KR20090096258A - user authentication method and system using detour network based on the one time password - Google Patents

user authentication method and system using detour network based on the one time password Download PDF

Info

Publication number
KR20090096258A
KR20090096258A KR1020080021728A KR20080021728A KR20090096258A KR 20090096258 A KR20090096258 A KR 20090096258A KR 1020080021728 A KR1020080021728 A KR 1020080021728A KR 20080021728 A KR20080021728 A KR 20080021728A KR 20090096258 A KR20090096258 A KR 20090096258A
Authority
KR
South Korea
Prior art keywords
otp
server
information
authentication
time password
Prior art date
Application number
KR1020080021728A
Other languages
Korean (ko)
Inventor
박현원
Original Assignee
박현원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 박현원 filed Critical 박현원
Priority to KR1020080021728A priority Critical patent/KR20090096258A/en
Publication of KR20090096258A publication Critical patent/KR20090096258A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)

Abstract

An authentication method and a system supporting the same by using a temporary password using bypass network blocking the attack of the hacker are provided to reinforce security by performing authentication about composition element. A system supporting an authentication method of a temporary password base using a bypass network comprises a client terminal(100), a service server(200), an OTP certificate server(300), an SMS or an ARS server(400), a wire/wireless terminal(500) and an OTP generator(600). According to the service server is the service offer request of the client terminal, the contents relating to service is provided. The OTP certificate server generates the challenge of temporary password. The SMS or the ARS server receives the transmitted OTP information. The wire/wireless terminal is used in order to transmit the OTP information. The OTP generator altogether includes a response mode and the time synchronization mode in order to produce the temporary password.

Description

우회네트워크를 이용한 일회용암호 기반의 인증방법과 이를 지원하는 시스템 {user authentication method and system using detour network based on the one time password }One-time password based authentication method using bypass network and system supporting it {user authentication method and system using detour network based on the one time password}

본원발명은 클라이언트와 서비스서버가 접속하는 환경에서 일회용암호기반의 사용자 인증방법 및 시스템에 관한 것이다.The present invention relates to a one-time password-based user authentication method and system in an environment where a client and a service server are connected.

일반적으로 일회용암호(One time password; OTP)체계는 챌린지-리스펀스방식(challenge-response type) 방식과 시간동기방식(time synchronized type)으로 분류될 수 있다. 일회용암호(OTP)를 사용하기 위해서는 OTP생성기를 이용하는 것이 일반적이다. OTP생성기는 사용자가 휴대할 수 있는 휴대용 장치로 챌린지-리스펀스 방식의 경우 서버의 챌린지를 입력하여 리스펀스(일회용암호)를 도출하도록 구성되고 있으며, 시간동기방식의 경우 일정한 주기로 계속 새로운 일회용암호가 OTP생성기에 표시된다.In general, one time password (OTP) systems may be classified into a challenge-response type and a time synchronized type. In order to use an OTP, it is common to use an OTP generator. The OTP generator is a portable device that can be carried by the user. In the case of the challenge-response method, the OTP generator is configured to derive the response (one-time password) by inputting the challenge of the server. Is displayed.

챌린지-리스펀스 방식의 일회용암호(OTP)는 클라이언트단말 단말이 서버에 접속을 요청하는 경우 서버는 수 바이트 크기의 챌린지(Challenge)를 클라이언트단말에게 전송하고 클라이언트단말은 이챌린지와 함께 인증서버와 공유하는 OTP생성기 시리얼번호, 기관코드 등을 합쳐서 해쉬함수(Hash function)을 이용하여 수 바이트의 리스펀스(Response)를 도출하게 된다. 이 리스펀스가 일회용암호(OTP)이다. In the challenge-response one-time password (OTP), when a client terminal requests a connection to a server, the server transmits a challenge of several bytes to the client terminal, and the client terminal is shared with the authentication server together with the challenge. By combining the OTP generator serial number and organization code, a hash function is used to derive a response of several bytes. This response is a disposable password (OTP).

챌린지-리스펀스 방식의 일회용암호생성 방법: Challenge-response disposable password generation method:

Figure 112008017021395-PAT00001
Figure 112008017021395-PAT00001

여기서 H()는 단방향 해쉬함수, C는 챌린지, S는 OTP생성기와 서버와 공유하고 있는 시리얼번호로 OTP생성기를 교부하는 시점에서 부여된다, R은 기관코드 및 기타 예약코드이다. 또한 A|B 는 데이터블럭 A와 B를 연결하여 하나의 데이터블럭으로 구성하였음을 표시한다. 해쉬함수는 큰사이즈의 입력데이터에 대해 정해진 크기(보통 128 ~ 160 bit)의 데이터를 출력하는 단방향함수를 의미하며 널리 사용되는 해쉬함수는 MD5, SHA, SHA1 등이 있다. 필요시 새로운 형태의 해쉬함수를 구현할 수 있으나 보안도 및 성능 평가 등에 많은 시간이 소요되므로 검증된 해쉬함수를 사용하는 것이 안정적이다. Where H () is a one-way hash function, C is a challenge, S is a serial number shared with the OTP generator and the server, and is given at the time of issuing the OTP generator. R is an organization code and other reservation code. In addition, A | B indicates that the data blocks A and B are connected to each other to form one data block. The hash function is a one-way function that outputs data of a predetermined size (usually 128 to 160 bits) for a large sized input data. The hash functions widely used include MD5, SHA, and SHA1. If necessary, a new type of hash function can be implemented, but since it takes a lot of time for security and performance evaluation, it is stable to use a proven hash function.

챌린지에 대해 도출된 리스펀스 값이 일회용암호(OTP)가 사용자가 접속을 요청하는 클라이언트단말을 통해 서버에 전송되고 서버는 수신한 리스펀그 값이 서버가 도출한 리스펀스 값과 같은 경우 클라이언트단말이 인증되고 이후의 서비스가 진행된다.If the response value derived for the challenge is sent to the server through a one-time password (OTP) by the user requesting access, the server authenticates the client terminal if the received response value is equal to the response value derived by the server. Subsequent service proceeds.

시간동기방식의 일회용암호(OTP)는 챌린지-리스펀스 방식과는 다르게 서버와 일회용암호(OTP)생성기가 동기화된 시간 정보를을 공유함으로써 일정한 시간 주기에 따라 인증을 위한 일회용암호(OTP)를 계속 생성하는 방식이다. 시간동기방식의 일회용암호(OTP)는 다음과 같이 도출된다.Unlike the challenge-response method, the time-synchronous one-time password (OTP) continuously generates the one-time password (OTP) for authentication according to a certain time period by sharing the synchronized time information between the server and the one-time password generator. That's the way it is. The time-synchronous one-time password (OTP) is derived as follows.

