KR20100136572A - 클라이언트 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치 - Google Patents

클라이언트 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치 Download PDF

Info

Publication number
KR20100136572A
KR20100136572A KR1020090054692A KR20090054692A KR20100136572A KR 20100136572 A KR20100136572 A KR 20100136572A KR 1020090054692 A KR1020090054692 A KR 1020090054692A KR 20090054692 A KR20090054692 A KR 20090054692A KR 20100136572 A KR20100136572 A KR 20100136572A
Authority
KR
South Korea
Prior art keywords
client
time password
address
user
server
Prior art date
Application number
KR1020090054692A
Other languages
English (en)
Inventor
김세용
Original Assignee
김세용
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김세용 filed Critical 김세용
Priority to KR1020090054692A priority Critical patent/KR20100136572A/ko
Publication of KR20100136572A publication Critical patent/KR20100136572A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 피싱(Phishing) 등의 해킹 공격으로부터 보안을 강화하기 위해서 클라이언트 IP Address 인증 방식에 의한 일회용 비밀번호를 생성하는 방법 및 그러한 방법이 실행되는 장치에 관한 것이다.
본 발명에 의한 일회용 비밀 번호 생성 및 인증 방법은 일회용 비밀번호 서버와, 메인 서버와, 비밀번호 입력을 필요로 하는 클라이언트(사용자 PC 또는 이동통신단말기 등)와, 이동통신단말기와, SMS 또는 무선 Gateway와, 상기 일회용 비밀번호 서버, 메인 서버, 클라이언트, 이동통신단말기 및 SMS 또는 무선 Gateway를 연결하는 네트워크를 포함하는 환경에서의 일회용 비밀번호 생성 및 인증 방법에 관한 것으로서, (1) 사용자로부터 일회용 비밀번호 생성에 기초 정보로 활용되는 시드값을 생성하는 단계와, (2) SMS 또는 무선 통신을 이용하여 메인서버로부터 클라이언트의 IP Address를 확인하는 클라이언트 IP Address 인증단계와, (3) 상기 인증된 클라이언트 IP Address를 이용하여 사용자 로그인에 필요한 일회용 비밀번호를 생성하고 이를 이용하여 사용자를 인증하는 단계를 포함한다.
one time password, phishing, IP Address, OTP, 일회용 비밀번호, 피싱, 해킹, 금융 거래, 뱅킹

Description

클라이언트 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치{Apparatus and Method for Creating OTP using authentication method of Client IP Address}
본 발명은 특정 클라이언트에서만 사용할 수 있는 일회용 비밀번호 생성 및 인증에 관한 것으로 더욱 상세하게는 개인정보를 불법으로 얻으려는 피셔(Phisher)가 불특정 다수에게 이메일을 보내 네티즌 금융정보 등을 빼내는 신종 금융사기 기법인 피싱(Phishing) 기법 등의 해킹 공격을 방지하기 위한 일회용 비밀번호 생성 및 인증에 관한 시스템 및 방법에 관한 것이다.
무인 현금 인출기, 인터넷 뱅킹 그리고 폰 뱅킹 등의 금융 거래에 있어서 거래 당사자가 본인인지를 확인하는 인증 수단으로서 비밀 번호가 널리 사용되고 있다. 사용자에 의해 입력된 비밀번호는 통신망을 통하여 메인서버 등에 전달되고 메인서버는 입력된 비밀 번호가 등록된 비밀 번호와 동일한 지 여부를 판단하여 인증하게 된다. 그러나 통신망을 통한 비밀 번호 전송 과정에서 문제가 발생하여 비밀 번호가 유출될 경우 금융 거래의 신뢰성을 확보할 수 없다.
그래서, 이러한 문제점을 방지하기 위하여 일회용 비밀 번호 즉 OTP(One-time Password)가 사용되고 있다. OTP 서비스는 매번 로그인 시마다 무작위적으로 생성되는 난수를 비밀번호로 사용함으로써 일회용으로만 쓸 수 있기 때문에 통신망을 통해 제삼자에게 유출되더라도 제삼자가 사용할 수 없는 것으로 판단되어 안전한 것으로 여겨져 왔다.
그러나, 2006년 7월경 미국 시티은행에서 "피싱(Phishing)"에 의한 해킹으로 금융거래가 뚫리는 사건으로 인해 OTP 방식이 결코 100% 안전하지는 않은 것으로 확인되었다. 시티은행 해킹 사건은 해커가 만든 피싱 사이트에 사용자들이 OTP를 입력, 이를 가로챈 해커가 인증 유효 시간 이전에 해당 인증 번호로 은행 계좌에 침투한 사건이다. 이와 같은 피싱 공격(Real Time Phishing Attack)은 OTP라 할지라도 극복하기 어려운데, 이는 OTP뿐만 아니라 웹 상에 정보를 입력해야 하는 모든 시스템이 극복하기 어려운 보안 취약점이다.
이를 해결하기 위한 방식으로 피싱방지를 위한 일회용 비밀번호 생성방법에 대한 특허(한국 출원번호 10-2009-0022386, 미공개)를 본 발명자는 이미 출원한 바 있다. 그러나, 상기 방식은 클라이언트의 IP Address를 확인하는 방식이 사용자에 의해 이루어지기 때문에 사용자가 Phishing Site를 통해 IP Address를 확인하는 등의 사용자 실수에 의한 보안 취약점을 가지고 있다. 또한 사용자가 별도로 IP Address를 확인하는 과정을 추가로 거치게 되는 불편함으로 인해 기술 적용의 어려움을 또한 가지고 있다.
상기한 문제점을 해결하기 위하여 본 발명은 수동으로 사용자가 클라이언트 IP Address를 확인하는 과정을 없애고 자동으로 클라이언트 IP Address를 확인하고 이를 이용해 일회용 비밀번호를 생성함으로써 피셔(Phisher)와 같은 해커(Hacker)가 일회용 비밀번호를 불법으로 확보하더라도 사용자의 클라이언트가 아닌 해커(Hacker)의 클라이언트에서는 사용할 수 없게 함으로써 피싱(Phishing)과 같은 해킹(Hacking)공격으로부터의 보안성을 훨씬 높인 일회용 비밀 번호 생성 방법 및 장치를 제공하는 것을 목적으로 한다.
자동으로 클라이언트 IP Address를 확인하여 일회용 비밀번호를 생성하는 방법은 크게 두 가지로 구현될 수 있는데, 두 가지 방식 모두 무선통신을 통한 클라이언트 IP Address 정보의 전달과 유선통신을 통한 OTP 전달을 통해 유/무선 네트워크를 동시에 사용하여 사용자를 인증하는 방법을 사용함으로써 더욱 보안성을 강화한 것이 특징이다.
첫 번째 방법은 SMS를 이용하는 것으로 일회용 비밀번호 서버와, 메인 서버와, 비밀번호 입력을 필요로 하는 클라이언트(사용자 PC 또는 이동통신단말기 등)와, 이동통신단말기와, SMS 전송을 위한 SMS Gateway와, 상기 일회용 비밀번호 서버, 메인 서버, 클라이언트, 이동통신단말기 및 SMS Gateway를 연결하는 네트워크 를 포함하는 환경에서, (1) 사용자로부터 클라이언트 또는 이동통신 단말기를 통해 일회용 비밀번호 사용을 위해 사용되는 시드값을 입력 받는 단계와, (2) 상기 시드값을 일회용 비밀 번호 서버에 기록하는 단계와, (3) 사용자가 상기 시드값과 일회용 비밀번호 생성 프로그램을 사용자의 이동통신 단말기로 내려 받는 단계로 구성된 시드값 생성 단계와, (1) 사용자가 클라이언트에서 메인서버로 클라이언트의 IP Address를 확인하는 요청을 하는 단계와, (2) 메인서버에서 클라이언트의 IP Address를 확인하여 일회용 비밀번호 서버에 전송하는 단계와, (3) 일회용 비밀번호서버에 기록되어 있는 시드값, 일회용 비밀번호 발급 시간 정보, 클라이언트 IP Address 정보 및 메인서버의 IP Address 또는 URL을 기초로 일방향 해쉬 함수를 사용하여 클라이언트 IP Address 확인을 위한 일회용 비밀번호를 일회용 비밀번호 서버에서 생성하는 단계와, (4) 메인서버에서 상기 과정에 의해 획득된 일회용 비밀번호를 일회용 비밀번호 서버로부터 받아서 클라이언트 IP Address, 메인서버의 IP Address 또는 URL 정보와 함께 SMS Gateway를 통해 이동통신단말기로 전송하는 단계와, (5) 사용자가 이동통신단말기에서 일회용 비밀번호 생성 프로그램을 실시하는 단계와, (6) 실시된 일회용 비밀번호 생성 프로그램이 최신에 받은 SMS문자에서 클라이언트 IP Address 인증을 위한 일회용 비밀번호, 클라이언트 IP Address 및 서버 IP Address 또는 URL을 확인하는 단계와, (7) SMS 문자에서 확인된 클라이언트 IP Address 및 메인서버 IP Address 또는 URL, 그리고 이동통신단말기에 기록되어 있는 시드값 및 일회용 비밀번호 발급 시간 정보를 기초로 일방향 해쉬 함수를 사용하여 이동통신단말기의 일회용 비밀번호 생성 프로그램이 일회용 비밀번호를 생성하는 단계와, (8) 상기 단계에서 생성된 일회용 비밀번호와 SMS 문자로부터 받은 일회용 비밀번호가 일치하는 지를 검증하는 단계와, (9)상기 검증단계에서 일회용 비밀번호가 일치할 경우 클라이언트 IP Address를 일회용 비밀번호 생성 프로그램의 데이터 저장위치에 기록하는 단계로 구성된 클라이언트 IP Address 인증단계와, (1)사용자의 이동통신단말기의 일회용 비밀번호 생성프로그램을 이용하여 이동통신단말기에 기록되어 있는 클라이언트 IP Address와 시드값 및 일회용 비밀번호 발급 시간 정보를 기초로 일방향 해쉬함수를 사용하여 일회용 비밀번호를 생성하는 단계와, (2) 사용자가 기억하고 있던 사용자 ID 및 패스워드, 그리고 이동통신단말기에서 생성된 일회용 비밀번호를 클라이언트에 입력하는 단계와, (3) 메인서버가 클라이언트 IP Address를 확인하여 사용자로부터 입력된 일회용 비밀번호와 함께 일회용 비밀번호 서버에 전송하는 단계와, (4) 일회용 비밀번호서버에서 메인서버로부터 받은 클라이언트 IP Address와 시드값 및 일회용 비밀번호 발급시간 정보를 기초로 일방향 해쉬함수를 이용해 일회용 비밀번호를 생성하는 단계와, (5) 메인서버로부터 받은 일회용 비밀번호와 일회용 비밀번호 서버에서 생성한 일회용 비밀번호가 일치하는 지를 검증하는 단계와, (6) 상기 검증단계의 일치 여부를 메인서버에 전송하는 단계와, (7) 메인서버에서 상기 단계의 일치 여부에 따라 사용자의 로그인 허가 여부를 결정하는 단계로 구성된 사용자 인증단계를 포함한다.
상기 과정은 크게 시드값 생성단계, IP Address 인증 단계와 사용자 인증단계로 나뉘는데 세 단계들이 반드시 동시에 이뤄져야 하는 것은 아니며 시드값 생성과 IP Address 인증단계가 완료된 이후의 사용자 인증 시에는 사용자 인증단계만 별개로 이뤄질 수 있다. 다만, 시드값 생성단계나 IP Address 인증 단계가 이전에 이뤄지지 않은 상태에서 사용자 인증단계가 수행될 수는 없다.
이하에서는 SMS 전송을 통해 클라이언트 IP Address를 인증하여 일회용 비밀 번호를 생성하는 알고리즘에 대해서 설명하기로 한다.
IP Address 인증과 사용자 로그인에 사용되는 일회용 비밀번호는 최초에 등록된 사용자 시드값, 시간 변환 과정에 의해 변환된 시간 정보, 클라이언트 IP Address 정보 및 메인서버 IP Address 또는 URL 정보의 조합에 의해 생성되고 인증되며 이것을 정리하면 아래와 같다.
1. S --> O: Client_IP_Address, Server_URL, OTP_Value(IP)
2. O --> C: OTP_Value(User)
3. C --> S: User_ID, Password, OTP_Value(User)
위 식에서 S는 메인서버, O는 OTP를 생성하는 단말기(이동통신단말기 등), C는 클라이언트를 가리키며, Client_IP Address는 클라이언트의 IP Address값 또는 IP Address를 해쉬 처리한 값을, Server_URL은 메인 서버 IP Address 또는 URL 정보를, User_ID는 사용자 로그인 시에 사용되는 사용자의 ID 정보를, Password는 사용자 로그인 시에 사용되는 사용자의 비밀번호 정보를 가리킨다.
위 식에서 사용된 OTP_Value는 아래와 같은 수학식으로 구할 수 있다.
OTP_Value(IP) = H[n](Current_Time, User_Seed, Client_IP_Address, Server_URL)
OTP_Value(User) = H[n](Current_Time, User_Seed, Client_IP_Address)
여기에서 H는 일방향 해쉬 함수이고, n은 해쉬 함수의 수행 횟수이며.변수(USER_SEED)는 최초에 등록된 사용자 시드값을 가리킨다.
OTP_Value(IP)와 OTP_Value(User)는 Server_URL에서 변수의 차이를 보이는데 그 이유는 동일한 함수로 OTP_Value를 산출할 경우 IP Address 인증을 위한 OTP와 사용자 인증을 위한 OTP가 일치할 수 있기 때문에 차이를 두는 것으로 반드시 Server_URL을 사용하는 것이 아니라 Site 명 등의 다른 변수로 대체 가능하며 이렇게 변수를 다른 것으로 대체하였다고 해서 본 발명의 권리 범위를 벗어나는 것은 아니다.
상기 함수는 본 발명의 예시로 표현한 것으로, 일회용 비밀번호를 사용자 비밀번호로만 활용하는 것이 아니라 IP Address 인증을 위해 1차로 활용하고 이렇게 획득한 IP Address를 기초로 2차로 실제 사용될 일회용 비밀번호를 생성함으로써 생성된 일회용 비밀번호가 특정 시간 및 특정 공간(클라이언트)에서만 제한되게 사용할 수 있게 하여 보안성을 향상시키는 것이 기본 사상이다.
두 번째 방법은 첫 번째 방법과 IP Address 인증 단계에서만 차이가 있는 것으로 SMS Gateway 대신에 무선 Gateway를 통하여 무선통신을 활용하는 것이 특징이다. 무선 Gateway를 이용한 IP Address 인증단계는, (1) 사용자가 클라이언트에서 메인서버로 클라이언트의 IP Address를 확인하는 요청을 하는 단계와, (2) 메인서버에서 클라이언트의 IP Address를 확인하여 무선 Gateway에 전달하여 데이터베이스에 기록하는 단계와, (3) 사용자가 이동통신단말기에서 일회용 비밀번호 생성 프로그램을 실시하는 단계와, (4) 실시된 일회용 비밀번호 생성 프로그램이 무선 Gateway에 접속하여 이전 단계에서 기록한 클라이언트 IP Address를 확인하여 일회용 비밀번호 생성 프로그램의 데이터 저장위치에 기록하는 단계로 구성되어 있다.
상기 방식에서 클라이언트의 IP Address는 메인서버에 저장될 수도 있으며 이러한 경우에는 일회용 비밀번호 생성 프로그램이 무선 Gateway를 통해 메인서버에 직접 클라이언트의 IP Address를 요청하게 된다.
상기 과정에서 일회용 비밀번호 생성 프로그램은 프로그램 내에 무선 Gateway의 도메인 정보를 가지고 있기 때문에 사용자가 별도로 URL을 입력할 필요가 없으며 보안을 위하여 무선 Gateway로부터 클라이언트 IP Address를 가져 오는 과정에서 인증 절차를 추가로 수행할 수도 있다.
본 발명은 OTP 생성에 있어서 기존의 시간 동기 방식에 클라이언트 IP Address값을 추가하여 보안성을 높일 수 있는 방법으로 클라이언트의 IP Address 확인을 자동으로 수행할 수 있도록 하여 사용자의 편의성을 확보함으로써 시스템으로 구성하기 용이하게 하였다. 이러한 방법으로 생성된 사용자 인증용 OTP값 내에 포함된 클라이언트 IP Address 정보는 실제 사용자가 사용하는 클라이언트에서만 OTP를 사용할 수 있게 하여 피셔(Phisher) 등의 해커(Hacker)와 같은 악의를 가진 제 삼자가 OTP를 확보한다 하더라도 클라이언트 IP Address가 달라서 사용하기 어렵게 된다.
결국 본 발명은 특정 사용자가 정해진 시간 내에 정해진 공간(클라이언트)에서만 일회용 비밀번호를 사용할 수 있게 하는 과정을 쉽게 시스템으로 구성할 수 있도록 하여서 종래의 기술이 구현하지 못한 높은 보안성을 확보하게 되었다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 설명하면 다음과 같다.
첫 번째 방법인 SMS 전송을 이용한 방식의 전체 시스템 구성도는 도1과 같다. SMS 전송을 받는 이동통신단말기(10)와, 비밀번호를 입력하게 되는 클라이언트(20)와, 메인서버(30)와, 일회용 비밀번호 서버(40)와, SMS를 전송하는 SMS Gateway(50)를 포함한다.
이러한 구성의 OTP 생성 및 인증 방식은 도2와 같이 도시될 수 있으며, (1) 사용자가 클라이언트 IP Address를 확인을 요청하는 단계(S210)와, (2) 메인서버에서 클라이언트의 IP Address를 확인하여 일회용 비밀번호 서버에 전송하는 단계(S215)와, (3) 일회용 비밀번호서버에 기록되어 있는 시드값, 일회용 비밀번호 발급 시간 정보, 클라이언트 IP Address 정보 및 메인서버의 IP Address 또는 URL 을 기초로 일방향 해쉬 함수를 사용하여 클라이언트 IP Address 확인을 위한 일회용 비밀번호를 일회용 비밀번호 서버에서 생성하는 단계(S220)와, (4) 메인서버에서 상기 단계에서 생성된 일회용 비밀번호를 일회용 비밀번호 서버로부터 받아서 클라이언트 IP Address, 메인서버의 IP Address 또는 URL 정보와 함께 SMS Gateway로 전송하는 단계(S225)와, (5) SMS Gateway에서 이동통신단말기로 상기 정보를 SMS로 전송하는 단계(S230)와, (6) 사용자가 이동통신단말기에서 일회용 비밀번호 생성 프로그램을 실시하는 단계(S235)와, (7) 실시된 일회용 비밀번호 생성 프로그램이 최신에 받은 SMS문자에서 클라이언트 IP Address 인증을 위한 일회용 비밀번호, 클라이언트 IP Address 및 서버 IP Address 또는 URL을 확인하는 단계(S235)와, (7) SMS 문자에서 확인된 클라이언트 IP Address 및 메인서버 IP Address 또는 URL, 그리고 이동통신단말기에 기록되어 있는 시드값 및 일회용 비밀번호 발급 시간 정보를 기초로 일방향 해쉬 함수를 사용하여 이동통신단말기의 일회용 비밀번호 생성 프로그램이 일회용 비밀번호를 생성하는 단계(S240)와, (8) 상기 단계에서 생성된 일회용 비밀번호와 SMS 문자로부터 받은 일회용 비밀번호가 일치하는 지를 검증하는 단계(S245)와, (9)상기 검증단계에서 일회용 비밀번호가 일치할 경우 클라이언트 IP Address를 일회용 비밀번호 생성 프로그램의 데이터 저장 위치에 기록하는 단계(S250)와, (10)사용자의 이동통신단말기의 일회용 비밀번호 생성프로그램을 이용하여 이동통신단말기에 기록되어 있는 클라이언트 IP Address와 시드값 및 일회용 비밀번호 발급 시간 정보를 기초로 사용자 인증용 일회용 비밀번호를 생성하는 단계(S255)와, (11) 사용자가 사용자 ID, 패스워드 및 이동통신단말기에서 생성 된 일회용 비밀번호를 클라이언트에 입력하여 메인서버에 전송하는 단계(S260)와, (12) 메인서버가 클라이언트 IP Address를 확인하여 사용자로부터 입력된 일회용 비밀번호, 사용자 ID와 함께 일회용 비밀번호 서버에 전송하는 단계(S265)와, (13) 일회용 비밀번호서버에서 메인서버로부터 받은 클라이언트 IP Address와 사용자 ID에 해당하는 시드값 및 일회용 비밀번호 발급시간 정보를 기초로 일방향 해쉬함수를 이용해 일회용 비밀번호를 생성하여 메인서버로부터 받은 일회용 비밀번호와 일치하는 지를 검증하는 단계(S270)와, (14) 상기 검증단계의 일치 여부를 메인서버에 전송하는 단계(S275)와, (15) 메인서버에서 일치 여부에 따라 사용자의 로그인 허가 여부를 결정하는 단계(S280)를 포함한다.
상기 단계 중 (1)단계에서 (9)단계는 최초로 사용하게 되는 클라이언트를 등록할 때만 적용되며 그 이후의 사용자 인증 시에는 즐겨찾기 형태로 클라이언트 IP Address를 선택함으로써 생략될 수 있다.
즐겨찾기를 사용할 경우의 일회용 비밀번호 생성 프로그램 화면은 도 3과 같이 구성될 수 있다. IP 신규 등록 요청을 하여 SMS를 받았을 경우에는 (1)IP 신규 등록을 선택하여 IP Address를 등록하고, 기존에 등록된 IP Address를 사용할 경우는 등록된 IP Address 번호를 선택하여 OTP를 바로 생성할 수도 있다. 이 때 IP Address 대신에 집이나 사무실과 같은 사용자가 인식하기 편리한 문자로 대체 가능하다.
두 번째 구현 방법인 무선 Gateway를 이용한 방식의 전체 시스템 구성도는 도4와 같다. SMS 전송을 받는 이동통신단말기(10)와, 비밀번호를 입력하게 되는 클라이언트(20)와, 메인서버(30)와, 일회용 비밀번호 서버(40)와, 무선통신과 유선통신을 연계하는 무선 Gateway(50)를 포함한다.
이러한 구성방식의 OTP 생성 및 인증 방식은 도5와 같이 도시될 수 있으며, (1) 사용자가 클라이언트 IP Address 확인을 요청하는 단계(S510)와, (2) 메인서버에서 클라이언트의 IP Address를 확인하여 무선 Gateway에 전달하는 단계(S515)와, (3)무선 Gateway에서 상기 전달받은 클라이언트 IP Address를 데이터베이스에 기록하는 단계(S520)와, (4) 사용자가 이동통신단말기에서 일회용 비밀번호 생성 프로그램을 실시하는 단계(S525)와, (5) 실시된 일회용 비밀번호 생성 프로그램이 무선 Gateway에 접속하여 사용자 클라이언트의 IP Address를 요청하는 단계(S530)와, (6) 무선 Gateway가 기록되어 있는 사용자 클라이언트의 IP Address를 데이터베이스에서 검색하여 이동통신 단말기로 전송하는 단계(S535)와, (7) 상기 방식으로 확인된 클라이언트 IP Address를 일회용 비밀번호 생성프로그램의 저장위치에 기록하는 단계(S540)와, (8) 이동통신단말기에 기록되어 있는 시드값, 클라이언트 IP Address 및 일회용 비밀번호 발급 시간 정보를 기초로 일방향 해쉬 함수를 사용하여 이동통신단말기의 일회용 비밀번호 생성 프로그램이 사용자 인증용 일회용 비밀번호를 생성하는 단계(S545)와, (9) 사용자가 사용자 ID, 패스워드 및 이동통신단말기에서 생성된 일회용 비밀번호를 클라이언트에 입력하여 메인서버에 전송하는 단계(S550)와, (10) 메인서버가 클라이언트 IP Address와 사용자 ID를 확인하여 사용자로부터 입력된 일회용 비밀번호와 함께 일회용 비밀번호 서버에 전송하는 단계(S555)와, (11) 일회용 비밀번호서버에서 메인서버로부터 받은 클라이언트 IP Address와 사용자 ID에 해당하는 시드값 및 일회용 비밀번호 발급시간 정보를 기초로 일방향 해쉬함수를 이용해 일회용 비밀번호를 생성하여 메인서버로부터 받은 일회용 비밀번호와 일치하는 지를 검증하는 단계(S560)와, (12) 상기 검증단계의 일치 여부를 메인서버에 전송하는 단계(S565)와, (13) 메인서버에서 일치 여부에 따라 사용자의 로그인 허가 여부를 결정하는 단계(S570)를 포함한다.
도1은 본 발명의 예시로 구현된 SMS 전송을 이용한 클라이언트 IP Address 인증방식의 일회용 비밀번호 생성 및 인증 시스템의 전체 구성도
도2는 본 발명의 예시로 구현된 SMS 전송을 이용한 클라이언트 IP Address 인증방식의 일회용 비밀번호 생성 및 인증 방법의 흐름도
도3은 본 발명의 예시로 구현된 이동통신단말기의 일회용 생성프로그램의 즐겨찾기 화면
도4는 본 발명의 예시로 구현된 무선통신을 이용한 클라이언트 IP Address 인증방식의 일회용 비밀번호 생성 및 인증 시스템의 전체 구성도
도5는 본 발명의 예시로 구현된 무선통신을 이용한 클라이언트 IP Address 인증방식의 일회용 비밀번호 생성 및 인증 시스템의 전체 구성도

Claims (2)

  1. 일회용 비밀번호 서버와, 메인 서버와, 비밀번호 입력을 필요로 하는 클라이언트(사용자 PC 또는 이동통신단말기 등)와, 이동통신단말기와, SMS 전송을 위한 SMS Gateway와, 상기 일회용 비밀번호 서버, 메인 서버, 클라이언트, 이동통신단말기 및 SMS Gateway를 연결하는 네트워크를 포함하는 환경에서,
    사용자로부터 일회용 비밀번호 생성에 기초 정보로 활용되는 시드값을 생성하는 단계와, SMS 전송을 이용하여 메인서버로부터 클라이언트의 IP Address를 확인하는 클라이언트 IP Address 인증단계와, 상기 인증된 클라이언트 IP Address를 이용하여 사용자 로그인에 필요한 일회용 비밀번호를 생성하고 이를 이용하여 사용자를 인증하는 단계를 포함하며,
    상기 시드값 생성단계는, 사용자로부터 클라이언트 또는 이동통신 단말기를 통해 일회용 비밀번호 사용을 위해 사용되는 시드값을 입력 받는 단계와, 상기 시드값을 일회용 비밀 번호 서버에 기록하는 단계와, 사용자가 상기 시드값과 일회용 비밀번호 생성 프로그램을 사용자의 이동통신 단말기로 내려 받는 단계로 구성되며,
    상기 클라이언트 IP Address 인증단계는, 사용자가 클라이언트에서 메인서버로 클라이언트의 IP Address를 확인하는 요청을 하는 단계와, 메인서버에서 클라이언트의 IP Address를 확인하여 일회용 비밀번호 서버에 전송하는 단계와, 일회용 비밀번호서버에 기록되어 있는 시드값, 일회용 비밀번호 발급 시간 정보, 클라이언 트 IP Address 정보 및 메인서버의 IP Address 또는 URL을 기초로 일방향 해쉬 함수를 사용하여 클라이언트 IP Address 확인을 위한 일회용 비밀번호를 일회용 비밀번호 서버에서 생성하는 단계와, 메인서버에서 상기 과정에 의해 획득된 일회용 비밀번호를 일회용 비밀번호 서버로부터 받아서 클라이언트 IP Address, 메인서버의 IP Address 또는 URL 정보와 함께 SMS Gateway를 통해 이동통신단말기로 전송하는 단계와, 사용자가 이동통신단말기에서 일회용 비밀번호 생성 프로그램을 실시하는 단계와, 실시된 일회용 비밀번호 생성 프로그램이 최신에 받은 SMS문자에서 클라이언트 IP Address 인증을 위한 일회용 비밀번호, 클라이언트 IP Address 및 서버 IP Address 또는 URL을 확인하는 단계와, SMS 문자에서 확인된 클라이언트 IP Address 및 메인서버 IP Address 또는 URL, 그리고 이동통신단말기에 기록되어 있는 시드값 및 일회용 비밀번호 발급 시간 정보를 기초로 일방향 해쉬 함수를 사용하여 이동통신단말기의 일회용 비밀번호 생성 프로그램이 일회용 비밀번호를 생성하는 단계와, 상기 단계에서 생성된 일회용 비밀번호와 SMS 문자로부터 받은 일회용 비밀번호가 일치하는 지를 검증하는 단계와, 상기 검증단계에서 일회용 비밀번호가 일치할 경우 클라이언트 IP Address를 일회용 비밀번호 생성 프로그램의 데이터 저장위치에 기록하는 단계로 구성되며,
    상기 사용자 인증단계는, 사용자의 이동통신단말기의 일회용 비밀번호 생성프로그램을 이용하여 이동통신단말기에 기록되어 있는 클라이언트 IP Address와 시드값 및 일회용 비밀번호 발급 시간 정보를 기초로 일방향 해쉬함수를 사용하여 일회용 비밀번호를 생성하는 단계와, 사용자가 기억하고 있던 사용자 ID와 패스워드, 그리고 이동통신단말기에서 생성된 일회용 비밀번호를 클라이언트에 입력하는 단계와, 메인서버가 클라이언트 IP Address를 확인하여 사용자로부터 입력된 일회용 비밀번호와 함께 일회용 비밀번호 서버에 전송하는 단계와, 일회용 비밀번호서버에서 메인서버로부터 받은 클라이언트 IP Address, 시드값 및 일회용 비밀번호 발급시간 정보를 기초로 일방향 해쉬함수를 이용해 일회용 비밀번호를 생성하는 단계와, 메인서버로부터 받은 일회용 비밀번호와 일회용 비밀번호 서버에서 생성한 일회용 비밀번호가 일치하는 지를 검증하는 단계와, 상기 검증단계의 일치 여부를 메인서버에 전송하는 단계와, 메인서버에서 상기 단계의 일치 여부에 따라 사용자의 로그인 허가 여부를 결정하는 단계로 구성되는,
    일회용 비밀번호 생성 및 인증 방법 또는 그 방법을 구현하는 시스템
  2. 제 1항에 있어서, SMS Gateway 대신에 무선 Gateway로 구성된 환경에서,
    클라이언트 IP Address 인증단계가, 사용자가 클라이언트에서 메인서버로 클라이언트의 IP Address를 확인하는 요청을 하는 단계와, 메인서버에서 클라이언트의 IP Address를 확인하여 무선 Gateway에 전달하여 데이터베이스에 기록하는 단계와, 사용자가 이동통신단말기에서 일회용 비밀번호 생성 프로그램을 실시하는 단계와, 실시된 일회용 비밀번호 생성 프로그램이 무선 Gateway에 접속하여 상기 단계에서 기록한 클라이언트 IP Address를 확인하여 일회용 비밀번호 생성 프로그램의 데이터 저장위치에 기록하는 단계로 구성되는,
    일회용 비밀번호 생성 및 인증 방법 또는 그 방법을 구현하는 시스템
KR1020090054692A 2009-06-19 2009-06-19 클라이언트 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치 KR20100136572A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090054692A KR20100136572A (ko) 2009-06-19 2009-06-19 클라이언트 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090054692A KR20100136572A (ko) 2009-06-19 2009-06-19 클라이언트 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20100136572A true KR20100136572A (ko) 2010-12-29

Family

ID=43510525

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090054692A KR20100136572A (ko) 2009-06-19 2009-06-19 클라이언트 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치

Country Status (1)

Country Link
KR (1) KR20100136572A (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101404161B1 (ko) * 2012-08-29 2014-06-05 주식회사 신한은행 원타임 패스워드를 이용한 망분리 장치, 망분리 시스템 및 그 방법
WO2014133300A1 (ko) * 2013-02-26 2014-09-04 (주)이스톰 Otp 인증 시스템 및 방법
US10003595B2 (en) 2013-02-26 2018-06-19 eStorm Co., LTD System and method for one time password authentication
KR101879843B1 (ko) * 2016-03-04 2018-07-18 (주)이스톰 Ip 주소와 sms를 이용한 인증 방법 및 시스템
KR102110815B1 (ko) * 2019-10-22 2020-05-14 주식회사 넷앤드 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템
CN114006716A (zh) * 2021-01-04 2022-02-01 北京八分量信息科技有限公司 一种区块链权限管理方法及系统
CN116389013A (zh) * 2023-06-07 2023-07-04 广州鲁邦通智能科技有限公司 一种短信密码验证方法、移动终端、系统

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101404161B1 (ko) * 2012-08-29 2014-06-05 주식회사 신한은행 원타임 패스워드를 이용한 망분리 장치, 망분리 시스템 및 그 방법
WO2014133300A1 (ko) * 2013-02-26 2014-09-04 (주)이스톰 Otp 인증 시스템 및 방법
US10003595B2 (en) 2013-02-26 2018-06-19 eStorm Co., LTD System and method for one time password authentication
KR101879843B1 (ko) * 2016-03-04 2018-07-18 (주)이스톰 Ip 주소와 sms를 이용한 인증 방법 및 시스템
KR102110815B1 (ko) * 2019-10-22 2020-05-14 주식회사 넷앤드 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템
CN114006716A (zh) * 2021-01-04 2022-02-01 北京八分量信息科技有限公司 一种区块链权限管理方法及系统
CN116389013A (zh) * 2023-06-07 2023-07-04 广州鲁邦通智能科技有限公司 一种短信密码验证方法、移动终端、系统
CN116389013B (zh) * 2023-06-07 2023-09-15 广州鲁邦通智能科技有限公司 一种短信密码验证方法、移动终端、系统

Similar Documents

Publication Publication Date Title
US9871791B2 (en) Multi factor user authentication on multiple devices
KR101019458B1 (ko) 확장된 일회용 암호 방법 및 장치
US8510811B2 (en) Network transaction verification and authentication
US9635022B2 (en) Method of allowing establishment of a secure session between a device and a server
CN105516163B (zh) 一种登录方法及终端设备及通信系统
US20090025080A1 (en) System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access
US20100050243A1 (en) Method and system for trusted client bootstrapping
JP2017521934A (ja) クライアントとサーバとの間の相互検証の方法
CN103391197A (zh) 一种基于手机令牌和NFC技术的Web身份认证方法
Bicakci et al. Mobile authentication secure against man-in-the-middle attacks
KR20100136572A (ko) 클라이언트 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치
Bojjagani et al. PhishPreventer: a secure authentication protocol for prevention of phishing attacks in mobile environment with formal verification
Rao et al. Authentication using mobile phone as a security token
Laka et al. User perspective and security of a new mobile authentication method
JP5186648B2 (ja) 安全なオンライン取引を容易にするシステム及び方法
KR101243101B1 (ko) 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템
KR20100104161A (ko) 피싱 방지를 위한 일회용 비밀번호 생성 방법 및 장치
KR100750214B1 (ko) 공인 인증서를 이용한 로그인 방법
Raddum et al. Security analysis of mobile phones used as OTP generators
Oktian et al. Twochain: Leveraging blockchain and smart contract for two factor authentication
KR20110019684A (ko) 클라이언트 맥 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치
Gao et al. A research of security in website account binding
Deeptha et al. Extending OpenID connect towards mission critical applications
KR101310043B1 (ko) 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 방법
Yasin et al. Enhancing anti-phishing by a robust multi-level authentication technique (EARMAT).

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application