및 전술한 컴퓨터 단말기(100)와 통신서버(710) 간의 양방향 통신은 이미 널리 공지된 기술임에 따라 더 이상의 상세한 설명을 약하기로 한다.Hereinafter, bidirectional communication between the computer terminal 400 and the authentication token card 500 and a bidirectional communication between the computer terminal 100 and the communication server 710 using a serial and serial communication port and an expansion slot are already well known. As the technology is described, further detailed description will be omitted.
이상에서와 같이, 챌린지/레스펀스 프로토콜을 이용한 본 발명에 의한 입출력 접속부를 이용한 원격 금융 서비스의 인증 시스템은 채널 상에서 실제 인증 암호를 주고 받는 것이 아니라 비화된 인증 암호를 주고 받는 것이기 때문에 타인에 의해 인증 암호를 탭핑(tapping)당하더라도 인증서버(720)에서 실질적으로 이용되는 실제 비밀 번호(암호)를 유실당하지 않음에 따라 매우 높은 보안성을 확보할 수 있을 뿐만 아니라 사용자의 키입력을 최소화하여 이용의 편리성 및 고속성을 도모할 수 있다..As described above, the authentication system of the remote financial service using the input / output connection unit according to the present invention using the challenge / response protocol transmits and receives non-authenticated authentication passwords on the channel, so that authentication is performed by others. Even if the password is tapped, the real password (password) that is actually used in the authentication server 720 is not lost, thereby ensuring very high security and minimizing the user's key input. Convenience and high speed can be achieved.
한편, 본 발명에 따른 인증 토큰 카드는 본 발명의 발명자가 기제안한 대한민국 특허출원 제 97-56548 호, 원격 금융 서비스의 인증 시스템 및 대한민국 특허출원 제 97-57621 호, 컴퓨터 통신망을 이용한 원격 금융 서비스의 인증 시스템에서도 이용할 수 있는 형태로 설계되어 사용자의 수동 입력 방식을 지원하도록구성할 수 있다.On the other hand, the authentication token card according to the present invention is the Korean Patent Application No. 97-56548 proposed by the inventor of the present invention, the remote financial service authentication system and the Korean Patent Application No. 97-57621, the remote financial service using a computer communication network It is designed in a form that can be used in an authentication system and can be configured to support a user's manual input method.
다시 말해서, 도 5에 도시한 바와 같이, 컴퓨터 통신망에 접속된 컴퓨터 단말기나 자동 응답 시스템을 통해 획득한 챌린지값을 사용자가 직접 키입력할 수 있도록 키패드(510)를 선택적으로 구비하며, 상기 마이크로프로세서 유니트(540)의 동작 상황을 표시함과 동시에 상기 발생된 사용자 레스펀스값을 디스플레이(display)하기 위한 액정 디스플레이부(550)를 선택적으로 구비함으로써 본 발명에 기반한 인증 시스템을 지원하면서 동시에 대한민국 특허출원 제 97-56548 호 및 대한민국 특허출원 제 97-57621 호에 기반한 인증 시스템을 지원할 수도 있다.In other words, as illustrated in FIG. 5, a keypad 510 is optionally provided so that a user can directly input a challenge value obtained through a computer terminal connected to a computer communication network or an answering machine. In addition to displaying the operation status of the unit 540, and optionally equipped with a liquid crystal display unit 550 for displaying the generated user response value to support the authentication system based on the present invention and at the same time the Republic of Korea patent application It is also possible to support an authentication system based on 97-56548 and Korean Patent Application No. 97-57621.
예컨대, 사용자는 인증 토큰 카드(500)의 전원을 온시킨 후, 비밀 번호 자신만이 기억하는 인증 토큰 카드(500)의 비밀번호(PIN; Personal Identification Number)를 키패드(510)를 통해 키입력함으로써 인증 토큰 카드(500)에 시스템적으로 접근한 후, 인증서버(720)로부터 통신서버(710)를 경유하여 수신한 상기 챌린지값을 인증 토큰 카드(400)의 키패드를 통해 입력한다. 이에 따라, 인증 토큰 카드(500)는 인증서버(720)에 내장된 단방향 함수와 동일한 단방향 함수를 이용하여 일련의 연산을 통해 이 챌린지값에 대응하는 사용자 레스펀스값을 산출하여 상기 사용자가 컴퓨터 단말기(400)를 통해 상기 인증 판단 시스템(700)에 제공할 수 있도록 외부에 표시한다. 이후, 사용자는 액정 디스플레이부(550)를 통해 외부에 표시된 사용자 레스펀스값을 컴퓨터 단말기(400)의 키보드를 통해 키입력함으로써 본 발명에 기반한 인증 시스템을 지원하면서 동시에 대한민국 특허출원 제 97-56548 호 및 대한민국 특허출원 제 97-57621 호에 기반한 인증 시스템을 지원할 수도 있다.For example, after the user turns on the authentication token card 500, the user authenticates by inputting a PIN (Personal Identification Number) of the authentication token card 500, which only the password itself is stored, through the keypad 510. After systemically accessing the token card 500, the challenge value received from the authentication server 720 via the communication server 710 is input through the keypad of the authentication token card 400. Accordingly, the authentication token card 500 calculates a user response value corresponding to the challenge value through a series of operations using the same one-way function as the one-way function built in the authentication server 720 so that the user can use the computer terminal. It is displayed externally to be provided to the authentication determination system 700 through 400. Thereafter, the user inputs a user response value displayed externally through the liquid crystal display unit 550 through the keyboard of the computer terminal 400 to support the authentication system based on the present invention, and at the same time, Korean Patent Application No. 97-56548 And an authentication system based on Korean Patent Application No. 97-57621.
그리고, 컴퓨터 단말기(400)에 인증 토큰 카드(500)의 인증 파라미터 가변을 위한 구동 소프트웨어가 인스톨하게 되면, 컴퓨터 단말기(400)에서는 인증 파라미터 가변을 위한 어플리케이션 프로그램을 생성시킬 수 있다.When the driving software for changing the authentication parameters of the authentication token card 500 is installed in the computer terminal 400, the computer terminal 400 may generate an application program for changing the authentication parameters.
인증 토큰 카드(500)와 컴퓨터 단말기(400) 간에 전기적인 접속이 형성되면, 사용자는 컴퓨터 단말기(400)에서 인증 파라미터 가변을 위한 어플리케이션 프로그램을 기동시키고, 이에 따라 어플리케이션 프로그램이 실행되면, 통상적으로 그래픽 사용자 인터페이스(graphic user interface)를 지원하는 컴퓨터 운용 체계에서는 컴퓨터 단말기(400)의 모니터 상에 인증 파라미터 가변을 위한 어플리케이션 창(application window)이 디스플레이된다.When an electrical connection is established between the authentication token card 500 and the computer terminal 400, the user starts an application program for changing the authentication parameters in the computer terminal 400, and thus, when the application program is executed, typically a graphic In a computer operating system supporting a graphic user interface, an application window for changing authentication parameters is displayed on a monitor of the computer terminal 400.
도 11은 본 발명에 따른 인증 파라미터 가변을 위한 어플리케이션 창의 일례를 도시한 예시도이다.11 is an exemplary view showing an example of an application window for variable authentication parameters according to the present invention.
인증 파라미터 가변을 위한 어플리케이션 창이 디스플레이되면, 인증 토큰 카드(500)의 일련번호를 기재하도록 마련된 다이얼로그 박스 내에 해당 일련번호를 기재한 후, 실행키를 인가하도록 한다.When the application window for changing the authentication parameter is displayed, the corresponding serial number is entered in the dialog box provided to enter the serial number of the authentication token card 500, and then the execution key is authorized.
한편, 이 어플리케이션 창에는 사용자 식별자(User ID), 사용자 이름(User Name), 사용자 비밀번호(User PIN), 암호키값(Encryption Key Value), 시퀀스 번호(Sequence Number), 인증 토큰 카드의 일련번호(Serial Number) 등과 같은 인증과 관련된 각종 파라미터(즉, 인증 파라미터)를 초기화할 뿐만 아니라 이 인증 파라미터들을 가변시키고, 또한, 옵션(option) 사항을 선택할 수 있는 다이얼로그 박스(Dialog Box), 버튼(Button), 라디오 버튼(Radio Button), 체크 버튼(Check Button) 등과 같은 질의 및 선택과 관련된 창 구성요소(windows component)가 제공된다.On the other hand, this application window has a user ID, a user name, a user PIN, an encryption key value, a sequence number, and a serial number of an authentication token card. In addition to initializing various parameters related to authentication (i.e., authentication parameters) such as Number, etc., it is possible to change these authentication parameters, and also to select a dialog box, a button, Provided are window components related to queries and selections such as Radio Buttons, Check Buttons, and the like.
그러나, 본 발명이 사용자의 명령을 표현하는 방식에서 어플리케이션 창과 같은 그래픽 사용자 인터페이스에만 국한되지 않음은 주지의 사실이다. 즉, DOS(Diskette Operating System)과 같이 커맨드 라인 인터프리터(Command line Interpreter) 방식을 이용하여도 무방하지만 그래픽 사용자 인터페이스를 지원하는 운영 체계가 사용자 친화적인 면이 강함에 따라 본 발명에서는 이를 기준으로 설명하기로 한다.However, it is well known that the present invention is not limited to graphical user interfaces such as application windows in the manner of expressing the user's commands. That is, although a command line interpreter method such as a DOS (Diskette Operating System) may be used, an operating system supporting a graphic user interface has a strong user-friendly aspect, and thus the present invention will be described based on this. Shall be.
컴퓨터 단말기(400)의 어플리케이션 창을 통해 사용자 입력에 대한 작성이 완료되어 이를 인증 토큰 카드(500)의 통신 접속 단자부(530)를 통해 인증 토큰 카드(500)의 마이크로프로세서 유니트(540)에 제공한다.The user input is completed through the application window of the computer terminal 400 and provided to the microprocessor unit 540 of the authentication token card 500 through the communication connection terminal 530 of the authentication token card 500. .
마이크로프로세서 유니트(540)는 인가되는 상기 컴퓨터 단말기(400)의 명령에 따라 상기 인증 파라미터를 초기화시키거나 가변시켜 EEPROM(520)에 저장한다. 즉, EEPROM(520)은 비밀번호(PIN; Personal Identification Number) 및 암호키값 등을 포함하는 인증 파라미터를 기억하며 상기 인증 파라미터에 대한 전기적인 소거성 및 프로그램성을 제공하는 것이다.The microprocessor unit 540 initializes or changes the authentication parameter according to the command of the computer terminal 400 to be stored in the EEPROM 520. That is, the EEPROM 520 stores an authentication parameter including a personal identification number (PIN), an encryption key value, and the like, and provides electrical erasability and programmability for the authentication parameter.
아울러, 마이크로프로세서 유니트(540)는 인증 토큰 카드(500)의 전체 시스템의 총괄적으로 관리하고 제어 및 처리하는 역할을 수행하는 구성 요소이며, 마이크로프로세서 유니트(540)의 다양한 기능들 중에서 가장 핵심 기능은 상기 키패드(510) 또는 제 1 입출력 접속부(530)를 통해 상기 챌린지값을 입력받음에 따라 내장된 상기 단방향 함수를 이용하여 상기 챌린지값 및 상기 암호키값에 대응하는 사용자 레스펀스값을 발생시키는 것임은 명백하다.In addition, the microprocessor unit 540 is a component that manages the overall management, control, and processing of the entire system of the authentication token card 500, the most core of the various functions of the microprocessor unit 540 is In response to the challenge value being input through the keypad 510 or the first input / output connector 530, a user response value corresponding to the challenge value and the encryption key value is generated using the built-in one-way function. It is obvious.
한편, 키패드(510)의 일례로는 45 키 행렬(45 key matrix)로 이루어진 패드를 사용하는 것이 일반적이며 이를 확장한 자판을 이용할 수도 있다. 그리고, 액정 디스플레이부(550)는 키패드(510)를 통해 인가되는 사용자 입력을 디스플레이할 뿐만 아니라 상기 마이크로프로세서 유니트(540)의 동작 상황을 표시함과 동시에 상기 발생된 사용자 레스펀스값을 디스플레이하도록 한다.On the other hand, as an example of the keypad 510, it is common to use a pad made of a 45 key matrix, and an expanded keyboard may be used. The liquid crystal display 550 not only displays a user input applied through the keypad 510 but also displays an operation state of the microprocessor unit 540 and simultaneously displays the generated user response value. .