시간동기방식의 일회용암호 생성방법How to create a one-time password for time synchronization

Figure 112008017021395-PAT00002
Figure 112008017021395-PAT00002

여기서 T는 서버와 공유하고 있는 시간, S는 일회용암호(OTP) 생성기와 서버와 공유하고 있는 시리얼번호, R은 기관코드 및 예약코드이다.Where T is the time shared with the server, S is the OTP generator and serial number shared with the server, and R is the institution code and reservation code.

챌린지-리스펀스 방식은 서버와 OTP생성기 사이에 시간 오차가 인증에 아무런 영향을 주지않지만, 리스펀스를 서버로부터 수신해야하는 과정이 추가된다는 특성이 있으며, 시간동기방식은 챌린지의 수신없이 패스워드를 바로 획득하고 인증받을 수 있다는 장점이 있으나 서버와의 시간 오차가 누적된 경우 유효한 인증이 거부될 수 있는 시간폭이 생길 수 있다는 단점이 있다. In the challenge-response method, the time error between the server and the OTP generator does not affect the authentication, but the process of receiving the response from the server is added. In the time-synchronous method, the password is acquired and authenticated without receiving the challenge. There is an advantage in that it can be received, but there is a disadvantage in that a time width for valid authentication can be denied when time error with the server is accumulated.

일회용암호(OTP)는 비밀번호의 교체 주기가 길어서 서버와 사용자 PC 사이에서 제3차로부터의 노출가능성이 큰 정적패스워드(Static password)의 단점을 개선한 방식으로 패스워드의 노출로 인한 해킹이나 공격등을 봉쇄하는 데 있어서 긴요한 수단으로 인식되고 있다.One-time password (OTP) is a method that improves the weakness of the static password, which has a high chance of being exposed from the third party between the server and the user PC due to the long password replacement cycle. It is recognized as an essential means of containment.

일회용암호(OTP)생성기는 클라이언트단말과 독립된 휴대용기기로 사용자의 휴대폰에 일회암호 생성을 위한 해쉬함수 알고리즘을 탑재하여 일회용암호를 생성하도록 지원하는 등, 휴대폰에 일회용암호생성기를 구현하여 사용하는 기술이 최근 소개되고 있다.One-time password generator (OTP) is a portable device that is independent of the client terminal.It is equipped with a hash function algorithm for generating one-time password on the user's mobile phone to support one-time password generation. Recently introduced.

일회용암호를 이용하는 인증방법은 고강도의 보안도를 달성할 수 다는 장점으로 보안시스템의 접근 통제용이나 인터넷뱅킹을 포함한 금융거래에 있어서 인증수단으로 사용되고 있다. 인터넷뱅킹 서비스를 그 예로 들어서 종래의 일회용암호(OTP)를 이용한 인증시스템에 관한 서비스의 흐름을 설명을 하면 다음과 같다. An authentication method using a one-time password is used as an authentication means in financial transactions, including access control of a security system, and internet banking. Taking the Internet banking service as an example, the flow of a service related to an authentication system using a conventional OTP is as follows.

사용자PC 가 서비스 인터넷뱅킹서버에 사용자ID와 패스워드를 전송하고 로그인을 하는 경우 조회등의 일반적인 서비스를 받을 수 있다. 계좌이체 등의 보안 등급이 높은 서비스를 요청하는 경우 인터넷뱅킹서버는 일회용암호(OTP)인증서버에게 챌 린지의 생성을 요청하고 일회용암호(OTP)인증서버는 챌린지를 생성하여 서비스 서버에게 전송한다 (시간동기방식의 경우 챌린지를 생성하고 전송하는 단계는 생략될 수 있다). 인터넷뱅킹서버는 이 챌린지를 사용자PC로 전송한다. 사용자는 이 챌린지를 OPT 생성기(독립된 휴대용기기로 또는 휴대폰에 구현되기도 한다)에 챌린지를 입력한 후 리스펀스를 도출한다. 사용자PC는 리스펀스를 사용자로부터 입력받은 후 이를 인터넷뱅킹서버로 전송하고 인터넷뱅킹서버는 리스펀스를 다시 일회용암호(OTP)인증서버로 전송하며 일회용암호(OTP)인증서버는 도출한 리스펀스와 수신한 리스펀스가 같은 경우 인증성공을 인터넷뱅킹서버에 통보하고 사용자가 요청한 보안등급이 높은 서비스를 제공한다.When user PC sends user ID and password to service internet banking server and logs in, general service such as inquiry can be received. When requesting a service with a high security level such as account transfer, the Internet banking server requests the OTP authentication server to generate a challenge, and the OTP authentication server generates a challenge and sends it to the service server ( In the case of time synchronization, the step of generating and transmitting a challenge may be omitted). The internet banking server sends this challenge to the user's PC. The user enters the challenge into an OPT generator (sometimes implemented as a standalone handheld device or a mobile phone) and then derives a response. The user PC receives the response from the user and sends it to the Internet banking server. The Internet banking server sends the response back to the one time password (OTP) authentication server. The one time password (OTP) authentication server derives the response and the received response. In the same case, it notifies the internet banking server of authentication success and provides high security service requested by the user.

일회용암호와 관련된 최근의 기술은 한국공개특허 제10-2007-0077569호(선행기술문헌1) 및 미국공개특허 제US2006/0136739호(선행기술문헌2)에 제시되어 있다.Recent techniques related to disposable passwords are disclosed in Korean Patent Publication No. 10-2007-0077569 (prior art document 1) and US Patent Publication No. US2006 / 0136739 (prior art document 2).

선행기술문헌1은 휴대폰을 이용한 일회용 패스워드 서비스 시스템 및 방법에 관한 것으로 OTP인증서버가 챌린지를 생성하면 이를 SMS서버를 통해 휴대폰으로 전송하고 이를 휴대폰에 구현된 일회용암호생성기를 이용하여 리스펀스 즉 일회용암호(OTP)를 도출하며 일회용암호를 사용자PC를 통하여 서버에 전송하여 사용자를 인증하는 방법이다. 이 방법은 사용자에게 챌린지의 수신과 리스펀스의 도출을 편리하게 수행할 수 있도록 하며 보안도를 일부 강화시키고 있다는 특징이 있다.Prior Art Document 1 relates to a one-time password service system and method using a mobile phone. When an OTP authentication server generates a challenge, it transmits it to a mobile phone through an SMS server and uses a one-time password generator implemented in the mobile phone to respond, that is, one-time password ( OTP) is derived and the one-time password is transmitted to the server through the user PC to authenticate the user. This method makes it easy for the user to receive the challenge and derive the response, and has some security enhancements.

