KR20090096258A - user authentication method and system using detour network based on the one time password - Google Patents
user authentication method and system using detour network based on the one time password Download PDFInfo
- Publication number
- KR20090096258A KR20090096258A KR1020080021728A KR20080021728A KR20090096258A KR 20090096258 A KR20090096258 A KR 20090096258A KR 1020080021728 A KR1020080021728 A KR 1020080021728A KR 20080021728 A KR20080021728 A KR 20080021728A KR 20090096258 A KR20090096258 A KR 20090096258A
- Authority
- KR
- South Korea
- Prior art keywords
- otp
- server
- information
- authentication
- time password
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
Description
본원발명은 클라이언트와 서비스서버가 접속하는 환경에서 일회용암호기반의 사용자 인증방법 및 시스템에 관한 것이다.The present invention relates to a one-time password-based user authentication method and system in an environment where a client and a service server are connected.
일반적으로 일회용암호(One time password; OTP)체계는 챌린지-리스펀스방식(challenge-response type) 방식과 시간동기방식(time synchronized type)으로 분류될 수 있다. 일회용암호(OTP)를 사용하기 위해서는 OTP생성기를 이용하는 것이 일반적이다. OTP생성기는 사용자가 휴대할 수 있는 휴대용 장치로 챌린지-리스펀스 방식의 경우 서버의 챌린지를 입력하여 리스펀스(일회용암호)를 도출하도록 구성되고 있으며, 시간동기방식의 경우 일정한 주기로 계속 새로운 일회용암호가 OTP생성기에 표시된다.In general, one time password (OTP) systems may be classified into a challenge-response type and a time synchronized type. In order to use an OTP, it is common to use an OTP generator. The OTP generator is a portable device that can be carried by the user. In the case of the challenge-response method, the OTP generator is configured to derive the response (one-time password) by inputting the challenge of the server. Is displayed.
챌린지-리스펀스 방식의 일회용암호(OTP)는 클라이언트단말 단말이 서버에 접속을 요청하는 경우 서버는 수 바이트 크기의 챌린지(Challenge)를 클라이언트단말에게 전송하고 클라이언트단말은 이챌린지와 함께 인증서버와 공유하는 OTP생성기 시리얼번호, 기관코드 등을 합쳐서 해쉬함수(Hash function)을 이용하여 수 바이트의 리스펀스(Response)를 도출하게 된다. 이 리스펀스가 일회용암호(OTP)이다. In the challenge-response one-time password (OTP), when a client terminal requests a connection to a server, the server transmits a challenge of several bytes to the client terminal, and the client terminal is shared with the authentication server together with the challenge. By combining the OTP generator serial number and organization code, a hash function is used to derive a response of several bytes. This response is a disposable password (OTP).
여기서 H()는 단방향 해쉬함수, C는 챌린지, S는 OTP생성기와 서버와 공유하고 있는 시리얼번호로 OTP생성기를 교부하는 시점에서 부여된다, R은 기관코드 및 기타 예약코드이다. 또한 A|B 는 데이터블럭 A와 B를 연결하여 하나의 데이터블럭으로 구성하였음을 표시한다. 해쉬함수는 큰사이즈의 입력데이터에 대해 정해진 크기(보통 128 ~ 160 bit)의 데이터를 출력하는 단방향함수를 의미하며 널리 사용되는 해쉬함수는 MD5, SHA, SHA1 등이 있다. 필요시 새로운 형태의 해쉬함수를 구현할 수 있으나 보안도 및 성능 평가 등에 많은 시간이 소요되므로 검증된 해쉬함수를 사용하는 것이 안정적이다. Where H () is a one-way hash function, C is a challenge, S is a serial number shared with the OTP generator and the server, and is given at the time of issuing the OTP generator. R is an organization code and other reservation code. In addition, A | B indicates that the data blocks A and B are connected to each other to form one data block. The hash function is a one-way function that outputs data of a predetermined size (usually 128 to 160 bits) for a large sized input data. The hash functions widely used include MD5, SHA, and SHA1. If necessary, a new type of hash function can be implemented, but since it takes a lot of time for security and performance evaluation, it is stable to use a proven hash function.
챌린지에 대해 도출된 리스펀스 값이 일회용암호(OTP)가 사용자가 접속을 요청하는 클라이언트단말을 통해 서버에 전송되고 서버는 수신한 리스펀그 값이 서버가 도출한 리스펀스 값과 같은 경우 클라이언트단말이 인증되고 이후의 서비스가 진행된다.If the response value derived for the challenge is sent to the server through a one-time password (OTP) by the user requesting access, the server authenticates the client terminal if the received response value is equal to the response value derived by the server. Subsequent service proceeds.