여기서, 상기 마이크로프로세서 유니트(540)의 동작 상황이란 현상태에서 마이크로프로세서 유니트(540)가 어떤 입력을 요구하는지 또는 어떤 의미를 갖는 값을 출력하고 있는지 그리고 현재 어떤 처리를 수행하고 있는지 등을 일컫는 것으로, 사용자에게 이와 같은 동작 상황 정보를 알려 줌으로써 사용자 친화적인 사용 환경을 제공할 수 있다. 일례로, 액정 디스플레이부(550)상에 암호, 변경, 확인, 선택, 질의, 응답 등을 현시점에서의 동작 상황에 따라 하이라이트(highlight)시킴으로써 사용자에게 인증 토큰 카드(500)에 대한 좀 더 개선된 이용 편의성을 제공할 수 있다.Here, the operation status of the microprocessor unit 540 refers to what input the microprocessor unit 540 requires or outputs a value having, and what processing is currently being performed. By informing the user of such operation status information, a user-friendly environment may be provided. For example, the user can further improve the authentication token card 500 by highlighting a password, a change, a confirmation, a selection, an inquiry, a response, and the like on the liquid crystal display unit 550 according to the current operating situation. Ease of use can be provided.
한편, 토큰 인증 카드(500)는 휴대 가능하도록 설계됨에 따라 전지(battery)를 내부에 내장하게 되는 데, 전지의 유효 사용 기간을 늘리기 위해서는 태양열에 의해 충전되는 태양열 전지와 같은 보조 전원을 추가적으로 구비할 수 있다.On the other hand, as the token authentication card 500 is designed to be portable, a battery is embedded therein. To increase the useful life of the battery, the token authentication card 500 may further include an auxiliary power source such as a solar cell charged by solar heat. Can be.
이와 같은 본 발명에 의한 입출력 접속 수단을 이용한 원격 금융 서비스의 인증 시스템을 원격 금융 서비스의 인증 시스템에 채용함으로써 한층 더 높은 보안성을 유지할 수 있게 된다.By adopting such an authentication system for remote financial services using the input / output access means according to the present invention to the authentication system for remote financial services, higher security can be maintained.
이상의 설명에 있어서, 인증 토큰 카드(500)를 컴퓨터 단말기(400)와 접속하기 위한 일실시예로 인증 토큰 카드(500) 및 컴퓨터 단말기(400)에 각각 형성된 제 1 입출력 접속부(530) 및 제 2 입출력 접속부(410) 간을 통신 케이블로 접속하는 방법을 설명하였으나 이외에도 인증 토큰 카드(500)를 컴퓨터 단말기(400)와 접속하기 위한 또 다른 일실시예로 유무선 컴퓨터 통신망에 접속된 다른 컴퓨터 단말기에 인증 토큰 카드(500)를 접속한 후, 인증 토큰 카드(500)와 직접적으로 접속되지 않은 또 다른 컴퓨터 단말기를 통해 원격으로 인증 처리를 수행하거나 인증 파라미터를 가변할 수 있음은 주지의 사실이다. 이와 같이 본 발명의 개념을 확장한 방식 또한 본 발명의 특허청구범위에 귀속됨은 자명하다.In the above description, as an embodiment for connecting the authentication token card 500 to the computer terminal 400, the first input / output connection unit 530 and the second input / output connection unit 530 and the second formed on the authentication token card 500 and the computer terminal 400, respectively. Although the method of connecting the input / output connection unit 410 with the communication cable has been described, in addition, in another embodiment for connecting the authentication token card 500 to the computer terminal 400, authentication is performed with other computer terminals connected to the wired / wireless computer communication network. It is well known that after the token card 500 is connected, authentication processing can be performed remotely or the authentication parameters can be changed remotely via another computer terminal that is not directly connected with the authentication token card 500. As such, it is obvious that the manner in which the concept of the present invention is extended also belongs to the claims of the present invention.
본원에서 사용되는 용어(terminology)들은 본 발명에서의 기능을 고려하여 정의내려진 용어들로써 이는 당분야에 종사하는 기술자의 의도 또는 관례 등에 따라 달라질 수 있으므로 그 정의는 본원의 전반에 걸친 내용을 토대로 내려져야 할 것이다.Terminologies used herein are terms defined in consideration of functions in the present invention, which may vary according to the intention or customs of those skilled in the art, and the definitions should be made based on the contents throughout the present application. will be.
본 발명의 특정한 실시예가 설명·도시되었지만 본 발명이 당업자에 의해 다양하게 변형되어 실시될 가능성이 있는 것은 자명한 일이다.Although specific embodiments of the invention have been described and illustrated, it will be apparent that the invention may be embodied in various modifications by those skilled in the art.
또한, 본원에서는 본 발명의 바람직한 실시예를 통해 본 발명을 설명했으므로 본 발명의 기술적인 난이도 측면을 고려할 때, 당분야에 통상적인 기술을 가진 사람이면 용이하게 본 발명에 대한 또 다른 실시예와 다른 변형을 가할 수 있으므로, 상술한 설명에서 사상을 인용한 실시예와 변형은 모두 첨부된 본 발명의 청구 범위에 귀속됨은 명백하다.In addition, since the present invention has been described through the preferred embodiment of the present invention, in view of the technical difficulty aspects of the present invention, those having ordinary skill in the art can easily be different from another embodiment of the present invention. As modifications may be made, it is obvious that both the embodiments and modifications cited in the above description belong to the appended claims.
이상에서 상세하게 설명한 바와 같이, 챌린지/레스펀스 프로토콜에 기반한 원격 금융 서비스의 인증 시스템에 있어서, 챌린지/레스펀스 프로토콜에 기반한 원격 금융 서비스를 제공하기 위해 인증 토큰 카드와 컴퓨터 단말기를 입출력 접속 수단을 통해 전기적으로 접속하여 양방향 통신 접속성을 제공함과 동시에 컴퓨터 단말기와 인증 판단 시스템을 컴퓨터 통신망을 통해 컴퓨터 통신이 가능하도록 접속한 상태에서 기설정된 챌린지/레스펀스 기반의 인증 절차를 수행하는 본 발명에 의한 입출력 접속 수단을 이용한 원격 금융 서비스의 인증 시스템에 따르면, 사용자의 키입력을 최소화하여 이용의 편리성 및 고속성을 도모하면서도 사용자의 진위에 대한 인증의 보안성 및 신뢰성을 제공할 수 있는 이점이 있다.As described in detail above, in an authentication system of a remote financial service based on a challenge / response protocol, an authentication token card and a computer terminal are connected to each other through an input / output connection means to provide a remote financial service based on a challenge / response protocol. Input / output according to the present invention performing a predetermined challenge / response based authentication procedure in a state in which a computer terminal and an authentication determination system are connected to each other to enable computer communication through a computer communication network while being electrically connected. According to the authentication system of the remote financial service using the access means, it is possible to minimize the key input of the user to provide convenience and high speed while providing security and reliability of authenticity of the user.
또한, 입출력 접속 수단을 통해 접속된 컴퓨터 단말기는 물론이고 컴퓨터 통신망에 접속된 여하의 컴퓨터 단말기의 명령에 따라 인증 토큰 카드에 기록된 인증 파라미터를 가변시킬 수 있음에 따라 서비스를 제공하는 금융사로 하여금 서비스 형태에 대한 자유도를 폭넓게 가질 수 있는 이점이 있다.In addition, a financial company that provides a service can vary the authentication parameters recorded on the authentication token card according to the instructions of any computer terminal connected to the computer communication network as well as the computer terminal connected through the input / output connection means. There is an advantage that can have a wide range of degrees of freedom.
Claims (10)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1019980018539A KR19980043045A (en) | 1998-05-22 | 1998-05-22 | Authentication system of remote financial service using input / output access means |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1019980018539A KR19980043045A (en) | 1998-05-22 | 1998-05-22 | Authentication system of remote financial service using input / output access means |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR19980043045A true KR19980043045A (en) | 1998-08-17 |
Family
ID=65892224
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1019980018539A KR19980043045A (en) | 1998-05-22 | 1998-05-22 | Authentication system of remote financial service using input / output access means |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR19980043045A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR19990086998A (en) * | 1997-11-10 | 1999-12-15 | 피터 에프. 킹 | Method and System for Secure Lightweight Transaction in Wireless Data Network |
| KR20000050014A (en) * | 2000-05-10 | 2000-08-05 | 이승형 | Internet E-commerce Customer Satisfation Future Payment System |
| KR20010100473A (en) * | 2000-05-02 | 2001-11-14 | 김덕진 | Financial exchange method with secret code being secured by encryption on the internet and recording material for that |
| KR20030033863A (en) * | 2001-10-25 | 2003-05-01 | (주)엔라인시스템 | The method and system of multistage user certification using active user-certifiable card of USB module type |
-
1998
- 1998-05-22 KR KR1019980018539A patent/KR19980043045A/en not_active Application Discontinuation
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR19990086998A (en) * | 1997-11-10 | 1999-12-15 | 피터 에프. 킹 | Method and System for Secure Lightweight Transaction in Wireless Data Network |
| KR20010100473A (en) * | 2000-05-02 | 2001-11-14 | 김덕진 | Financial exchange method with secret code being secured by encryption on the internet and recording material for that |
| KR20000050014A (en) * | 2000-05-10 | 2000-08-05 | 이승형 | Internet E-commerce Customer Satisfation Future Payment System |
| KR20030033863A (en) * | 2001-10-25 | 2003-05-01 | (주)엔라인시스템 | The method and system of multistage user certification using active user-certifiable card of USB module type |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7562218B2 (en) | Method, system and device for authenticating a user | |
| US20080148059A1 (en) | Universal, Biometric, Self-Authenticating Identity Computer Having Multiple Communication Ports | |
| CN101668288B (en) | Identity authenticating method, identity authenticating system and terminal | |
| EP2068535A1 (en) | Portable telephone and access control method | |
| JP2007523283A (en) | Authorization method | |
| JP2004220402A (en) | E-commerce authentication system and method | |
| US20130179944A1 (en) | Personal area network (PAN) ID-authenticating systems, apparatus, method | |
| KR100724413B1 (en) | System for controlling of a door opening/closing using a mobile communication station and method thereof | |
| JPH04352548A (en) | Portable telephone set with personal identification function | |
| CA2509119C (en) | Method, system and device for authenticating a user | |
| JP2971620B2 (en) | Mobile phone with personal authentication function | |
| KR19980043045A (en) | Authentication system of remote financial service using input / output access means | |
| EP1675076A1 (en) | System and related kit for personal authentication and managing data in integrated networks | |
| KR100351264B1 (en) | Communication terminal apparatus embedded the function generating One Time Password based on the challenge/response | |
| KR20040009428A (en) | Apparatus and method for mobile banking | |
| JP2002175281A (en) | Network log in system | |
| KR0170165B1 (en) | Home banking terminal unit using smart card and its operation method | |
| JP2001298779A (en) | Mobile information terminal and service system using it | |
| RU2260840C2 (en) | Protection means | |
| JP4463226B2 (en) | Cordless telephone, its use restriction method, use restriction program | |
| JP3887561B2 (en) | Mobile communication terminal and control method of mobile communication terminal | |
| KR19990037751A (en) | Communication terminal apparatus embedded the function generating One Time Password based on time synchronization | |
| KR19980019231A (en) | AUTHENTICATION SYSTEM FOR REMOTE BANKING SERVICE USING COMPUTER COMMUNICATION NETWORK | |
| JP3793870B2 (en) | Authentication data management system | |
| KR100472105B1 (en) | Stand-alone type fingerprint recognition module and protection method of stand-alone type fingerprint recognition module |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| G15R | Request for early opening | ||
| E902 | Notification of reason for refusal | ||
| E601 | Decision to refuse application |