또한 선행기술문헌2는 휴대용 모바일 장치에 일회용암호를 생성하는 방법 및 장치 에 관한 것으로 글로벌 인증서버로부터 일회용암호생성을 위한 리스펀스를 수신하고 이를 이용하여 일회용암호를 생성한 후 이를 비지니스 클라이언트 PC를 통하여 전송함으로써 사용자 인증을 수행(2 page 참조)하는 것을 핵심구성으로하고 있는 것으로 핵심적인 구성은 선행기술문헌1과 유사하다. 이러한 선행기술문헌들은 무선네트워크와 유선네트워크를 복합적으로 이용하고 있다는 측면에서 그 보안도는 더욱 강화되었고 기존의 일회용암호를 클라이언트PC가 접속한 단일네트워크를 통해서만 송수신하던 기술보다는 더욱 진일보한 것이라 할 수 있다.In addition, the prior art document 2 relates to a method and apparatus for generating a one-time password in a portable mobile device, receives a response for generating a one-time password from the global authentication server, generates a one-time password using it and transmits it through a business client PC By performing the user authentication (see page 2) as a core configuration, the core configuration is similar to the prior art document 1. These prior art documents are more secure in terms of the complex use of wireless and wired networks, and can be said to be more advanced than the technology of transmitting and receiving a single-use password only through a single network connected to a client PC. .

그러한 기술적인 진전에도 불구하고, 선행기술문헌1-2에 의해 제시된 종래의 일회용암호(OTP)를 이용한 서비스서버의 인증방법은 상대적으로 강한 보안도를 제공하지만 사용자PC에 해커가 심어놓은 트로이목마(Taojan Horse)형태의 해킹툴이 설치되어 장악되는 경우에 이러한 일회용암호체계가 무력화될 수 있음이 최근의 일련의 사건에 의해 알려지게 되었다. 트로이목마형태의 해킹툴을 사용자 PC에 설치되도록 유도한 해커는 커널후킹 또는 키보트후킹을 통해 사용자가 입력하는 일회용암호(OTP)를 가로챈다. 그후 사용자가 입력하기 전에 사용자PC의 OTP는 다른 값으로 변조하여 사용자PC상에서는 일회용암호 입력이 실패된 것으로 처리시킨다. 이후 일회용암호의 유효기간(주로 1분으로 설정됨)내에 해커는 자신이 가로챈 일회용암호(OTP)를 서비스서버에 전송하고 일회용암호인증을 받아 본인이 원하는 서비스를 진행하게된다. 이러한 흐름은 단순히 이론적만 제시된 것이 아니며 최근의 뉴스에 의하면 수회에 걸쳐 중국 해커들에 의해 이러한 공격이 진행되었으며 다수의 사용 자가 본인의 계좌에서 전혀모르는 제3자의 계좌로 자금이 이체되어 인출되었다. Despite such technical progress, the authentication method of the service server using the conventional one-time password (OTP) proposed by the prior art document 1-2 provides a relatively strong security, but the Trojan (the hackers injected into the user's PC) Recently, it has been known that such a one-time encryption system can be incapacitated when a Taojan Horse) hacking tool is installed and secured. The hacker who guides the Trojan-type hacking tool to be installed on the user's PC intercepts the one-time password (OTP) input by the user through kernel hooking or keyboard hooking. Thereafter, before the user inputs, the OTP of the user's PC is modulated to another value so that the disposable password input on the user PC has failed. After that, within the validity period of the one-time password (usually set to 1 minute), the hacker transmits the one-time password that he intercepted to the service server and receives the one-time password authentication to proceed with the desired service. This flow is not merely theoretical, but recent news reports show that these attacks have been carried out by Chinese hackers several times, with multiple users being transferred from their accounts to third-party accounts they have no idea.

이러한 트로이목마형태의 해킹툴이 심어진 경우에는 챌린지-리스펀스 방식이나 시간동기화 방식의 일회용암호(OTP) 모두가 동일한 취약점을 가지게된다. 이를 선행기술문헌1-2와 같이 휴대폰을 이용하여 챌린지를 수신한다 할지라도 결국 일회용암호를 사용자PC에 입력해야하므로 외길인 사용자PC를 장악하고 있는 해커에게 가로채일 수 밖에 없는 것이다. 따라서 지금까지 제안된 OTP관련 인증시스템은 사용자PC를 장악하는 트로이목마 형태의 해킹툴이 심어지는 경우에는 OTP를 이용한 인증 자체가 무의미한 것이 된다. When such a Trojan-type hacking tool is planted, both the challenge-response method and the time-synchronized one-time password (OTP) have the same vulnerability. Even if it receives a challenge using a mobile phone as in the prior art document 1-2, it is necessary to intercept the hacker who is taking control of the user PC, which is because the user must eventually enter the disposable password into the user PC. Therefore, the OTP-related authentication system proposed so far is meaningless to authenticate using OTP when a hacking tool in the form of a Trojan horse takes control of the user's PC.

트로이목마 형태의 해킹툴이 클라이언트단말에 심어진 경우에는 챌린지-리스펀스 방식이나 시간동기화 방식의 일회용암호(OTP)모두가 동일한 취약점을 가지게되며 이를 선행기술문헌1-2와 같이 휴대폰을 이용하여 챌린지를 수신한다 할지라도 결국 일회용암호를 사용자PC에 입력해야하므로 사용자PC를 장악하고 있는 해커에게 가로채일 수 밖에 없는 것이고 따라서 사용자PC를 장악하는 트로이목마 형태의 해킹툴이 심어지는 경우에는 OTP를 이용한 인증 자체가 무의미한 것이된다. 따라서 이러한 OTP인증체계의 문제를 근본적으로 해결할 수 있는 새로운 기술이 요구되는 시점이다.When a Trojan-type hacking tool is planted in a client terminal, both the challenge-response method and the time-synchronized one-time password (OTP) have the same weakness, and receive the challenge using a mobile phone as in the prior art document 1-2. However, in the end, the one-time password must be entered into the user's PC, so it has to be intercepted by a hacker who takes control of the user's PC. It becomes pointless. Therefore, it is time for a new technology that can fundamentally solve the problem of the OTP authentication system.

따라서 본원발명은 이러한 트로이 목마형태의 해킹툴을 이용한 해커의 공격을 봉쇄하고자 도출된 것으로 생성된 일회용암호(OTP)를 클라이언트단말이 접속하고 있는 네트워크를 통하여 전송하는 것이 아니고 이와는 별도로 준비된 우회네트워크를 통하여 전송하게 함으로써 크라이언트단말을 트로이목마 형태의 해킹툴을 이용하여 사용자PC를 장악하고 있는 해커가 존재하는 경우 이러한 통제권한 밖으로 우회하는 우회네트워크를 통하여 일회용암호를 전송하고 인증함으로써 해커의 공격가능성을 모두 봉쇄하도록 구성한다. 이러한 방법은 일회용암호를 생성하기 위한 생성기, 일회용암호를 SMS 또는 ARS로 전송하기 위한 우회네트워크로써 무선네트워크와 유선전화를 위한 유선정화망과 이들의 접속을 위한 SMS 또는 ARS서버, 및 수신된 일회용암호를 인증하기 위한 OTP인증서버를 이용하여 구성된다.Therefore, the present invention is derived to block the hacker's attack using the Trojan-type hacking tool, and the generated one-time password (OTP) is not transmitted through the network to which the client terminal is connected, but through a bypass network prepared separately. If there is a hacker who controls the client's PC by using a Trojan horse type hacking tool by sending it, the attacker's attack is possible by transmitting and authenticating the one time password through the bypass network bypassing this control. Configure to contain. This method is a generator for generating one-time passwords, a bypass network for sending one-time passwords to SMS or ARS, a wired network for wireless networks and landlines, and an SMS or ARS server for their connection, and received one-time passwords. It is configured using OTP authentication server for authenticating.

클라이언트단말이 접속한 네트워크가 아닌 이종의 우회네트워크를 통하여 일회용암호를OTP인증서버에 전송함으로써, 트로이목마 형태의 해킹툴로부터 공격당할 수 있는 인증체계, 예를 들면 인터넷뱅킹, 및 유무선전화망을 이용한 폰뱅킹 등에 대한 해커의 공격을 원천 봉쇄할 수 있다.By sending a one-time password to the OTP authentication server through a heterogeneous bypass network instead of the network to which the client terminal is connected, an authentication system that can be attacked by a Trojan-type hacking tool such as internet banking and phone banking using a wired / wireless telephone network Hacker's attack on the back can be blocked.

또한 사용자인증이 일회용인증서버, 서버스서버, 사용자PC, 무선휴대단말 또는 유 선전화, SMS서버 또는 ARS 서버, 일회용암호인증서버로 다시 회기하게 함으로써 인증단계에 참여하는 구성요소 전체에 대한 통합된 인증수행하여 보안도를 획기적으로 강화하는 효과를 가져온다. In addition, integrated authentication of all the components participating in the authentication phase by having the user authentication re-return back to the one-time authentication server, server server, user PC, wireless mobile terminal or wired telephone, SMS server or ARS server, and one-time password authentication server. This greatly enhances security.

본원발명에따르면, 챌린지-리스펀스 방식과 시간동기화방식의 OTP체계를 하나로 통합하여 운용할 수 있어 그 편이성과 보안도를 증가시킬 수 있다.According to the present invention, the challenge-response method and the time synchronization OTP system can be integrated and operated as one, thereby increasing convenience and security.

본원발명을 구성하는 구성요소는 도1에 제시된 바와 같이 클라이언트단말(100), 클라이언트단말의 서비스제공요청에 따라 서비스와 관련된 콘텐츠를 제공하는 서비스서버(200), 일회용암호의 챌린지를 생성하고 수신된 리스펀스 즉 일회용암호를 확인하는 OTP인증서버(300)-시간동기방식의 일회용암호체계를 사용하는 경우는 챌린지의 생성없이 일회용암호로부터 수신된 암호를 시간을 기반으로 인증할 수도 있다-, 전송된 OTP정보를 수신하는 SMS 또는 ARS서버(400), OTP정보를 전송하기위한 유무선단말(500), 그리고 일회용암호를 생성하기위한 OTP생성기(600)- 전술한 챌린지-리스펀스 방식과 시간동기화방식을 모두 포함한다-.Components constituting the present invention is a client terminal 100, as shown in Figure 1, the service server 200 providing content related to the service according to the service provision request of the client terminal, the challenge of generating a one-time password and received OTP authentication server 300 that checks the response, that is, one-time password-In case of using a time-synchronous one-time password system may authenticate the password received from the one-time password based on time without generating a challenge-, the transmitted OTP SMS or ARS server 400 for receiving information, wired or wireless terminal 500 for transmitting OTP information, and OTP generator 600 for generating disposable passwords-includes both the challenge-response method and time synchronization method described above. do-.

본원발명의 가장 전형적인 응용은 인터넷뱅킹시스템의 인증방식에 있다. 인터넷뱅킹시스템을 하나의 예로서 본원발명의 구체적인 구현을 설명하기로 한다. 본원발명에 의한 일회용암호의 인증방법은 다음과 같이 구성된다.The most typical application of the present invention is in the authentication method of the Internet banking system. As an example, the specific implementation of the present invention will be described. The authentication method for a one time password according to the present invention is configured as follows.

(a) 클라이언트단말이 네트워크를 통해 사용자의 로그인 정보를 전송하며 서버에 서비스를 요청하는 단계;(a) a client terminal transmitting a user's login information through a network and requesting a service from a server;

(b) 사용자 로그인 정보가 인증된 경우, 서비스서버가 OTP인증서버에 OTP인증준비정보를 송신하고 OTP인증준비완료정보를 수신하는 단계;(b) if the user login information is authenticated, the service server transmitting OTP authentication preparation information to the OTP authentication server and receiving OTP authentication preparation information;

(c) 서비스서버가 OTP요청정보를 생성하고 클라이언트단말에 이를 전송하는 단계;(c) generating, by the service server, the OTP request information and transmitting it to the client terminal;

(d) OTP요청정보를 바탕으로 OTP생성기를 통해 생성된 OTP정보를 유무선단말이 우회네트워크를 통해 OTP인증서버에 전송하는 단계;(d) transmitting the OTP information generated by the OTP generator based on the OTP request information to the OTP authentication server through the bypass network;

(e) OTP인증서버가 OTP정보를 수신하여 인증하며 그 인증 여부를 서비스서버에 전송하는 단계를 포함하는 우회네트워크를 이용한 일회용암호(One Time Password) 기반의 사용자 인증방법.(e) OTP authentication server receives and authenticates the OTP information and transmits the authentication information to the service server. One-time password-based user authentication method using a bypass network.

(a) 단계에서, 클라이언트단말(100)은 일반적으로 사용자PC가 되며 무선인터넷으로 접속하는 노트북 또는 PDA 등도 포함한다. 사용자는 인터넷뱅킹을 위해 자신의 로그인정보를 서비스서버(200) 즉 인터넷뱅킹서버에 전송한다. 로그인정보는 사용자ID와 패스워드로 구성되는 것이 일반적이며, 사용자ID와 패스워드는 각각 수 바이트 또는 수십 바이트의 데이터로 표현될 수 있다. 로그인정보를 수신한 인터넷뱅킹서버(서비스서버)가 그 접속을 허가하고 계좌정보, 사용내역 등의 기본적인 조회를 수행할 수 있는 권한을 부여한다. In the step (a), the client terminal 100 is generally a user PC and includes a laptop or PDA connected to the wireless Internet. The user transmits his login information to the service server 200, that is, the Internet banking server for Internet banking. The login information is generally composed of a user ID and a password, and the user ID and password may be represented by several bytes or tens of bytes of data, respectively. The internet banking server (service server) receiving the login information grants the permission to access the account and perform basic inquiry such as account information and usage history.

(b) 단계는, OTP인증준비정보는 서비스서버가 해당 접속한 클라이언트단말에 대한 일회용암호(OTP)를 인증하기위한 OTP인증준비정보을 OTP인증서버에 요청하는 단계로 OTP인증준비정보는 다음과 같이 구성된다.In step (b), the OTP authentication preparation information is a step in which the service server requests the OTP authentication server for OTP authentication preparation information for authenticating the one-time password (OTP) for the client terminal connected to the OTP authentication preparation information as follows. It is composed.

서비스서버가 OTP인증서버로 전송하는 OTP인증준비정보의 구성Configuration of OTP authentication preparation information transmitted from service server to OTP authentication server

Figure 112008017021395-PAT00003
,
Figure 112008017021395-PAT00003
,

여기서, 세션ID는 클라이언트단말을 유일하게(unique) 구분하기 위한 일련번호로 서비스서버가 발급하고 이를 사용자정보 DB에 저장한다. 기타 예약코드는 옵션으로 확장성을 위해 예약된 코드로 화장이나 추가적인 정보교환이 필요한 경우 사용한다. Here, the session ID is a serial number for uniquely identifying the client terminal and is issued by the service server and stored in the user information DB. Other reservation codes are optional and are reserved for extensibility and are used when cremation or additional information exchange is required.

OTP인증준비완료정보는 OTP호인증서버가 인증준비가 되었음을 서비스서버에 알리는 정보로 다음과 같이 구성된다.The OTP authentication preparation completion information is information that informs the service server that the OTP call authentication server is ready for authentication.

OTP인중서버가 서비스서버로 전송하는 OTP인증준비완료정보의 구성Composition of OTP authentication completion information transmitted from OTP human server to service server

Figure 112008017021395-PAT00004
,
Figure 112008017021395-PAT00004
,

여기서, 챌린지는 챌린지-리스펀스방식의 일회용암호를 위해 준비되는 난수로(6-10자리가 일반적임), 시간동기방식으로 일회용암호를 구현하는 경우 챌린지는 필요치 않으로 이를 특정 예약코드 예를들면 '챌린지=0x000000' 등으로 표현하여 시간동기방식임을 표시하게 된다. 세션ID는 클라이언트단말을 구분하기 위한 유일한 일련번호로 서비스 서버가 발급한다. 클라이언트단말이 이체서비스 등의 높은 보안등급의 서비스를 요청하는 경우 인터넷뱅킹서버(서비스서버)는 클라이언트단말에 OTP요청정보를 전송한다. 챌린지-리스펀스 방식의 일회용암호를 이용하는 경우 인터넷뱅킹서버는 해당사용자ID를 일회용암호서버에 전송하여 챌린지값을 수신한 후 이를 기반으로 OTP요청정보를 생성한다. OTP요청정보는 다음과 같이 구성된다.Here, the challenge is a random number prepared for the challenge-response disposable password (6-10 digits is common), and when implementing the one-time password in a time-synchronous manner, the challenge is not required. It is expressed as a time synchronous method by expressing a challenge = 0x000000 '. The session ID is a unique serial number used to distinguish client terminals and is issued by the service server. When the client terminal requests a high security service such as a transfer service, the Internet banking server (service server) transmits OTP request information to the client terminal. When using a challenge-response one-time password, the Internet banking server transmits the corresponding user ID to the one-time password server, receives the challenge value, and generates OTP request information based on the challenge value. OTP request information is composed as follows.

(c) 단계에서는 서비스서버가 OTP요청정보를 생성하고 클라이언트단말에 이를 전송하는 단계를 진행하게 되는데 OTP요청정보는 다음과 같이 구성된다.In step (c), the service server generates the OTP request information and transmits it to the client terminal. The OTP request information is configured as follows.

서비스서버가 클라이언트단말로 전송하는 OTP요청정보의 구성Composition of OTP request information transmitted by service server to client terminal

Figure 112008017021395-PAT00005
Figure 112008017021395-PAT00005

(d) 단계에서, OTP요청정보를 수신한 클라이언트단말은 일회용암호생성기(500)를 이용하여 리스펀스 즉 일회용암호(OTP)를 생성한다. 전술한 바와 같이 챌린지리스펀스방식의 경우 챌린지가 일회용암호생성기에 입력되어야하며 시간동기방식의 경우 챌린지가 존재하지않으며 따라서 입력할 필요가 없다. 일회용암호는 다음과 같이 구성된다.In step (d), the client terminal receiving the OTP request information generates a response, that is, a one-time password (OTP) using the disposable password generator 500. As described above, in the case of the challenge response method, the challenge must be input to the disposable password generator, and in the case of the time synchronous method, the challenge does not exist and thus there is no need to input the challenge. The disposable password consists of:

유무선단말를 통해 OTP인증서버로 전송되는 OTP정보의 구성Composition of OTP information transmitted to OTP authentication server through wired or wireless terminal

Figure 112008017021395-PAT00006
,
Figure 112008017021395-PAT00006
,

여기서, 세션ID는 사용자의 휴대폰번호, 주민번호 등으로 대체 구성이 가능하나 이 경우 편의성은 증대되나 보안도가 저하될 가능성이 있으므로, 서버스서버가 유일하게생성하여 부여하는 방법이 가장 바람직하다.Here, the session ID may be replaced by a user's mobile number, social security number, etc., but in this case, convenience may be increased, but security may be reduced. Therefore, the method of generating and assigning a server server is most preferable.

(d) 단계에서, OTP정보는 유무선단말(600)를 이용하여 SMS서버/ARS(500)서버에 전송된다. 이 정보는 바로 OTP인증서버(300)으로 전송된다.In step (d), the OTP information is transmitted to the SMS server / ARS 500 server using the wired / wireless terminal 600. This information is sent directly to the OTP authentication server 300.

(e) 단계에서는, OTP인증서버는 전술한 방법과 같이 해쉬함수를 이용하여 OTP정보에서 세션ID로 클라이언트단말을 확인하고 일회용암호를 인증한다. 인증이 성공된 경우 OTP인증서버는 서비스서버에게 인증을 승인하고 이를 수신한 서비스서버는 해당 서버스를 클라이언트단말에 제공한다. 승인되지 않은 경우 클라이언트단말의 서In step (e), the OTP authentication server checks the client terminal with the session ID in the OTP information using the hash function as described above, and authenticates the one time password. If the authentication is successful, the OTP authentication server approves the authentication to the service server and the service server receiving the service server provides the server to the client terminal. If not approved, the client terminal's

비스제공요청은 거부된다. Requests for service offer will be denied.

다음의 표1 과 표2는 서비스서버와 OTP인증서버가 OTP의 인증을 위해 유지하는 사용자 로그테이블과 일회용암호인증 테이블의 구현예를 보여주고 있다.Table 1 and Table 2 below show examples of user log table and one-time password authentication table maintained by the service server and OTP authentication server for OTP authentication.

서비스 서버의 사용자 로그테이블의 구현 예 Example implementation of user log table on service server 사용자IDUser ID 패스워드(hashed)Password 세션IDSession ID etcetc hwp99hwp99 0xabd35e12340xabd35e1234 2134567121345671 park21park21 0xabcd56245e0xabcd56245e 123468123468 Kim21Kim21 0x3326bca2340x3326bca234 NULLNULL ......

표1에서 사용자ID hwp99의 현재 세션ID는 '21345671'이며 사용자 ID와 세션ID은 프라이머리 키(primary key)가 된다. 패스워드는 정적패스워드가 저장되는 필드로 일반적으로 해쉬된 후에 보관된다. 따라서 이를 인증하기 위해서는 전송된 패스워드를 해쉬해서 비교한 후 인증한다. 사용자ID 'kim21'의 세션ID는 'NULL'로 설정되어 있으며 이는 클라이언트단말이 현재 서비스서버에 접속하지않아 세션이 만들어 지지 않았음을 표시한다.In Table 1, the current session ID of user ID hwp99 is '21345671', and the user ID and session ID are primary keys. The password is a field where static passwords are stored and is usually stored after hashing. Therefore, to authenticate this, the transmitted password is hashed and compared before authentication. The session ID of user ID 'kim21' is set to 'NULL', which indicates that the session was not created because the client terminal is not currently connected to the service server.

OTP인증서버의 일회용암호 인증테이블의 구현 예Example of One-Time Password Authentication Table of OTP Authentication Server 세션IDSession ID 챌린지challenge OTPOTP 챌린지 생성시각Challenge creation time etcetc 2134567121345671 345678345678 546727546727 2008.01.11.16.23432008.01.11.16.2343 12345681234568 234562234562 838476838476 2008.01.11.16.21342008.01.11.16.2134 32132233213223 0x0000000x000000 463278463278 ......

표2에서 세션ID는 서비스서버가 발행한 것을 저장한 것이다. 이 세션ID는 서비스서버가 전송한 유일한 정보로 OTP인증서버는 이 세션ID에 대한 인증을 수행한다. 챌린지는 챌린지생성시각에 발행된 난수로서 세션ID '3213223'의 챌린지가 '0x000000'인 것은 시간동기방식의 OTP를 이용하여 인증할 것임을 표시한다.In Table 2, session ID is the one that service server issues. This session ID is the only information sent by the service server. The OTP authentication server authenticates this session ID. The challenge is a random number issued at the time of challenge creation, and the challenge of session ID '3213223' is '0x000000' indicates that authentication will be performed using time-synchronous OTP.

본원발명은 클라이언트단말이 접속한 인터넷뱅킹서버에서 좀더 높은 보안도가 요구되는 서비스를 요청하는 경우 인터넷뱅킹서버는 해당인증과정을 OTP서버에 요청할 수 있고 이러한 요청에따라 우회네트워트를 통해 수신된 일회용암호(OTP)를 OTP인증서버가 인증함으로써 사용자인증이 완료된다. 우회네트워크를 통해 수신된 챌린지를 이용하여 일회용암호를 생성하고 클라이언트단말을 통하여 전송하는 기술사상은 선행기술문헌1-2에 기재되어 있으나 선행기술문헌은 챌린지를 수신하는 수단으로사용하고 있을 뿐이다. According to the present invention, when a client terminal requests a service requiring higher security from an Internet banking server, the Internet banking server may request an OTP server for the corresponding authentication process, and the one-time password received through the bypass network according to the request. The user authentication is completed by the OTP authentication server authenticating (OTP). The technical idea of generating a one-time password using a challenge received through a bypass network and transmitting it through a client terminal is described in the prior art document 1-2, but the prior art document is used only as a means for receiving a challenge.

이러한 기존의 구성은 전술한 바와 같이 트로이목마형태의 공격툴에의해 쉽게 깨지게 된다. 본원발명의 본질적인 차이는 챌린지를 클라이언트 단말로 수신하고 생성된 일회용암호를 공격자가 장악할 수 없는 우회네트워크를 통해 세션ID와 함께 묶어 전송함으로써 폐회로 형태의 인증루프(loop)을 형성하게 되고 클라이언트단말을 장악한 비인가자의 서비스요청을 완전히 봉쇄할 수 있게 된다. This existing configuration is easily broken by the Trojan-type attack tool as described above. The essential difference of the present invention is to form a closed loop authentication loop by receiving the challenge to the client terminal and sending the generated one-time password together with the session ID through the bypass network that cannot be controlled by the attacker. It is possible to completely block the service request of the unauthorized unauthorized person.

도1은 본원발명의 하나의 실시예에 따른 사용자 인증방법을 설명하고 있다. 클라이언트단말이 접속한 네트워크가 아닌 이종의 우회네트워크(무선전화망의 SMS 또는 유선전화망의 ARS)를 이용하여 일회용암호를 전송하고 이를 이용하여 사용자 인증을 실시하는 구성을 설명하고 있다.1 illustrates a user authentication method according to an embodiment of the present invention. The configuration of transmitting a one time password using a heterogeneous bypass network (such as SMS of a wireless telephone network or ARS of a wired telephone network) rather than a network to which a client terminal is connected has been described.

도2는 본원발명의 구성을 구체적으로 표시하고 있으며 본원발명의 핵심적인 구성은 우회네트워크를 통한 일회용암호 전송에 있다. 이렇게 구성함으로써 제3자가 클라언트단말을 완전히 장악하고 있더라도 이와는 별개의 우회네트워크를 통하여 사용자인증을 수행함으로써 클라이언트단말을 장악하고 이를 모니터링하는 비인가자의 공격을 봉쇄한다.Figure 2 shows in detail the configuration of the present invention and the core configuration of the present invention is the one-time password transmission through the bypass network. In this way, even if the third party takes complete control of the client terminal, the user authentication is performed through a separate bypass network to block the attack of the unauthorized user who seizes and monitors the client terminal.

Claims (9)

클라이언트단말와 서버로 이루어진 서비스 제공을 위한 네트워크의 일회용암호 인증방법에 있어서,In the one-time password authentication method of the network for providing a service consisting of a client terminal and a server, (a) 클라이언트단말이 네트워크를 통해 사용자의 로그인 정보를 전송하며 서버에 서비스를 요청하는 단계;(a) a client terminal transmitting a user's login information through a network and requesting a service from a server; (b) 사용자 로그인 정보가 인증된 경우, 서비스서버가 OTP인증서버에 OTP인증준비정보를 송신하고 OTP인증준비완료정보를 수신하는 단계;(b) if the user login information is authenticated, the service server transmitting OTP authentication preparation information to the OTP authentication server and receiving OTP authentication preparation information; (c) 서비스서버가 OTP요청정보를 생성하고 클라이언트단말에 이를 전송하는 단계;(c) generating, by the service server, the OTP request information and transmitting it to the client terminal; (d) OTP요청정보를 바탕으로 OTP생성기를 통해 생성된 OTP정보를 유무선단말이 우회네트워크를 통해 OTP인증서버에 전송하는 단계;(d) transmitting the OTP information generated by the OTP generator based on the OTP request information to the OTP authentication server through the bypass network; (e) OTP인증서버가 OTP정보를 수신하여 인증하며 그 인증 여부를 서비스서버에 전송하는 단계를 포함하는 우회네트워크를 이용한 일회용암호(One Time Password) 기반의 사용자 인증방법.(e) OTP authentication server receives and authenticates the OTP information and transmits the authentication information to the service server. One-time password-based user authentication method using a bypass network. 제1항에 있어서, (d) 단계와 (e)단계는 각각 다음의 더 구체적인 단계들The method of claim 1, wherein steps (d) and (e) each comprise the following more specific steps: (d1) 상기 OTP정보가 유무선단말로 입력되는 단계;(d1) inputting the OTP information to a wired or wireless terminal; (d2) SMS 또는 ARS 서버가 상기 OTP정보를 수신하고 상기 OTP인증서버로 전송하는 단계;(d2) receiving an OTP information from an SMS or ARS server and transmitting the received OTP information to the OTP authentication server; And (e1) 상기 OTP인증서버가 일회용암호를 인증하고 그 결과를 세션ID와 함께 상기 서버스서버에 전송하는 단계;(e1) the OTP authentication server authenticating the one time password and transmitting the result along with the session ID to the server server; (e2) 상기 서비스서버가 세션ID와 인증여부를 상기 OTP인증서버로부터 수신하고 인증결과에 따라 서비스를 제공하는 단계;로 각각 치환되는 것을 특징으로 하는 우회네트워크를 이용한 일회용암호(One time password) 기반의 사용자 인증방법. (e2) the service server receiving the session ID and the authentication from the OTP authentication server and providing a service according to the authentication result; each one-time password based using a bypass network, characterized in that replaced by How to authenticate users. 유선단말과 서비스를 제공하는 ARS서비스서버로 구성된 네트워크의 일회용암호 인증방법에 있어서, In the one-time password authentication method of the network consisting of a wired terminal and the ARS service server providing a service, (a) 유선단말이 ARS를 통해 사용자의 로그인 정보를 전송하며 ARS서비스서버에 접속을 요청하는 단계;(a) the wired terminal transmitting the user's login information through the ARS and requesting access to the ARS service server; (b) 사용자 로그인 정보가 인증된 경우, ARS서비스서버가 OTP인증서버에 OTP인증준비정보를 송신하고 OTP인증준비완료정보를 수신하는 단계;(b) when the user login information is authenticated, the ARS service server transmitting OTP authentication preparation information to the OTP authentication server and receiving OTP authentication preparation information; (c) ARS서비스서버가 사용자 로그인 정보가 인증된 경우 일회용암호를 SMS를 통해 전송하도록 OTP요청정보를 전송하는 단계;(c) transmitting, by the ARS service server, OTP request information to transmit the one time password via SMS when the user login information is authenticated; (d) OTP요청정보를 바탕으로 OTP생성기를 통해 생성된 OTP정보를 무선단말과 SMS서버를 통해 OTP인증서버에 전송하는 단계;(d) transmitting the OTP information generated by the OTP generator based on the OTP request information to the OTP authentication server through the wireless terminal and the SMS server; (e) OTP인증서버가 OTP정보를 수신하여 인증하며 그 인증여부를 ARS서비스서버에 전송하는 단계를 포함하는 우회네트워크를 이용한(e) OTP authentication server receives and authenticates the OTP information and transmits the authentication to the ARS service server. 일회용암호(One Time Password) 기반의 사용자 인증방법.User authentication based on One Time Password. 무선단말과 서비스를 제공하는 무선인터넷서비스서버로 구성된 네트워크의 일회용암호 인증방법에 있어서,In the one-time password authentication method of a network consisting of a wireless terminal and a wireless Internet service server providing a service, (a) 무선단말이 무선인터넷을 통해 사용자의 로그인 정보를 전송하며 무선인터넷서비스서버에 접속을 요청하는 단계;(a) the wireless terminal transmitting the user's login information through the wireless internet and requesting access to the wireless internet service server; (b) 사용자 로그인 정보가 인증된 경우, 무선인터넷서비스서버가 OTP인증서버에 OTP인증준비정보를 송신하고 OTP인증준비완료정보를 수신하는 단계;(b) if the user login information is authenticated, the wireless Internet service server transmitting OTP authentication preparation information to the OTP authentication server and receiving OTP authentication preparation information; (c) 무선인터넷서비스서버가 사용자 로그인 정보가 인증된 경우 일회용암호를 ARS를 통해 전송하도록 OTP요청정보를 무선단말로 전송하는 단계;(c) transmitting, by the wireless Internet service server, OTP request information to the wireless terminal to transmit the one time password through the ARS when the user login information is authenticated; (d) OTP요청정보를 바탕으로 일회용암호생성기를 통해 생성된 OTP정보를 유선단말과 ARS서버를 통해 OTP인증서버에 전송하는 단계;(d) transmitting the OTP information generated by the disposable password generator based on the OTP request information to the OTP authentication server through the wired terminal and the ARS server; (e) OTP인증서버가 OTP정보를 수신하여 인증하며 그 인증여부를 무선인터넷서비스서버에 전송하는 단계를 포함하는 우회네트워크를 이용한 일회용암호(One Time Password) 기반의 사용자 인증방법.(e) OTP authentication server receives and authenticates the OTP information and transmits the authentication to the wireless Internet service server. One time password based user authentication method using a bypass network. 제1항 내지 제4항 중 어느 한 항에 있어서, 상기 OTP인증준비정보는 상기 클라이언트단말의 접속정보를 확인하기위한 세션ID를 포함하며, 상기 OTP인증준비완료정보 는 세션ID와 챌린지를 포함하며- 시간동기방식의 경우 챌린지는 생략하거나 정해진 값으로 치횐됨-, 상기 OTP요청정보는 세션ID와 챌린지를 포함하여 구성되며, 상기 OTP정보는 세션ID와 리스펀스(OTP)를 포함하여 구성되는 것을 특징으로 하는 우회네트워크를 이용한 일회용암호(One time password) 기반의 사용자 인증방법.The method according to any one of claims 1 to 4, wherein the OTP authentication preparation information includes a session ID for confirming access information of the client terminal, and the OTP authentication preparation information includes a session ID and a challenge. In the case of time synchronization, the challenge is omitted or set to a predetermined value. The OTP request information includes a session ID and a challenge, and the OTP information includes a session ID and a response (OTP). One time password based user authentication using bypass network. 일회용암호를 이용한 사용자 인증시스템에 있어서,In the user authentication system using a one-time password, 네트웍을 통해 사용자에게 접속하고 인증정보를 전송하는 수단을 포함하는 클라이언트단말;A client terminal comprising means for connecting to a user via a network and transmitting authentication information; 클라이언트단말의 서비스요청을 수신하는 수단, 서비스컨텐츠를 저장하고 있는 컨텐츠DB, 사용자정보DB를 포함하는, OTP인증준비정보를 생성하고 OTP인증서버로 송신하는 수단을 포함하는 서비스서버; A service server comprising means for receiving a service request from a client terminal, content DB storing service content, and means for generating OTP authentication preparation information, including user information DB, and means for transmitting to the OTP authentication server; OTP인증준비정보을 수신하는 수단, 클라이언트단말의 인증을 위한 챌린지를 생성하는 수단, 세션ID를 포함하는 OTP인증준비완료정보를 저장하는 DB, 수신된 일회용암호를 인증하는 수단을 포함하는 OTP인증서버; An OTP authentication server including means for receiving OTP authentication preparation information, means for generating a challenge for authentication of a client terminal, a DB for storing OTP authentication preparation completion information including a session ID, and means for authenticating the received one time password; OTP정보를 무선네트워크 또는 유선 전화망을 통해 전송하는 유무선단말, OTP정보를 수신하는 수단, 이를 OTP인증서버에 전송하는 수단을 포함하는 SMS서버/ARS서버; 일회용암호를 생성하는 시간동기방식 또는 챌린지-리스펀스 방식의 OTP생성기-이는 독립적인 휴대가능한 단말이며 휴대폰으로 구현되는 경우도 포함-를 포함하는 우회네트워크를 이용한 일회용암호(OTP) 기반의 사용자 인증시스템.An SMS server / ARS server including a wired / wireless terminal for transmitting OTP information through a wireless network or a wired telephone network, means for receiving OTP information, and means for transmitting the OTP information to an OTP authentication server; OTP generator of a time-synchronous or challenge-response method for generating a one-time password, which is an independent portable terminal, including the case that is implemented as a mobile phone. 제6항에 있어서, OTP인증준비정보는 클라이언트단말의 접속정보를 확인하기위한 세션ID를 포함하며, 상기 OTP인증준비완료정보는 세션ID와 챌린지를 포함하며- 시간동기방식의 경우 챌린지는 생략하거나 정해진 값으로 치횐됨-, 상기 OTP요청정보는 세션ID와 챌린지를 포함하여 구성되며, OTP정보는 세션ID와 리스펀스를 포함하여 구성되는 것을 특징으로 하는 우회네트워크를 이용한 일회용암호(One time password) 기반의 사용자 인증시스템.The method of claim 6, wherein the OTP authentication preparation information includes a session ID for confirming access information of a client terminal, and the OTP authentication preparation information includes a session ID and a challenge. The OTP request information is configured to include a session ID and a challenge, and the OTP information is based on a one-time password using a bypass network, wherein the OTP information includes a session ID and a response. User authentication system. 제1항 내지 제4항 중의 어느 한 항의 우회네트워크를 이용한 일회용암호(One time password) 기반의 사용자 인증방법을 수행하는 프로그램을 기록한 컴퓨터판독가능한 기록매체.A computer-readable recording medium having recorded thereon a program for performing a one time password based user authentication method using the bypass network according to any one of claims 1 to 4. 제5항의 우회네트워크를 이용한 일회용암호(One time password) 기반의 사용자 인증방법을 수행하는 프로그램을 기록한 컴퓨터판독가능한 기록매체.A computer-readable recording medium recording a program for performing a one time password based user authentication method using a bypass network of claim 5.
KR1020080021728A 2008-03-07 2008-03-07 user authentication method and system using detour network based on the one time password KR20090096258A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080021728A KR20090096258A (en) 2008-03-07 2008-03-07 user authentication method and system using detour network based on the one time password

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080021728A KR20090096258A (en) 2008-03-07 2008-03-07 user authentication method and system using detour network based on the one time password

Publications (1)

Publication Number Publication Date
KR20090096258A true KR20090096258A (en) 2009-09-10

Family

ID=41296484

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080021728A KR20090096258A (en) 2008-03-07 2008-03-07 user authentication method and system using detour network based on the one time password

Country Status (1)

Country Link
KR (1) KR20090096258A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101402660B1 (en) * 2013-09-17 2014-06-03 주식회사 에스씨테크원 Wireless authentication system for one time password using mobile communication terminal comprising near field communication, and method thereof
KR101459283B1 (en) * 2013-09-17 2014-11-07 주식회사 아이넵 2 Channel authentication device and method
KR20190117967A (en) * 2018-04-09 2019-10-17 인비즈넷 주식회사 User authentication method using one time identifier and authentication system performing the same

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101402660B1 (en) * 2013-09-17 2014-06-03 주식회사 에스씨테크원 Wireless authentication system for one time password using mobile communication terminal comprising near field communication, and method thereof
KR101459283B1 (en) * 2013-09-17 2014-11-07 주식회사 아이넵 2 Channel authentication device and method
WO2015041401A1 (en) * 2013-09-17 2015-03-26 주식회사 에스씨테크원 Wireless authentication system and wireless authentication method for one time password of mobile communication terminal having near field communication function
US10171456B2 (en) 2013-09-17 2019-01-01 Sctechone Co, Ltd. Wireless authentication system and wireless authentication method for one time password of mobile communication terminal having near field communication function
KR20190117967A (en) * 2018-04-09 2019-10-17 인비즈넷 주식회사 User authentication method using one time identifier and authentication system performing the same

Similar Documents

Publication Publication Date Title
US11647023B2 (en) Out-of-band authentication to access web-service with indication of physical access to client device
CN108064440B (en) FIDO authentication method, device and system based on block chain
KR102117584B1 (en) Local device authentication
US9185096B2 (en) Identity verification
KR101198120B1 (en) Iris information based 3-factor user authentication method for otp generation and secure two way authentication system of wireless communication device authentication using otp
US8769289B1 (en) Authentication of a user accessing a protected resource using multi-channel protocol
US8775794B2 (en) System and method for end to end encryption
US10848304B2 (en) Public-private key pair protected password manager
KR102177848B1 (en) Method and system for verifying an access request
EP1102157B1 (en) Method and arrangement for secure login in a telecommunications system
US20120066749A1 (en) Method and computer program for generation and verification of otp between server and mobile device using multiple channels
CN113474774A (en) System and method for approving a new validator
KR20170067527A (en) Apparatus and Method for Providing API Authentication using Two API Tokens
KR20160129839A (en) An authentication apparatus with a bluetooth interface
US20100017604A1 (en) Method, system and device for synchronizing between server and mobile device
JP2009510644A (en) Method and configuration for secure authentication
WO2010128451A2 (en) Methods of robust multi-factor authentication and authorization and systems thereof
KR101769861B1 (en) User biometric authentication method and system using HSM smart card without password exposure
KR20090096258A (en) user authentication method and system using detour network based on the one time password
KR101389264B1 (en) one time password including integrity code and authentication system based on it
JP2006004020A (en) One-time password authentication system and method
WO2019234801A1 (en) Service provision system and service provision method
KR20050070381A (en) Authentication system based on one-time password
CA2904646A1 (en) Secure authentication using dynamic passcode
KR102403303B1 (en) System for providing user authentication based ransomware encryption blocking service

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application