시간동기방식의 일회용암호(OTP)는 챌린지-리스펀스 방식과는 다르게 서버와 일회용암호(OTP)생성기가 동기화된 시간 정보를을 공유함으로써 일정한 시간 주기에 따라 인증을 위한 일회용암호(OTP)를 계속 생성하는 방식이다. 시간동기방식의 일회용암호(OTP)는 다음과 같이 도출된다.Unlike the challenge-response method, the time-synchronous one-time password (OTP) continuously generates the one-time password (OTP) for authentication according to a certain time period by sharing the synchronized time information between the server and the one-time password generator. That's the way it is. The time-synchronous one-time password (OTP) is derived as follows.
여기서 T는 서버와 공유하고 있는 시간, S는 일회용암호(OTP) 생성기와 서버와 공유하고 있는 시리얼번호, R은 기관코드 및 예약코드이다.Where T is the time shared with the server, S is the OTP generator and serial number shared with the server, and R is the institution code and reservation code.
챌린지-리스펀스 방식은 서버와 OTP생성기 사이에 시간 오차가 인증에 아무런 영향을 주지않지만, 리스펀스를 서버로부터 수신해야하는 과정이 추가된다는 특성이 있으며, 시간동기방식은 챌린지의 수신없이 패스워드를 바로 획득하고 인증받을 수 있다는 장점이 있으나 서버와의 시간 오차가 누적된 경우 유효한 인증이 거부될 수 있는 시간폭이 생길 수 있다는 단점이 있다. In the challenge-response method, the time error between the server and the OTP generator does not affect the authentication, but the process of receiving the response from the server is added. In the time-synchronous method, the password is acquired and authenticated without receiving the challenge. There is an advantage in that it can be received, but there is a disadvantage in that a time width for valid authentication can be denied when time error with the server is accumulated.
일회용암호(OTP)는 비밀번호의 교체 주기가 길어서 서버와 사용자 PC 사이에서 제3차로부터의 노출가능성이 큰 정적패스워드(Static password)의 단점을 개선한 방식으로 패스워드의 노출로 인한 해킹이나 공격등을 봉쇄하는 데 있어서 긴요한 수단으로 인식되고 있다.One-time password (OTP) is a method that improves the weakness of the static password, which has a high chance of being exposed from the third party between the server and the user PC due to the long password replacement cycle. It is recognized as an essential means of containment.
일회용암호(OTP)생성기는 클라이언트단말과 독립된 휴대용기기로 사용자의 휴대폰에 일회암호 생성을 위한 해쉬함수 알고리즘을 탑재하여 일회용암호를 생성하도록 지원하는 등, 휴대폰에 일회용암호생성기를 구현하여 사용하는 기술이 최근 소개되고 있다.One-time password generator (OTP) is a portable device that is independent of the client terminal.It is equipped with a hash function algorithm for generating one-time password on the user's mobile phone to support one-time password generation. Recently introduced.
일회용암호를 이용하는 인증방법은 고강도의 보안도를 달성할 수 다는 장점으로 보안시스템의 접근 통제용이나 인터넷뱅킹을 포함한 금융거래에 있어서 인증수단으로 사용되고 있다. 인터넷뱅킹 서비스를 그 예로 들어서 종래의 일회용암호(OTP)를 이용한 인증시스템에 관한 서비스의 흐름을 설명을 하면 다음과 같다. An authentication method using a one-time password is used as an authentication means in financial transactions, including access control of a security system, and internet banking. Taking the Internet banking service as an example, the flow of a service related to an authentication system using a conventional OTP is as follows.
사용자PC 가 서비스 인터넷뱅킹서버에 사용자ID와 패스워드를 전송하고 로그인을 하는 경우 조회등의 일반적인 서비스를 받을 수 있다. 계좌이체 등의 보안 등급이 높은 서비스를 요청하는 경우 인터넷뱅킹서버는 일회용암호(OTP)인증서버에게 챌 린지의 생성을 요청하고 일회용암호(OTP)인증서버는 챌린지를 생성하여 서비스 서버에게 전송한다 (시간동기방식의 경우 챌린지를 생성하고 전송하는 단계는 생략될 수 있다). 인터넷뱅킹서버는 이 챌린지를 사용자PC로 전송한다. 사용자는 이 챌린지를 OPT 생성기(독립된 휴대용기기로 또는 휴대폰에 구현되기도 한다)에 챌린지를 입력한 후 리스펀스를 도출한다. 사용자PC는 리스펀스를 사용자로부터 입력받은 후 이를 인터넷뱅킹서버로 전송하고 인터넷뱅킹서버는 리스펀스를 다시 일회용암호(OTP)인증서버로 전송하며 일회용암호(OTP)인증서버는 도출한 리스펀스와 수신한 리스펀스가 같은 경우 인증성공을 인터넷뱅킹서버에 통보하고 사용자가 요청한 보안등급이 높은 서비스를 제공한다.When user PC sends user ID and password to service internet banking server and logs in, general service such as inquiry can be received. When requesting a service with a high security level such as account transfer, the Internet banking server requests the OTP authentication server to generate a challenge, and the OTP authentication server generates a challenge and sends it to the service server ( In the case of time synchronization, the step of generating and transmitting a challenge may be omitted). The internet banking server sends this challenge to the user's PC. The user enters the challenge into an OPT generator (sometimes implemented as a standalone handheld device or a mobile phone) and then derives a response. The user PC receives the response from the user and sends it to the Internet banking server. The Internet banking server sends the response back to the one time password (OTP) authentication server. The one time password (OTP) authentication server derives the response and the received response. In the same case, it notifies the internet banking server of authentication success and provides high security service requested by the user.
일회용암호와 관련된 최근의 기술은 한국공개특허 제10-2007-0077569호(선행기술문헌1) 및 미국공개특허 제US2006/0136739호(선행기술문헌2)에 제시되어 있다.Recent techniques related to disposable passwords are disclosed in Korean Patent Publication No. 10-2007-0077569 (prior art document 1) and US Patent Publication No. US2006 / 0136739 (prior art document 2).
선행기술문헌1은 휴대폰을 이용한 일회용 패스워드 서비스 시스템 및 방법에 관한 것으로 OTP인증서버가 챌린지를 생성하면 이를 SMS서버를 통해 휴대폰으로 전송하고 이를 휴대폰에 구현된 일회용암호생성기를 이용하여 리스펀스 즉 일회용암호(OTP)를 도출하며 일회용암호를 사용자PC를 통하여 서버에 전송하여 사용자를 인증하는 방법이다. 이 방법은 사용자에게 챌린지의 수신과 리스펀스의 도출을 편리하게 수행할 수 있도록 하며 보안도를 일부 강화시키고 있다는 특징이 있다.Prior Art Document 1 relates to a one-time password service system and method using a mobile phone. When an OTP authentication server generates a challenge, it transmits it to a mobile phone through an SMS server and uses a one-time password generator implemented in the mobile phone to respond, that is, one-time password ( OTP) is derived and the one-time password is transmitted to the server through the user PC to authenticate the user. This method makes it easy for the user to receive the challenge and derive the response, and has some security enhancements.
또한 선행기술문헌2는 휴대용 모바일 장치에 일회용암호를 생성하는 방법 및 장치 에 관한 것으로 글로벌 인증서버로부터 일회용암호생성을 위한 리스펀스를 수신하고 이를 이용하여 일회용암호를 생성한 후 이를 비지니스 클라이언트 PC를 통하여 전송함으로써 사용자 인증을 수행(2 page 참조)하는 것을 핵심구성으로하고 있는 것으로 핵심적인 구성은 선행기술문헌1과 유사하다. 이러한 선행기술문헌들은 무선네트워크와 유선네트워크를 복합적으로 이용하고 있다는 측면에서 그 보안도는 더욱 강화되었고 기존의 일회용암호를 클라이언트PC가 접속한 단일네트워크를 통해서만 송수신하던 기술보다는 더욱 진일보한 것이라 할 수 있다.In addition, the prior art document 2 relates to a method and apparatus for generating a one-time password in a portable mobile device, receives a response for generating a one-time password from the global authentication server, generates a one-time password using it and transmits it through a business client PC By performing the user authentication (see page 2) as a core configuration, the core configuration is similar to the prior art document 1. These prior art documents are more secure in terms of the complex use of wireless and wired networks, and can be said to be more advanced than the technology of transmitting and receiving a single-use password only through a single network connected to a client PC. .
그러한 기술적인 진전에도 불구하고, 선행기술문헌1-2에 의해 제시된 종래의 일회용암호(OTP)를 이용한 서비스서버의 인증방법은 상대적으로 강한 보안도를 제공하지만 사용자PC에 해커가 심어놓은 트로이목마(Taojan Horse)형태의 해킹툴이 설치되어 장악되는 경우에 이러한 일회용암호체계가 무력화될 수 있음이 최근의 일련의 사건에 의해 알려지게 되었다. 트로이목마형태의 해킹툴을 사용자 PC에 설치되도록 유도한 해커는 커널후킹 또는 키보트후킹을 통해 사용자가 입력하는 일회용암호(OTP)를 가로챈다. 그후 사용자가 입력하기 전에 사용자PC의 OTP는 다른 값으로 변조하여 사용자PC상에서는 일회용암호 입력이 실패된 것으로 처리시킨다. 이후 일회용암호의 유효기간(주로 1분으로 설정됨)내에 해커는 자신이 가로챈 일회용암호(OTP)를 서비스서버에 전송하고 일회용암호인증을 받아 본인이 원하는 서비스를 진행하게된다. 이러한 흐름은 단순히 이론적만 제시된 것이 아니며 최근의 뉴스에 의하면 수회에 걸쳐 중국 해커들에 의해 이러한 공격이 진행되었으며 다수의 사용 자가 본인의 계좌에서 전혀모르는 제3자의 계좌로 자금이 이체되어 인출되었다. Despite such technical progress, the authentication method of the service server using the conventional one-time password (OTP) proposed by the prior art document 1-2 provides a relatively strong security, but the Trojan (the hackers injected into the user's PC) Recently, it has been known that such a one-time encryption system can be incapacitated when a Taojan Horse) hacking tool is installed and secured. The hacker who guides the Trojan-type hacking tool to be installed on the user's PC intercepts the one-time password (OTP) input by the user through kernel hooking or keyboard hooking. Thereafter, before the user inputs, the OTP of the user's PC is modulated to another value so that the disposable password input on the user PC has failed. After that, within the validity period of the one-time password (usually set to 1 minute), the hacker transmits the one-time password that he intercepted to the service server and receives the one-time password authentication to proceed with the desired service. This flow is not merely theoretical, but recent news reports show that these attacks have been carried out by Chinese hackers several times, with multiple users being transferred from their accounts to third-party accounts they have no idea.
이러한 트로이목마형태의 해킹툴이 심어진 경우에는 챌린지-리스펀스 방식이나 시간동기화 방식의 일회용암호(OTP) 모두가 동일한 취약점을 가지게된다. 이를 선행기술문헌1-2와 같이 휴대폰을 이용하여 챌린지를 수신한다 할지라도 결국 일회용암호를 사용자PC에 입력해야하므로 외길인 사용자PC를 장악하고 있는 해커에게 가로채일 수 밖에 없는 것이다. 따라서 지금까지 제안된 OTP관련 인증시스템은 사용자PC를 장악하는 트로이목마 형태의 해킹툴이 심어지는 경우에는 OTP를 이용한 인증 자체가 무의미한 것이 된다. When such a Trojan-type hacking tool is planted, both the challenge-response method and the time-synchronized one-time password (OTP) have the same vulnerability. Even if it receives a challenge using a mobile phone as in the prior art document 1-2, it is necessary to intercept the hacker who is taking control of the user PC, which is because the user must eventually enter the disposable password into the user PC. Therefore, the OTP-related authentication system proposed so far is meaningless to authenticate using OTP when a hacking tool in the form of a Trojan horse takes control of the user's PC.
트로이목마 형태의 해킹툴이 클라이언트단말에 심어진 경우에는 챌린지-리스펀스 방식이나 시간동기화 방식의 일회용암호(OTP)모두가 동일한 취약점을 가지게되며 이를 선행기술문헌1-2와 같이 휴대폰을 이용하여 챌린지를 수신한다 할지라도 결국 일회용암호를 사용자PC에 입력해야하므로 사용자PC를 장악하고 있는 해커에게 가로채일 수 밖에 없는 것이고 따라서 사용자PC를 장악하는 트로이목마 형태의 해킹툴이 심어지는 경우에는 OTP를 이용한 인증 자체가 무의미한 것이된다. 따라서 이러한 OTP인증체계의 문제를 근본적으로 해결할 수 있는 새로운 기술이 요구되는 시점이다.When a Trojan-type hacking tool is planted in a client terminal, both the challenge-response method and the time-synchronized one-time password (OTP) have the same weakness, and receive the challenge using a mobile phone as in the prior art document 1-2. However, in the end, the one-time password must be entered into the user's PC, so it has to be intercepted by a hacker who takes control of the user's PC. It becomes pointless. Therefore, it is time for a new technology that can fundamentally solve the problem of the OTP authentication system.
따라서 본원발명은 이러한 트로이 목마형태의 해킹툴을 이용한 해커의 공격을 봉쇄하고자 도출된 것으로 생성된 일회용암호(OTP)를 클라이언트단말이 접속하고 있는 네트워크를 통하여 전송하는 것이 아니고 이와는 별도로 준비된 우회네트워크를 통하여 전송하게 함으로써 크라이언트단말을 트로이목마 형태의 해킹툴을 이용하여 사용자PC를 장악하고 있는 해커가 존재하는 경우 이러한 통제권한 밖으로 우회하는 우회네트워크를 통하여 일회용암호를 전송하고 인증함으로써 해커의 공격가능성을 모두 봉쇄하도록 구성한다. 이러한 방법은 일회용암호를 생성하기 위한 생성기, 일회용암호를 SMS 또는 ARS로 전송하기 위한 우회네트워크로써 무선네트워크와 유선전화를 위한 유선정화망과 이들의 접속을 위한 SMS 또는 ARS서버, 및 수신된 일회용암호를 인증하기 위한 OTP인증서버를 이용하여 구성된다.Therefore, the present invention is derived to block the hacker's attack using the Trojan-type hacking tool, and the generated one-time password (OTP) is not transmitted through the network to which the client terminal is connected, but through a bypass network prepared separately. If there is a hacker who controls the client's PC by using a Trojan horse type hacking tool by sending it, the attacker's attack is possible by transmitting and authenticating the one time password through the bypass network bypassing this control. Configure to contain. This method is a generator for generating one-time passwords, a bypass network for sending one-time passwords to SMS or ARS, a wired network for wireless networks and landlines, and an SMS or ARS server for their connection, and received one-time passwords. It is configured using OTP authentication server for authenticating.
클라이언트단말이 접속한 네트워크가 아닌 이종의 우회네트워크를 통하여 일회용암호를OTP인증서버에 전송함으로써, 트로이목마 형태의 해킹툴로부터 공격당할 수 있는 인증체계, 예를 들면 인터넷뱅킹, 및 유무선전화망을 이용한 폰뱅킹 등에 대한 해커의 공격을 원천 봉쇄할 수 있다.By sending a one-time password to the OTP authentication server through a heterogeneous bypass network instead of the network to which the client terminal is connected, an authentication system that can be attacked by a Trojan-type hacking tool such as internet banking and phone banking using a wired / wireless telephone network Hacker's attack on the back can be blocked.
또한 사용자인증이 일회용인증서버, 서버스서버, 사용자PC, 무선휴대단말 또는 유 선전화, SMS서버 또는 ARS 서버, 일회용암호인증서버로 다시 회기하게 함으로써 인증단계에 참여하는 구성요소 전체에 대한 통합된 인증수행하여 보안도를 획기적으로 강화하는 효과를 가져온다. In addition, integrated authentication of all the components participating in the authentication phase by having the user authentication re-return back to the one-time authentication server, server server, user PC, wireless mobile terminal or wired telephone, SMS server or ARS server, and one-time password authentication server. This greatly enhances security.
본원발명에따르면, 챌린지-리스펀스 방식과 시간동기화방식의 OTP체계를 하나로 통합하여 운용할 수 있어 그 편이성과 보안도를 증가시킬 수 있다.According to the present invention, the challenge-response method and the time synchronization OTP system can be integrated and operated as one, thereby increasing convenience and security.
본원발명을 구성하는 구성요소는 도1에 제시된 바와 같이 클라이언트단말(100), 클라이언트단말의 서비스제공요청에 따라 서비스와 관련된 콘텐츠를 제공하는 서비스서버(200), 일회용암호의 챌린지를 생성하고 수신된 리스펀스 즉 일회용암호를 확인하는 OTP인증서버(300)-시간동기방식의 일회용암호체계를 사용하는 경우는 챌린지의 생성없이 일회용암호로부터 수신된 암호를 시간을 기반으로 인증할 수도 있다-, 전송된 OTP정보를 수신하는 SMS 또는 ARS서버(400), OTP정보를 전송하기위한 유무선단말(500), 그리고 일회용암호를 생성하기위한 OTP생성기(600)- 전술한 챌린지-리스펀스 방식과 시간동기화방식을 모두 포함한다-.Components constituting the present invention is a
본원발명의 가장 전형적인 응용은 인터넷뱅킹시스템의 인증방식에 있다. 인터넷뱅킹시스템을 하나의 예로서 본원발명의 구체적인 구현을 설명하기로 한다. 본원발명에 의한 일회용암호의 인증방법은 다음과 같이 구성된다.The most typical application of the present invention is in the authentication method of the Internet banking system. As an example, the specific implementation of the present invention will be described. The authentication method for a one time password according to the present invention is configured as follows.
(a) 클라이언트단말이 네트워크를 통해 사용자의 로그인 정보를 전송하며 서버에 서비스를 요청하는 단계;(a) a client terminal transmitting a user's login information through a network and requesting a service from a server;
(b) 사용자 로그인 정보가 인증된 경우, 서비스서버가 OTP인증서버에 OTP인증준비정보를 송신하고 OTP인증준비완료정보를 수신하는 단계;(b) if the user login information is authenticated, the service server transmitting OTP authentication preparation information to the OTP authentication server and receiving OTP authentication preparation information;
(c) 서비스서버가 OTP요청정보를 생성하고 클라이언트단말에 이를 전송하는 단계;(c) generating, by the service server, the OTP request information and transmitting it to the client terminal;
(d) OTP요청정보를 바탕으로 OTP생성기를 통해 생성된 OTP정보를 유무선단말이 우회네트워크를 통해 OTP인증서버에 전송하는 단계;(d) transmitting the OTP information generated by the OTP generator based on the OTP request information to the OTP authentication server through the bypass network;
(e) OTP인증서버가 OTP정보를 수신하여 인증하며 그 인증 여부를 서비스서버에 전송하는 단계를 포함하는 우회네트워크를 이용한 일회용암호(One Time Password) 기반의 사용자 인증방법.(e) OTP authentication server receives and authenticates the OTP information and transmits the authentication information to the service server. One-time password-based user authentication method using a bypass network.
(a) 단계에서, 클라이언트단말(100)은 일반적으로 사용자PC가 되며 무선인터넷으로 접속하는 노트북 또는 PDA 등도 포함한다. 사용자는 인터넷뱅킹을 위해 자신의 로그인정보를 서비스서버(200) 즉 인터넷뱅킹서버에 전송한다. 로그인정보는 사용자ID와 패스워드로 구성되는 것이 일반적이며, 사용자ID와 패스워드는 각각 수 바이트 또는 수십 바이트의 데이터로 표현될 수 있다. 로그인정보를 수신한 인터넷뱅킹서버(서비스서버)가 그 접속을 허가하고 계좌정보, 사용내역 등의 기본적인 조회를 수행할 수 있는 권한을 부여한다. In the step (a), the
(b) 단계는, OTP인증준비정보는 서비스서버가 해당 접속한 클라이언트단말에 대한 일회용암호(OTP)를 인증하기위한 OTP인증준비정보을 OTP인증서버에 요청하는 단계로 OTP인증준비정보는 다음과 같이 구성된다.In step (b), the OTP authentication preparation information is a step in which the service server requests the OTP authentication server for OTP authentication preparation information for authenticating the one-time password (OTP) for the client terminal connected to the OTP authentication preparation information as follows. It is composed.
, ,
여기서, 세션ID는 클라이언트단말을 유일하게(unique) 구분하기 위한 일련번호로 서비스서버가 발급하고 이를 사용자정보 DB에 저장한다. 기타 예약코드는 옵션으로 확장성을 위해 예약된 코드로 화장이나 추가적인 정보교환이 필요한 경우 사용한다. Here, the session ID is a serial number for uniquely identifying the client terminal and is issued by the service server and stored in the user information DB. Other reservation codes are optional and are reserved for extensibility and are used when cremation or additional information exchange is required.
OTP인증준비완료정보는 OTP호인증서버가 인증준비가 되었음을 서비스서버에 알리는 정보로 다음과 같이 구성된다.The OTP authentication preparation completion information is information that informs the service server that the OTP call authentication server is ready for authentication.
, ,
여기서, 챌린지는 챌린지-리스펀스방식의 일회용암호를 위해 준비되는 난수로(6-10자리가 일반적임), 시간동기방식으로 일회용암호를 구현하는 경우 챌린지는 필요치 않으로 이를 특정 예약코드 예를들면 '챌린지=0x000000' 등으로 표현하여 시간동기방식임을 표시하게 된다. 세션ID는 클라이언트단말을 구분하기 위한 유일한 일련번호로 서비스 서버가 발급한다. 클라이언트단말이 이체서비스 등의 높은 보안등급의 서비스를 요청하는 경우 인터넷뱅킹서버(서비스서버)는 클라이언트단말에 OTP요청정보를 전송한다. 챌린지-리스펀스 방식의 일회용암호를 이용하는 경우 인터넷뱅킹서버는 해당사용자ID를 일회용암호서버에 전송하여 챌린지값을 수신한 후 이를 기반으로 OTP요청정보를 생성한다. OTP요청정보는 다음과 같이 구성된다.Here, the challenge is a random number prepared for the challenge-response disposable password (6-10 digits is common), and when implementing the one-time password in a time-synchronous manner, the challenge is not required. It is expressed as a time synchronous method by expressing a challenge = 0x000000 '. The session ID is a unique serial number used to distinguish client terminals and is issued by the service server. When the client terminal requests a high security service such as a transfer service, the Internet banking server (service server) transmits OTP request information to the client terminal. When using a challenge-response one-time password, the Internet banking server transmits the corresponding user ID to the one-time password server, receives the challenge value, and generates OTP request information based on the challenge value. OTP request information is composed as follows.
(c) 단계에서는 서비스서버가 OTP요청정보를 생성하고 클라이언트단말에 이를 전송하는 단계를 진행하게 되는데 OTP요청정보는 다음과 같이 구성된다.In step (c), the service server generates the OTP request information and transmits it to the client terminal. The OTP request information is configured as follows.
(d) 단계에서, OTP요청정보를 수신한 클라이언트단말은 일회용암호생성기(500)를 이용하여 리스펀스 즉 일회용암호(OTP)를 생성한다. 전술한 바와 같이 챌린지리스펀스방식의 경우 챌린지가 일회용암호생성기에 입력되어야하며 시간동기방식의 경우 챌린지가 존재하지않으며 따라서 입력할 필요가 없다. 일회용암호는 다음과 같이 구성된다.In step (d), the client terminal receiving the OTP request information generates a response, that is, a one-time password (OTP) using the
, ,
여기서, 세션ID는 사용자의 휴대폰번호, 주민번호 등으로 대체 구성이 가능하나 이 경우 편의성은 증대되나 보안도가 저하될 가능성이 있으므로, 서버스서버가 유일하게생성하여 부여하는 방법이 가장 바람직하다.Here, the session ID may be replaced by a user's mobile number, social security number, etc., but in this case, convenience may be increased, but security may be reduced. Therefore, the method of generating and assigning a server server is most preferable.
(d) 단계에서, OTP정보는 유무선단말(600)를 이용하여 SMS서버/ARS(500)서버에 전송된다. 이 정보는 바로 OTP인증서버(300)으로 전송된다.In step (d), the OTP information is transmitted to the SMS server /
(e) 단계에서는, OTP인증서버는 전술한 방법과 같이 해쉬함수를 이용하여 OTP정보에서 세션ID로 클라이언트단말을 확인하고 일회용암호를 인증한다. 인증이 성공된 경우 OTP인증서버는 서비스서버에게 인증을 승인하고 이를 수신한 서비스서버는 해당 서버스를 클라이언트단말에 제공한다. 승인되지 않은 경우 클라이언트단말의 서In step (e), the OTP authentication server checks the client terminal with the session ID in the OTP information using the hash function as described above, and authenticates the one time password. If the authentication is successful, the OTP authentication server approves the authentication to the service server and the service server receiving the service server provides the server to the client terminal. If not approved, the client terminal's
비스제공요청은 거부된다. Requests for service offer will be denied.
다음의 표1 과 표2는 서비스서버와 OTP인증서버가 OTP의 인증을 위해 유지하는 사용자 로그테이블과 일회용암호인증 테이블의 구현예를 보여주고 있다.Table 1 and Table 2 below show examples of user log table and one-time password authentication table maintained by the service server and OTP authentication server for OTP authentication.
표1에서 사용자ID hwp99의 현재 세션ID는 '21345671'이며 사용자 ID와 세션ID은 프라이머리 키(primary key)가 된다. 패스워드는 정적패스워드가 저장되는 필드로 일반적으로 해쉬된 후에 보관된다. 따라서 이를 인증하기 위해서는 전송된 패스워드를 해쉬해서 비교한 후 인증한다. 사용자ID 'kim21'의 세션ID는 'NULL'로 설정되어 있으며 이는 클라이언트단말이 현재 서비스서버에 접속하지않아 세션이 만들어 지지 않았음을 표시한다.In Table 1, the current session ID of user ID hwp99 is '21345671', and the user ID and session ID are primary keys. The password is a field where static passwords are stored and is usually stored after hashing. Therefore, to authenticate this, the transmitted password is hashed and compared before authentication. The session ID of user ID 'kim21' is set to 'NULL', which indicates that the session was not created because the client terminal is not currently connected to the service server.
표2에서 세션ID는 서비스서버가 발행한 것을 저장한 것이다. 이 세션ID는 서비스서버가 전송한 유일한 정보로 OTP인증서버는 이 세션ID에 대한 인증을 수행한다. 챌린지는 챌린지생성시각에 발행된 난수로서 세션ID '3213223'의 챌린지가 '0x000000'인 것은 시간동기방식의 OTP를 이용하여 인증할 것임을 표시한다.In Table 2, session ID is the one that service server issues. This session ID is the only information sent by the service server. The OTP authentication server authenticates this session ID. The challenge is a random number issued at the time of challenge creation, and the challenge of session ID '3213223' is '0x000000' indicates that authentication will be performed using time-synchronous OTP.
본원발명은 클라이언트단말이 접속한 인터넷뱅킹서버에서 좀더 높은 보안도가 요구되는 서비스를 요청하는 경우 인터넷뱅킹서버는 해당인증과정을 OTP서버에 요청할 수 있고 이러한 요청에따라 우회네트워트를 통해 수신된 일회용암호(OTP)를 OTP인증서버가 인증함으로써 사용자인증이 완료된다. 우회네트워크를 통해 수신된 챌린지를 이용하여 일회용암호를 생성하고 클라이언트단말을 통하여 전송하는 기술사상은 선행기술문헌1-2에 기재되어 있으나 선행기술문헌은 챌린지를 수신하는 수단으로사용하고 있을 뿐이다. According to the present invention, when a client terminal requests a service requiring higher security from an Internet banking server, the Internet banking server may request an OTP server for the corresponding authentication process, and the one-time password received through the bypass network according to the request. The user authentication is completed by the OTP authentication server authenticating (OTP). The technical idea of generating a one-time password using a challenge received through a bypass network and transmitting it through a client terminal is described in the prior art document 1-2, but the prior art document is used only as a means for receiving a challenge.
이러한 기존의 구성은 전술한 바와 같이 트로이목마형태의 공격툴에의해 쉽게 깨지게 된다. 본원발명의 본질적인 차이는 챌린지를 클라이언트 단말로 수신하고 생성된 일회용암호를 공격자가 장악할 수 없는 우회네트워크를 통해 세션ID와 함께 묶어 전송함으로써 폐회로 형태의 인증루프(loop)을 형성하게 되고 클라이언트단말을 장악한 비인가자의 서비스요청을 완전히 봉쇄할 수 있게 된다. This existing configuration is easily broken by the Trojan-type attack tool as described above. The essential difference of the present invention is to form a closed loop authentication loop by receiving the challenge to the client terminal and sending the generated one-time password together with the session ID through the bypass network that cannot be controlled by the attacker. It is possible to completely block the service request of the unauthorized unauthorized person.
도1은 본원발명의 하나의 실시예에 따른 사용자 인증방법을 설명하고 있다. 클라이언트단말이 접속한 네트워크가 아닌 이종의 우회네트워크(무선전화망의 SMS 또는 유선전화망의 ARS)를 이용하여 일회용암호를 전송하고 이를 이용하여 사용자 인증을 실시하는 구성을 설명하고 있다.1 illustrates a user authentication method according to an embodiment of the present invention. The configuration of transmitting a one time password using a heterogeneous bypass network (such as SMS of a wireless telephone network or ARS of a wired telephone network) rather than a network to which a client terminal is connected has been described.
도2는 본원발명의 구성을 구체적으로 표시하고 있으며 본원발명의 핵심적인 구성은 우회네트워크를 통한 일회용암호 전송에 있다. 이렇게 구성함으로써 제3자가 클라언트단말을 완전히 장악하고 있더라도 이와는 별개의 우회네트워크를 통하여 사용자인증을 수행함으로써 클라이언트단말을 장악하고 이를 모니터링하는 비인가자의 공격을 봉쇄한다.Figure 2 shows in detail the configuration of the present invention and the core configuration of the present invention is the one-time password transmission through the bypass network. In this way, even if the third party takes complete control of the client terminal, the user authentication is performed through a separate bypass network to block the attack of the unauthorized user who seizes and monitors the client terminal.
Claims (9)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080021728A KR20090096258A (en) | 2008-03-07 | 2008-03-07 | user authentication method and system using detour network based on the one time password |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080021728A KR20090096258A (en) | 2008-03-07 | 2008-03-07 | user authentication method and system using detour network based on the one time password |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20090096258A true KR20090096258A (en) | 2009-09-10 |
Family
ID=41296484
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080021728A KR20090096258A (en) | 2008-03-07 | 2008-03-07 | user authentication method and system using detour network based on the one time password |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20090096258A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101402660B1 (en) * | 2013-09-17 | 2014-06-03 | 주식회사 에스씨테크원 | Wireless authentication system for one time password using mobile communication terminal comprising near field communication, and method thereof |
KR101459283B1 (en) * | 2013-09-17 | 2014-11-07 | 주식회사 아이넵 | 2 Channel authentication device and method |
KR20190117967A (en) * | 2018-04-09 | 2019-10-17 | 인비즈넷 주식회사 | User authentication method using one time identifier and authentication system performing the same |
-
2008
- 2008-03-07 KR KR1020080021728A patent/KR20090096258A/en not_active Application Discontinuation
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101402660B1 (en) * | 2013-09-17 | 2014-06-03 | 주식회사 에스씨테크원 | Wireless authentication system for one time password using mobile communication terminal comprising near field communication, and method thereof |
KR101459283B1 (en) * | 2013-09-17 | 2014-11-07 | 주식회사 아이넵 | 2 Channel authentication device and method |
WO2015041401A1 (en) * | 2013-09-17 | 2015-03-26 | 주식회사 에스씨테크원 | Wireless authentication system and wireless authentication method for one time password of mobile communication terminal having near field communication function |
US10171456B2 (en) | 2013-09-17 | 2019-01-01 | Sctechone Co, Ltd. | Wireless authentication system and wireless authentication method for one time password of mobile communication terminal having near field communication function |
KR20190117967A (en) * | 2018-04-09 | 2019-10-17 | 인비즈넷 주식회사 | User authentication method using one time identifier and authentication system performing the same |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11647023B2 (en) | Out-of-band authentication to access web-service with indication of physical access to client device | |
CN108064440B (en) | FIDO authentication method, device and system based on block chain | |
KR102117584B1 (en) | Local device authentication | |
US9185096B2 (en) | Identity verification | |
KR101198120B1 (en) | Iris information based 3-factor user authentication method for otp generation and secure two way authentication system of wireless communication device authentication using otp | |
US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
US8775794B2 (en) | System and method for end to end encryption | |
US10848304B2 (en) | Public-private key pair protected password manager | |
KR102177848B1 (en) | Method and system for verifying an access request | |
EP1102157B1 (en) | Method and arrangement for secure login in a telecommunications system | |
US20120066749A1 (en) | Method and computer program for generation and verification of otp between server and mobile device using multiple channels | |
CN113474774A (en) | System and method for approving a new validator | |
KR20170067527A (en) | Apparatus and Method for Providing API Authentication using Two API Tokens | |
KR20160129839A (en) | An authentication apparatus with a bluetooth interface | |
US20100017604A1 (en) | Method, system and device for synchronizing between server and mobile device | |
JP2009510644A (en) | Method and configuration for secure authentication | |
WO2010128451A2 (en) | Methods of robust multi-factor authentication and authorization and systems thereof | |
KR101769861B1 (en) | User biometric authentication method and system using HSM smart card without password exposure | |
KR20090096258A (en) | user authentication method and system using detour network based on the one time password | |
KR101389264B1 (en) | one time password including integrity code and authentication system based on it | |
JP2006004020A (en) | One-time password authentication system and method | |
WO2019234801A1 (en) | Service provision system and service provision method | |
KR20050070381A (en) | Authentication system based on one-time password | |
CA2904646A1 (en) | Secure authentication using dynamic passcode | |
KR102403303B1 (en) | System for providing user authentication based ransomware encryption blocking service |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
N231 | Notification of change of applicant | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |