KR20090017099A - 일회용 패스워드 생성기능을 가진 스마트카드 및 이를이용한 전자금융거래시스템 - Google Patents

일회용 패스워드 생성기능을 가진 스마트카드 및 이를이용한 전자금융거래시스템 Download PDF

Info

Publication number
KR20090017099A
KR20090017099A KR1020070081580A KR20070081580A KR20090017099A KR 20090017099 A KR20090017099 A KR 20090017099A KR 1020070081580 A KR1020070081580 A KR 1020070081580A KR 20070081580 A KR20070081580 A KR 20070081580A KR 20090017099 A KR20090017099 A KR 20090017099A
Authority
KR
South Korea
Prior art keywords
smart card
security
card
csp
financial transaction
Prior art date
Application number
KR1020070081580A
Other languages
English (en)
Other versions
KR100914905B1 (ko
Inventor
탁승호
Original Assignee
탁승호
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 탁승호 filed Critical 탁승호
Priority to KR1020070081580A priority Critical patent/KR100914905B1/ko
Publication of KR20090017099A publication Critical patent/KR20090017099A/ko
Application granted granted Critical
Publication of KR100914905B1 publication Critical patent/KR100914905B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher

Abstract

본 발명은 일회용 패스워드 생성 소프트웨어와 보안카드의 코드테이블을 기록하고 있는 스마트카드와 이를 이용한 금융거래시스템에 관한 것이다.
인터넷뱅킹 등의 전자금융거래에서 OTP를 이용하여 보안성을 높이고 있다. 그러나 계산기 형태의 독립적인 OTP 단말기는 하드웨어 비용을 부담해야하는 문제와 항상 휴대하고 다녀야만 인터넷뱅킹 등을 할 수 있는 불편이 있었다. 한편 기존의 인터넷뱅킹의 경우 플라스틱카드에 인쇄한 보안카드를 개인별로 발급하고 있으나 보안이 취약하고, 이동전화기를 이용한 OTP는 난수생성과정에 보안성이 취약한 문제점이 있다. 본 발명의 스마트카드는 스마트카드 자체에서 내부의 키값에 의해 OTP를 생성하여 PC 등의 화면에 표시하거나 입력란에 자동으로 입력되어 OTP서버와 비교함으로써, 별도의 장치 없이 OTP를 이용한 높은 보안성을 달성할 수 있다.
본 발명은 OTP를 생성하기 위한 별도의 장치 없이 스마트카드와 PC 또는 이동단말기를 통하여 OTP를 이용한 보안성을 실현하고, 이를 이용하여 안전하고 편리하게 전자금융거래를 할 수 있게 한 것이다.
OTP, 스마트카드, 인터넷 뱅킹, 보안카드, 전자금융, 난수생성

Description

일회용 패스워드 생성기능을 가진 스마트카드 및 이를 이용한 전자금융거래시스템{Smart Card Having Function of One Time Password Generation and Electronic Banking System Using That}
본 발명은 인터넷뱅킹, 모바일뱅킹 등의 전자금융거래에 적용되는 기술로서, 좀더 자세하게는 일회용 패스워드 생성 소프트웨어와 보안카드의 코드테이블을 기록하고 있는 스마트카드와 이를 이용한 금융거래시스템에 관한 것이다.
금융기관, 인터넷 결제, 넷트웍게임 및 컨텐츠업체 등 전자금융거래 서비스를 하는 기관들은 이용자의 본인의 인증을 강화하기 위해 다수개의 숫자가 인쇄된 보안카드를 발행해 주거나 계산기 형태의 일회용 패스워드(OTP, One Time Password, 이하 "OTP"라 칭함.)를 생성하여 표시해주는 OPT단말기를 지급하고 있다. 이 중에서 OPT단말기는 전자계산기 형태의 별도의 단말기로서, 내부의 시계에 의해 매 1분 등 일정시간 간격으로 새로운 패스워드를 생성하여 화면에 표시하고, 사용자가 전자금융거래를 위하여 서비스기관에서 운영하는 금융거래용 컴퓨터 시스템인 서비스서버(이하, 서비스서버"라 칭함.)에 로그인할 시간에 표시된 패스워드 로 로그인하거나, 난수발생장치에 의해 순차적으로 생성된 패스워드가 표시된 것을 사용자가 PC의 인터넷뱅킹 로그온 패스워드로 사용하거나, 이동전화기 등에 OTP발생 소프트웨어를 다운로드 받아 생성된 패스워드를 다시 PC에 입력하는 등의 방법에 의해 서비스서버에서 이용자인증 절차를 거쳐 본인을 확인하는 방법을 채택하고 있다.
현행법상 인터넷뱅킹에서 일정금액이상을 이체하려면 OTP사용을 의무화하고 있어서 금융기관들이 일부 비용을 부담하고 OTP단말기를 개인에게 판매하고 있는데, 인터넷뱅킹을 할 때 항상 별도의 단말기를 휴대하고 있어야하는 불편함이 있다.
그리고 소프트웨어 공인인증서를 하드디스크에 저장해 두거나, 휴대용 플래시메모리에 저장하여 인터넷뱅킹을 하는 경우, 개인의 공인인증서가 해커/크래커에 의해 피싱, 파밍에 의해 복제될 수 있고, 인증서의 비밀번호를 입력할 때 키 입력정보가 제3자에게 노출될 수 있어서 보안상 취약점이 있다.
따라서 선진국들은 스마트카드 암호공급기(CSP, Cryptographic Service Provider, 이하 "CSP"라 칭함.)인 PKCS #11(Public Key Cryptographic Standard #11, 공개키암호표준 11번) 또는 마스터카드의 CAP(Chip Authentication Protocol) 등에 의하여 카드소지자의 개인식별번호(PIN, Personal Identification Number, 이하 "PIN"이라 칭함.)를 통하여 본인을 확인함과 동시에 전자서명된 전자거래만을 허용하고, 부가적인 보안수단으로 OTP사용을 권고하고 있다.
한편 윈도 비스타의 경우, PC 부트스트랩시 비스타 커널과 직결된 스마트카 드 CSP APDU(CSP Application Protocol Data Unit, 이하 "CSP APDU"라 칭함.) 명령에 의해 관리자인증을 하여 컴퓨터가 부팅이 되게 하고, 넷트웍 접속허용 또한 CSP PIN확인에 의해서만 본인인증을 허용하거나, 전자서명된 파일의 전송하고 서명된 파일을 공개키로 열 수 있게 하여, 전송된 파일이 위, 변조 여부를 원천적으로 봉쇄하는 보안수단을 채택하고 있다.
현재 스마트카드의 사용 실태는 우리나라에서 일부 금융기관에서 신용카드 또는 직불카드로 스마트카드를 채택하고 있으며, 2007년부터 우리나라에서 발행하는 모든 신용카드는 스마트카드 기반의 EMV(Europay Master Card Visa Card)신용, 직불카드로 발행하고, 유럽의 모든 국가의 경우 2004년에 이미 모든 신용, 직불카드를 스마트카드 EMV신용카드를 채택하고 있다. 상기한 스마트카드는, 카드를 분실한 경우 스마트카드 내부에 기록된 PIN을 습득한 사람이 알 수 없어서 제3자의 도용이 불가능하고, 시행착오법(Trial Error Method)에 PIN을 알아내기 위하여 PIN을 다수번 입력할 경우, 3번 이상 PIN이 틀리게 입력되면 스마트카드 스스로 잠기는 보안기능에 의해 보호될 수 있어서 제3자의 도용이 불가능하다.
그외 스마트카드의 이용분야를 살펴보면, 사이버강의수강과 기업경영에도 이용되는데, 사이버 강의 시스템에서는 기존 패스워드와 ID에 의해 본인확인을 하는 경우, 친구끼리 패스워드를 교환하여 각 각 다른 공간에서 시차를 두고 사이버 공간의 서비스에 접속할 수 있지만, 본 시스템은 카드소지자 본인만이 알고 있는 PIN을 확인해야만 접속이 가능하고 사용자가 가지는 권리를 향유할 수 있어서, 시스템 관리자가 제3자에게 임의의 권리를 부여하여 부정사용자가 발생할 수 있는 모든 가 능성을 원천적으로 봉쇄할 수 있다.
그리고 경영에 있어서는 기업 내부의 회계관련 ERP(Enterprise Resource Planning)소프트웨어를 사용할 때 부여받은 패스워드를 관리자가 삭제를 해도 내부자와 결탁하여 퇴직 후, 외부에서 기업 내부의 회계프로그램을 접속하여 기업 정보가 유출되는 등 많은 사고가 발생할 수 있는데 재직시 사용하던 CSP 스마트카드를 퇴직시 반납하면 외부의 부정사용을 방지할 수 있고, OTP를 추가하여 사용하면 한 단계 보안기능을 강화시킬 수 있게 개선된다.
또 다른 예를 들어보면, 학생들이 사이버 학원에 등록하여 부여받은 ID와 패스워드를 한 친구는 수학과목을 신청하고 다른 친구는 영어과목을 각각 신청하여 서로 약속한 시간에 각각 본인이 신청한 강의 과목을 수강한 후, 상호 ID와 패스워드를 교환하여 각각 강의를 수강하면 1개 수강신청비용으로 두 개의 과목을 수강할 수 있는데, 강의 서버 관리자는 한 사람이 강의를 두 번 접속한 것으로 파악할 수밖에 없지만, 스마트카드 CSP 또는 OTP를 도입하면 카드소지자 본인만이 강의를 들을 수 있어서 부정사용자가 없어질 수 있다. 물리적으로 카드를 서로 주고 받는 위치 즉, PC방이나 한방에 2대의 PC를 설치하고 함께 학원수강을 하는 경우에는 방법이 없지만 공간성의 제약을 둘 수 있게 개선된다.
상기한 바와 같이 OTP는 전자금융거래에 적용될 수 있는 획기적인 보안수단이나, 별도의 OTP단말기를 휴대하는 불편함이 있고, OTP단말기 내부의 시간에 따라 일회용 패스워드를 생성하기 때문에 서비스서버의 시간과 OTP단말기의 시간이 동기화되지 않은 경우 본인식별을 하지 못하는 등의 오류를 일으키는 문제가 있었다.
OTP단말기 내부의 난수저장부와 난수 변경부에서 생성한 OTP를 순차적으로 사용하는 방식에서는 OTP를 생성하여두고 사용하지 않는 경우에는 OTP발생순서와 서비스서버의 사용순서와 일치하지 않아 본인식별을 하지 못하는 문제점이 있었다.
그리고 OTP를 계좌이체 등의 전자금융거래에 사용하기 위해서는 상기한 바와 같은 OTP단말기에서 생성된 OTP를 이용자가 손으로 개인용컴퓨터(이하 "PC"라 칭함.)의 키보드나 전화기의 키패드로 일일이 입력을 해야하는 불편함이 있었다.
또한, OTP단말기 자체의 공급비용을 금융기관 또는 이용자가 부담해야했다.
본 발명은 상기와 같은 기술적 과제를 해결하기 위한 것으로서, 스마트카드 자체에 OTP발생 소프트웨어를 내장하여 별도의 OTP 단말기가 없이도 OTP를 사용할 수 있게 하고, 발생된 OTP를 컴퓨터의 화면이나 전화기의 표시창에 띄워두고 화면을 보면서 PC의 키보드나 전화기의 키패드로 입력을 하거나 또는 생성된 OTP가 자동으로 PC화면 또는 전화기화면에 입력되게 하여 서버와 비교할 수 있게 개선되어 OTP를 편리하게 사용할 수 있게 한 전자금융시스템에 관한 것이다.
본 발명은 상기와 같은 기술적 과제를 해결하기 위하여, CSP/PKCS#11 토큰을 기 발행된 또는 발행할 때 EMV신용/직불/현금카드 등 스마트카드에 메모리에 저장하고 128바이트 난수를 스마트카드의 비밀영역 디렉토리에 링(Ring) 구조로 저장한다. 그리고 스마트카드 내부의 암호키 값에 의해 PC 또는 이동통신단말기의 내부시계와 소프트웨어에 의하여 윈도비스타 및 윈도우XP 등 OS의 커널과 CSP APDU로 직결되게 하여 보안이 유지된 상태로 PC에 키보드로 입력한 PIN이 외부에 노출될 수 없게 하고, 스마트카드에 저장된 난수와 암호키에 의해 OTP를 생성하여 PC의 모니터 화면 또는 이동전화기의 표시창에 이를 표시하거나, 생성된 OTP가 패스워드 입력란에 직접 입력되게 한다.
한편 OTP를 요구하지 않는 일정금액 이하의 금액을 전자금융거래에 의하여 계좌이체를 할 때를 대비하여, 공인인증서 및 기존 은행들이 개인에게 부여한 보안카드의 번호별 코드번호를 스마트카드의 메모리에 기록한다. 계좌이체를 위하여 스마트카드를 PC, 또는 이동전화기, 또는 CD/ATM에 삽입하면, 이용자의 보안카드 번호가 PC, CD/ATM, 또는 이동전화기의 화면에 팝업화면으로 나타나게 한다. 이용자는 화면에 나타난 보안카드의 번호를 보고 입력하기를 요구하는 번호를 입력할 수 있게 하거나, 보안카드 번호입력란에 해당 보안카드번호가 자동으로 입력되도록 한다.
상기와 같이 스마트카드와 전자결제시스템을 구비하면, 별도로 보안카드, OTP단말기, 그리고 공인인증서가 기록된 기록매체를 휴대하지 않고 있어도, 한 장 의 스마트카드만으로 OTP, 공인인증서, 그리고 보안카드의 기능을 모두 수행할 수 있게 된다.
상기와 같이 OPT를 사용할 수 있게 하면, 기존의 휴대용 OTP 단말기의 표시창에 표시된 OTP를 사용자가 직접 입력하여야 하는 번거로움과 잘못 입력하는 오류를 방지할 수 있다.
본 발명의 스마트카드는 OTP단말기, 공인인증서, 그리고 보안카드를 별도로 휴대하지 않고도 EMV신용카드 등의 한 장의 스마트카드만으로 인터넷 뱅킹의 로그온 기능과 OTP기능을 겸하여, 보다 안전하고 편리하게 사이버공간에서 전자금융거래인 인터넷뱅킹 또는 모바일뱅킹, 인터넷결제, 사이버몰 결제, 인터넷게임, 인터넷 학원수강 등을 이용할 수 있으며 학생증과 함께 발행한 스마트금융카드의 경우 학교의 ㄴ네트웍접속권한 및 인터넷뱅킹 겸용카드로 사용할 수 있다.
본 발명의 스마트카드는 메모리에 보안카드번호를 입력 또는 다운로드에 의해 기록해두고, PC, 이동전화, CD/ATM 등의 화면에 팝업화면으로 보안코드를 표시해주거나 보안코드 입력란에 자동으로 보안코드가 입력되면 편리하고 안전하게 전자금융거래를 할 수 있게 한다.
본 발명의 EMV신용/직불/현금 금융 스마트카드에 CSP/PKCS#11 인증서를 애플릿으로 저장하여 운영하면, 인터넷 등 사이버 공간에서 정당한 사용자 이외에는 은행의 계정계 서버의 본인구좌에 접속할 수 있어서 기존 공인인증서가 복제되어 피싱, 파밍에 등에 의해 해킹/크래킹 등을 방지할 수 있는 역할을 할 수 있고, 특히 카드소지자 본인이 스마트카드 CSP의 PIN을 확인함과 동시에 전자서명된 거래가 이루어 지기 때문에 사용자는 거래사실을 부인할 수 없으며, 이러한 보안 구조하에서 상기한 SOTP를 병행하면 전자금융거래에서 무결성(Integrity)을 구현할 수 있다. 특히 CSP는 PC의 OS Kernel과 Binary Lebel APDU로 직결되어 부트스트랩이 진행되기 때문에 악성코드나 바이러스의 피싱이나 파밍의 공격의 대상에서 벗어나 화면에 난수가 표시되거나 해당란에 직접 OPT가 입력되어도 제3자에게 노출되지 않고, 만일 입력된 OTP가 노출된다 하더라도 1회용 패스워드로 사용된 이후 그 효력이 소멸되기 때문에 암호학적인 공격의 대상에서 벗어날 수 있다.
또한, 본인인증에 필요한 2차 보안장치로 OTP단말기를 별도로 생산하여 개인에게 보급하기 위한 비용이 절감된다.
본 발명의 스마트카드는 메모리부위에 OTP생성프로그램과 소지자의 공인인증서 및 보안카드의 보안코드를 기록한 스마트카드이다.
보안수단으로 난수생성기를 많이 사용하는데, 통상적인 소프트웨어로 구현한 난수 생성기는 무한 루프에서 실행되기 때문에 많은 문제가 있다. 즉, 난수가 반복사용될 가능성이 매우 높고, 몇 개 정도의 정확한 난수를 쉽게 예측할 수 있어서 공격당할 수 있는 가능성이 크다.
스마트카드의 COS(Chip Operating System)는 본인인증을 위한 암호알고리즘 를 가지고 있으며, 스마트카드가 동작을 시작할 때 난수생성기를 사용한다. 이에 사용되는 난수생성기는 키 값을 모르면 암호문을 해독할 수 없는 암호 암호알고리즘에 가능한 한 평문을 혼합해서 사용한다. 이 원리는 평균적으로 1개의 입력비트를 바꾸면 출력비트의 반을 바꾸기 때문에 난수 생성기에 적용하기에 적합하다.
본 발명에 적용되는 OTP생성프로그램은 통상적으로 사용되는 상기 난수생성기를 사용한 OTP생성프로그램으로서, 그 구조는 도 1에 도시한 바와 같다.
이 난수생성기는 출력을 입력으로 피드백시킨 8비트 블록길이 DES(Data Encryption Standard, 데이터 암호화 규격, 이하 "DES"라 칭함.)알고리즘을 사용하는 난수 생성기로서, DES는 하나의 예로서 DES 이외에 3-DES 등 다른 알고리즘을 사용할 수도 있다. DES 난수 생성알고리즘은 ISO7816 Part4의 원형 버퍼 메모리에 기록된 값이 스마트카드의 키 값에 의해 DES로 암호화되어 8바이트 난수 암호문을 생성한다.
상기와 같이 생성된 난수를 이전의 평문과 XOR(Exclusive OR, 배타적 논리합)을 하여 원형 버퍼 메모리에 다시 입력하면, 원형 버퍼메모리의 다음 식으로 선택되는 RND(Random Number Display) 값인 난수를 생성한다.
RNDn = f(key, RND(n-1))
상기 난수는 12×8 = 96바이트의 링 버퍼에 입력된 난수에 의해 생성되어 스마트카드 암호키 값으로 유일한 OTP를 출력한다. 각 스마트카드가 내부의 링 버퍼 의 순서에 의해 생성기의 수명에 12배 비율로 증가된 난수를 생성하기 때문에 보안성이 뛰어나다. 스마트카드의 난수 생성기는 기록주기의 수를 10000으로 보장하면 120000개의 8 바이트 난수를 생성할 수 있다.
스마트카드 EEPROM에 8바이트를 지우고 기록하는데 2×2×3.5ms의 시간이 소요되고, 3.5MHz 스마트카드로 16라운드 DES를 실행하는데 31ms가 필요하여 난수를 생성하는 데는 31ms의 시간이 소요된다.
OTP 발생기능이 없는 것으로서 이미 발행된 EMV 신용카드는 여분의 메모리에 CSP토큰을 애플릿형태로 다운로드 받아 저장하고 난수 96바이트를 링버퍼구조의 메모리에 저장하면 된다.
상기한 OPT생성기능이 있는 스마트카드는 카드리더기 등의 연결장치를 이용하여 PC에 연결하여 사용하는데, PC와의 데이터 통신 상태는 도 2에 도시된 바와 같다. 즉, 스마트카드의 CSP API(Application Programming Interface, 응용프로그래밍인터페이스)는 PC의 비스타 커널과 연결되고, OTP 발생기는 PC의 전자금융 모듈에 OTP와 카운터를 공급한다.
도 3은 서비스서버의 구성을 보인 것으로서, 각 이용자의 계좌영역에 상기한 스마트카드의 OTP생성 프로그램과 동일한 OTP생성 프로그램이 내장되어 있어서, 사용자가 전자금융거래를 위하여 서버에 접속할 때마다 OTP를 생성하고, 이 OTP를 사용자의 PC에서 전송되어온 OTP와 비교하여 OTP가 서로 동일할 경우 정당한 사용자로 인증을 하고, 틀릴 경우 부정한 이용자로 취급하여 금융거래를 중단시킨다.
도 4는 본 발명인 전자금융거래시스템 전체를 보인 것으로서, 상기한 도 2의 스마트카드가 사용되는 PC 또는 이동전화기가 인터넷망을 통하여 상기 도 3의 서비스서버에 연결된 것이다.
도 5는 본 발명인 전자금융거래시스템의 흐름도를 보인 것으로서, 사용자가 스마트카드를 PC에 연결하면, PC의 운영시스템의 커널부트스트랩의 CSP가 작동하여 모니터 화면에 PIN을 입력하는 곳을 표시한다. 이때 사용자가 틀린 PIN을 입력할 경우 PC가 작동을 하지 않게 하고, 올바른 PIN을 입력하면 스마트카드 내부토큰이 APDU로 직결되어 운영시스템을 작동하여 PC가 정상작동을 하며, 이때 외부와 완전 단절된 상태이기 때문에 PC키보드 입력정보가 누출될 수 없으므로 고가의 핀(PIN)패드가 부착된 일체형 스마트카드리더기를 사용하는 효과를 갖게 된다. 인터넷 뱅킹을 위한 URL주소를 입력하지 않아도 EMV신용/직불/현금카드의 PAN(Primary Account Number)정보를 읽어 관련 은행의 URL에 자동 접속하고, CSP/PKCS#11 인증서와 PIN입력으로 본인인증을 본인 구좌에 접속할 수 있게 된다. 이체금액이 일정액 이상인 경우 스마트카드 내부의 OTP를 생성하여 OTP는 PC의 모니터나 이동전화기의 표시창에 표시하거나 OTP입력란에 자동입력되게 한다.
한편, 스마트카드 사용자가 인터넷망을 통하여 금융서비스서버에 본인 인증을 거쳐 로그인이 되고, 서비스서버도 OTP를 생성하고, 이를 사용자 PC에서 생성되어 전송되어온 OTP와 비교하여 본인인증을 한다. 만약 접속한자가 스마트카드의 정당사용자가 아니어서 PIN을 입력하는데 시간이 소요되는 등의 이유로 PC에서 OTP사 전송되어 오는 시간이 서비스서버에서 OTP가 생성된 시간과 일정이상(최대 5초 등)의 시간 차가 발생할 경우 금융거래를 중단시킬 수도 있다.
상기와 같이 서비스서버가 본인인증을 하여 정당사용자로 판단을 하면, 전자금융 시스템에 접속을 허용하여 계좌이체, 계좌확인 등의 인터넷뱅킹 또는 모바일뱅킹을 하게 한다. 즉, OTP HSM 서버의 A계좌번호 블랙박스에 소유자의 스마트카드 링버퍼 메모리에 기록한 값을 함께 기록하고 동일한 암호키 값으로 난수를 생성하여 카드소지자가 전송해온 일회용 패스워드와 일치 여부를 확인하여 일치하면 계좌이체를 허용하고, 일치하지 않으면 허용하지 않는 방법에 의해 OTP 보조키의 역할을 사용자의 인터넷뱅킹 PC의 모니터 또는 이동전화기의 표시창에 처리할 수 있다.
EMV 신용카드의 여분 메모리 96바이트에 SOTP(Smart One time Password, 스마트카드용 일회용 패스워드, 이하 "SOTP"라 칭함.) 난수를 링버퍼구조로 기록하고, 서비스서버의 OTP HSM서버에 동일한 난수를 기록하여 계좌번호에 계수기를 연계시켜 동기화시킨다.
특히 OTP HSM서버의 A계좌번호 블랙박스는 금융기관의 내부관리자라 하더라도 조회가 불가능하며, A계좌번호 블랙박스 조회카운터와 카드소지자의 카운터가 계좌번호에 의해 인터넷뱅킹 접속회수로 동기화되어 일치되기 때문에 몇 차례의 일치하지 않은 일회용 패스워드가 시도되어도 틀렸던 카운터를 무시하고 정당한 사용자의 일회용 패스워드에 의해서만 접속권한을 갖거나 계좌이체를 허용할 수 있다.
한편 OTP 를 요구하지 않는 일정금액 이하의 인터넷뱅킹 및 결제의 경우, 기존 공인인증서 또는 CSP 또는 PKCS#11 등의 보안토큰으로 인터넷뱅킹서버에 접속하여 은행에서 개인에게 부여해준 보안카드에 인쇄된 코드번호를 별도로 입력해야한다. 이때 보안카드를 휴대하고 있을 때만 인터넷뱅킹이 가능한 문제점을 해결하기 위하여 스마트카드의 메모리에 보안카드의 번호별 코드번호를 기록해두고, 인터넷뱅킹 및 결제, CD/ATM 등의 화면에 도 6의 (a)에 도시된 바와 같이 보안카드의 보안코드와 (b)와 같이 보안코드 입력창이 팝업화면으로 표시되거나, 보안코드 입력란에 자동으로 입력되도록 하면, 보안카드를 별도로 휴대하지 않아도 한 장의 EMV신용직불카드 또는 이에 상응하는 금융스마트카드 한장으로 공인인증서, OTP, 보안카드 등 모든 역할을 할 수 있다.
그리고, 개인용 컴퓨터 또는 이동통신전화기는 결제예정금액 및 일정을 사용자에게 알려주는 조기경보 시스템을 포함한 개인 포트폴리오 관리 기능 등을 구비하여, 오프라인 상태에서 도 7과 같이 조기경보내역을 화면 또는 표시창에 나타나게 할 수 있다.
또한, 금융기관에서 정당하게 발급받은 EMV신용카드 등을 USB-스마트카드리더기에 삽입하여 인터넷을 통해 PKI서버와 접속에 의해, 카드소지자 본인인증절차를 거쳐 스마트카드의 메모리에 CSP/PKCS#11 등 보안토큰을 복수개 기록하거나, 기발행된 개인키, 공개키로 구성된 소프트웨어 인증서를 ePB(electronic Private Banking)소프트웨어에 의해 스마트카드메모리에 CSP/PKCS#11등으로 변환 기록하고, PC OS 부트스트랩 절차에서 CSP보안토큰으로 PIN을 확인시 ISO7816-3,4 APDU명령에 의해 OS의 커널에 이진레벨로 접속하여 PC의 키보드로 PIN을 입력하여 확인하는 보안 시스템과 이동전화기의 OS에 APDU를 동일하게 적용한 보안 시스템으로 넷트웍접속을 하면, 고가의 PCI키보드를 사용하지 않고 PC키보드 또는 이동전화 키패드로 PIN을 입력하는 경제적인 PIN 보안구조를 기반으로 인터넷뱅킹, 인터넷결제를 할 수 있다.
본 발명인 스마트카드를 분실한 경우, 스마트카드 내부에 기록된 PIN을 습득한 사람이 알 수 없어서 제3자의 도용이 불가능하고, 시행착오법(Trial Error Method)에 의해 PIN을 알아내려고 PIN을 여러 번 입력을 하면, 3번 이상 PIN이 틀리게 입력되면 스마트카드 스스로 잠기는 등의 보안기능에 의해 보호될 수 있어서 제3자의 도용이 불가능하다.
본 발명은 스마트카드를 이용한 전자금융거래 및 전자결제, 사이버 공간의 본인인증 시스템 등으로 사용될 수 있다.
도 1은 OTP 생성 시스템이다.
도 2는 OTP 생성기능이 있는 스마트카드와 PC와의 결합도이다.
도 3은 서비스서버의 구조도이다.
도 4는 본 발명인 전자금융거래 시스템이다.
도 5는 전자금융거래 순서도이다.
도 6은 화면에 팝업으로 표시되는 보안코드와 보안코드 입력란이다.
도 7은 화면에 표시되는 금융포트폴리오 관리를 위한 화면구성의 일례이다.

Claims (6)

  1. 종래의 전자금융거래 및 결제용 EMV신용카드, 직불카드, 현금카드, 선불카드 등 스마트카드에 있어서,
    상기 스마트카드는, 링 메모리에 일회용 패스워드 생성프로그램과 96 바이트의 난수 블록을 기록하여, 암호키 값으로 전자금융거래의 보안용으로 사용되는 일회용 패스워드를 생성할 수 있는 것을 특징으로 하는, 스마트카드.
  2. 제1항에 있어서, 상기 금융 스마트카드는,
    전자금융거래 및 결제용 CSP/PKCS#11 공인인증서 그리고 보안카드의 보안코드 중 어느 하나 또는 둘 모두를 추가로 기록한 것을 특징으로 하는, 스마트카드.
  3. 제1항 또는 제2항의 스마트카드;
    상기 스마트카드가 연결되는 것으로서 스마트카드와 데이터통신이 가능하여 스마트카드에 기록된 금융정보와 스마트카드에서 생성한 일회용 패스워드를 읽을 수 있고, 상기 스마트카드 CSP토큰이 PIN입력으로 확인할 OS커널에 APDU로 직결되고, 스마트카드에서 생성한 일회용 패스워드를 PC또는 이동통신 팝업화면으로 화면에 표시하거나 또는 상기 일회용 패스워드를 패스워드 입력란에 자동으로 입력하게 하고, 하기 서비스서버에 자동으로 접속하게 하는 전자금융거래 소프트웨어를 구비한, 개인용 컴퓨터 이동통신전화기 CD/ATM 또는 PDA 단말기;
    그리고, 전자금융거래사업자가 관리하는 것으로서, 상기 개인용 컴퓨터 또는 이동통신전화기로 인터넷망/이동통신망으로 연결되고, 상기 스마트카드와 동일한 방법으로 일회용 패스워드를 생성하여 상기 개인용 컴퓨터에서 전송되어온 일회용 패스워드와 비교하여 본인인증을 하고, 각 사용자의 금융거래자료를 기록하고 금융거래에 필요한 전자금융거래 소프트웨어를 구비한, 서비스서버;
    를 포함하여 구성되는, 전자금융거래시스템.
  4. 제3항에 있어서,
    상기 개인용 컴퓨터 이동통신전화기 CD/ATM 또는 PDA 단말기는, 보안카드의 보안코드가 기록된 스마트카드를 사용하여 전자금융거래를 할 때 개인용 컴퓨터의 모니터 화면 이동통신 전화기의 표시창 또는 CD/ATM과 PDA의 화면에 보안코드가 팝업화면으로 표시되거나 또는 보안코드 번호입력란에 지시된 보안코드가 자동으로 입력되는 개인용 컴퓨터 이동통신전화기 CD/ATM 또는 PDA 단말기인 것을 특징으로 하는, 전자금융거래시스템.
  5. 제3항 또는 제4항에 있어서, 상기 개인용 컴퓨터 이동통신전화기 CD/ATM 또는 PDA 단말기의 전자금융거래 소프트웨어는, 오프라인상태에서 결제예정금액 및 일정을 사용자에게 알려주는 조기경보 시스템을 포함한 개인 포트폴리오 관리 기능을 추가로 구비한 포함한 전자금융거래 소프트웨어인 것을 특징으로 하는, 전자금융거래시스템.
  6. 제3항 또는 제4항에 있어서, 상기 개인용 컴퓨터 CD/ATM 또는 PDA 단말기는 PKI서버와의 접속에 의해 카드소지자 본인인증절차를 거쳐 스마트카드의 메모리에 CSP/PKCS#11 등 보안토큰을 복수개 기록하거나 또는 기발행된 개인키 또는 공개키로 구성된 소프트웨어 인증서를 ePB 소프트웨어에 의해 스마트카드메모리에 CSP/PKCS#11등으로 변환 기록하고 PC OS 부트스트랩 절차에서 CSP보안토큰으로 PIN을 확인시 ISO7816-3,4 APDU명령에 의해 OS의 커널에 이진레벨로 접속하여 PC의 키보드로 PIN을 입력하여 확인하는 보안 시스템을 구비한 개인용 컴퓨터 CD/ATM 또는 PDA 단말기이고, 이동전화기는 OS에 APDU를 동일하게 적용한 보안 시스템으로서 넷트웍접속본인 인증절차에 의해 스마트카드의 메모리에 CSP/PKCS#11등 보안토큰을 복수 개 기록하거나 기발행된 개인키 또는 공개키로 구성된 소프트웨어 인증서를 ePB소프트웨어에 의해 스마트카드메모리에 CSP/PKCS#11등으로 변환 기록하고 OS 부트스트랩 단계에서 CSP/PKCS#11보안토큰이 PIN확인시 ISO7816-3,4 APDU명령에 의해 OS의 커널에 이진레벨로 접속하여 이동전화기의 키보드로 PIN을 입력하여 확인하는 보안 시스템을 이동전화기의 OS에 동일하게 적용한 보안 시스템을 구비한 이동통신전화기인, 개인용 컴퓨터 이동통신전화기 또는 CD/ATM 또는 PDA단말기인 것을 특징으로 하는, 전자금융거래시스템.
KR1020070081580A 2007-08-14 2007-08-14 일회용 패스워드 생성기능을 가진 스마트카드 및 이를이용한 전자금융거래시스템 KR100914905B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070081580A KR100914905B1 (ko) 2007-08-14 2007-08-14 일회용 패스워드 생성기능을 가진 스마트카드 및 이를이용한 전자금융거래시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070081580A KR100914905B1 (ko) 2007-08-14 2007-08-14 일회용 패스워드 생성기능을 가진 스마트카드 및 이를이용한 전자금융거래시스템

Publications (2)

Publication Number Publication Date
KR20090017099A true KR20090017099A (ko) 2009-02-18
KR100914905B1 KR100914905B1 (ko) 2009-08-31

Family

ID=40685971

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070081580A KR100914905B1 (ko) 2007-08-14 2007-08-14 일회용 패스워드 생성기능을 가진 스마트카드 및 이를이용한 전자금융거래시스템

Country Status (1)

Country Link
KR (1) KR100914905B1 (ko)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101226611B1 (ko) * 2012-11-14 2013-02-05 주식회사 미래테크놀로지 엔에프씨 칩이 내장된 핸드폰을 이용한 보안카드장치
KR101339016B1 (ko) * 2012-12-28 2013-12-09 에이큐 주식회사 보안코드를 저장하고 있는 금융카드를 이용한 금융거래 시스템 및 그 방법
WO2014003406A2 (ko) * 2012-06-25 2014-01-03 주식회사 씽크풀 Nfc 보안 디지털 시스템, 상기 보안 디지털 시스템과 페어를 이루는 페어 시스템, 및 그 제공방법
KR101349694B1 (ko) * 2013-01-02 2014-01-13 에이큐 주식회사 금융카드에 저장된 보안코드를 활성화하여 금융거래를 수행하는 시스템 및 그 방법
KR101437049B1 (ko) * 2013-06-12 2014-11-03 주식회사 씽크풀 Nfc 보안 디지털 시스템, 상기 보안 디지털 시스템과 페어를 이루는 페어 시스템, 및 그 제공방법
KR20150007377A (ko) * 2013-07-10 2015-01-21 주식회사 비즈모델라인 에스디메모리를 이용한 시간 검증 기반 오티피 생성 방법
KR20150007376A (ko) * 2013-07-10 2015-01-21 주식회사 비즈모델라인 에스디메모리를 이용한 오티피 생성 방법
KR101491424B1 (ko) * 2014-10-27 2015-02-06 (주)에이티솔루션즈 엔에프씨를 이용한 오티피 생성 방법
KR101491425B1 (ko) * 2014-10-27 2015-02-06 (주)에이티솔루션즈 엔에프씨를 이용한 오티피 생성 방법
KR101498793B1 (ko) * 2013-06-19 2015-03-10 (주)에이티솔루션즈 엔에프씨를 이용한 오티피 생성 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050092331A (ko) * 2004-03-15 2005-09-21 (주)지엔씨 편리성과 보안 기능을 강화한 전자식 신용 카드
KR20060060521A (ko) * 2004-11-30 2006-06-05 김경희 전자 지불 방법 및 시스템

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014003406A2 (ko) * 2012-06-25 2014-01-03 주식회사 씽크풀 Nfc 보안 디지털 시스템, 상기 보안 디지털 시스템과 페어를 이루는 페어 시스템, 및 그 제공방법
WO2014003406A3 (ko) * 2012-06-25 2014-02-20 주식회사 씽크풀 Nfc 보안 디지털 시스템, 상기 보안 디지털 시스템과 페어를 이루는 페어 시스템, 및 그 제공방법
KR101540301B1 (ko) * 2012-06-25 2015-07-30 주식회사 씽크풀 Nfc 보안 디지털 시스템, 상기 보안 디지털 시스템과 페어를 이루는 페어 시스템, 및 그 제공방법
KR101226611B1 (ko) * 2012-11-14 2013-02-05 주식회사 미래테크놀로지 엔에프씨 칩이 내장된 핸드폰을 이용한 보안카드장치
KR101339016B1 (ko) * 2012-12-28 2013-12-09 에이큐 주식회사 보안코드를 저장하고 있는 금융카드를 이용한 금융거래 시스템 및 그 방법
KR101349694B1 (ko) * 2013-01-02 2014-01-13 에이큐 주식회사 금융카드에 저장된 보안코드를 활성화하여 금융거래를 수행하는 시스템 및 그 방법
KR101437049B1 (ko) * 2013-06-12 2014-11-03 주식회사 씽크풀 Nfc 보안 디지털 시스템, 상기 보안 디지털 시스템과 페어를 이루는 페어 시스템, 및 그 제공방법
KR101498793B1 (ko) * 2013-06-19 2015-03-10 (주)에이티솔루션즈 엔에프씨를 이용한 오티피 생성 방법
KR20150007377A (ko) * 2013-07-10 2015-01-21 주식회사 비즈모델라인 에스디메모리를 이용한 시간 검증 기반 오티피 생성 방법
KR20150007376A (ko) * 2013-07-10 2015-01-21 주식회사 비즈모델라인 에스디메모리를 이용한 오티피 생성 방법
KR101491424B1 (ko) * 2014-10-27 2015-02-06 (주)에이티솔루션즈 엔에프씨를 이용한 오티피 생성 방법
KR101491425B1 (ko) * 2014-10-27 2015-02-06 (주)에이티솔루션즈 엔에프씨를 이용한 오티피 생성 방법

Also Published As

Publication number Publication date
KR100914905B1 (ko) 2009-08-31

Similar Documents

Publication Publication Date Title
KR100914905B1 (ko) 일회용 패스워드 생성기능을 가진 스마트카드 및 이를이용한 전자금융거래시스템
KR100768754B1 (ko) 휴대용 전자식 청구 및 인증 장치와 이를 위한 방법
US7089214B2 (en) Method for utilizing a portable electronic authorization device to approve transactions between a user and an electronic transaction system
EP2143028B1 (en) Secure pin management
EP2648163B1 (en) A personalized biometric identification and non-repudiation system
US7526652B2 (en) Secure PIN management
AU2009200408B2 (en) Password generator
ES2599985T3 (es) Validación en cualquier momento para los tokens de verificación
US5721781A (en) Authentication system and method for smart card transactions
ES2363268T3 (es) Dispositivo de almacenamiento masivo con carga automática de credenciales.
EP1920380B1 (en) Mass storage device with automated credentials loading
US20110142234A1 (en) Multi-Factor Authentication Using a Mobile Phone
US20060123465A1 (en) Method and system of authentication on an open network
US20020138769A1 (en) System and process for conducting authenticated transactions online
US20130318354A1 (en) Method for generating a certificate
CN101093562A (zh) 电子验证方法和电子验证系统
Kaman et al. Remote user authentication using a voice authentication system
Reno Multifactor authentication: Its time has come
KR100675423B1 (ko) 전자통장 및 공인인증서를 내장한 ic 카드와 이의처리단말기 및 카드발급서버
CN101179373A (zh) 可视智能密码钥匙
KR20060043953A (ko) 저장매체에 저장된 공인 인증서에 접근하는 방법
Ouk et al. Mobile App security for E-Commerce
WO2023056569A1 (en) A method and a validation device for executing blockchain transactions
Authentication Guidance on Multi-factor Authentication
Krellenstein The commercial view: shipping the digital library V1. 0

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120824

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee