KR20110019684A - 클라이언트 맥 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치 - Google Patents

클라이언트 맥 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치 Download PDF

Info

Publication number
KR20110019684A
KR20110019684A KR1020090077340A KR20090077340A KR20110019684A KR 20110019684 A KR20110019684 A KR 20110019684A KR 1020090077340 A KR1020090077340 A KR 1020090077340A KR 20090077340 A KR20090077340 A KR 20090077340A KR 20110019684 A KR20110019684 A KR 20110019684A
Authority
KR
South Korea
Prior art keywords
time password
client
mac address
user
address
Prior art date
Application number
KR1020090077340A
Other languages
English (en)
Inventor
김세용
Original Assignee
김세용
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김세용 filed Critical 김세용
Priority to KR1020090077340A priority Critical patent/KR20110019684A/ko
Publication of KR20110019684A publication Critical patent/KR20110019684A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • H04W4/14Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 피싱(Phishing) 등의 해킹 공격으로부터 보안을 강화하기 위해서 사용하기 위한 클라이언트 맥어드레스(MAC Address) 인증 방식에 의한 일회용 비밀번호를 생성하는 방법 및 그러한 방법이 실행되는 장치에 관한 것이다.
본 발명에 의한 일회용 비밀 번호 생성 및 인증 방법은 일회용 비밀번호 서버와, 메인 서버와, 비밀번호 입력을 필요로 하는 클라이언트(사용자 PC 또는 이동통신단말기 등)와, 이동통신단말기와, SMS 또는 무선 Gateway와, 상기 일회용 비밀번호 서버, 메인 서버, 클라이언트, 이동통신단말기 및 SMS 또는 무선 Gateway를 연결하는 네트워크를 포함하는 환경에서의 일회용 비밀번호 생성 및 인증 방법에 관한 것으로서, (1) 사용자로부터 일회용 비밀번호 생성에 기초 정보로 활용되는 시드값을 생성하는 단계와, (2) SMS 또는 무선 통신을 이용하여 메인서버로부터 클라이언트의 맥어드레스(MAC Address)를 확인하는 클라이언트 맥어드레스 인증단계와, (3) 상기 인증된 클라이언트 맥어드레스를 이용하여 사용자 로그인에 필요한 일회용 비밀번호를 생성하고 이를 이용하여 사용자를 인증하는 단계를 포함한다.
one time password, phishing, MAC Address, 맥어드레스, OTP, 일회용 비밀번호, 피싱, 해킹, 금융 거래, 뱅킹

Description

클라이언트 맥 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치{Apparatus and Method for Creating OTP using authentication method of Client MAC Address}
본 발명은 특정 클라이언트에서만 사용할 수 있는 일회용 비밀번호 생성 및 인증에 관한 것으로 더욱 상세하게는 개인정보를 불법으로 얻으려는 피셔(Phisher)가 불특정 다수에게 이메일을 보내 네티즌 금융정보 등을 빼내는 신종 금융사기 기법인 피싱(Phishing) 기법 등의 해킹 공격을 방지하기 위한 일회용 비밀번호 생성 및 인증에 관한 시스템 및 방법에 관한 것이다.
무인 현금 인출기, 인터넷 뱅킹 그리고 폰 뱅킹 등의 금융 거래에 있어서 거래 당사자가 본인인지를 확인하는 인증 수단으로서 비밀 번호가 널리 사용되고 있다. 사용자에 의해 입력된 비밀번호는 통신망을 통하여 메인서버 등에 전달되고 메인서버는 입력된 비밀 번호가 등록된 비밀 번호와 동일한 지 여부를 판단하여 인증하게 된다. 그러나 통신망을 통한 비밀 번호 전송 과정에서 문제가 발생하여 비밀 번호가 유출될 경우 금융 거래의 신뢰성을 확보할 수 없다.
그래서, 이러한 문제점을 방지하기 위하여 일회용 비밀 번호 즉 OTP(One-time Password)가 사용되고 있다. OTP 서비스는 매번 로그인 시마다 무작위적으로 생성되는 난수를 비밀번호로 사용함으로써 일회용으로만 쓸 수 있기 때문에 통신망을 통해 제삼자에게 유출되더라도 제삼자가 사용할 수 없는 것으로 판단되어 안전한 것으로 여겨져 왔다.
그러나, 2006년 7월경 미국 시티은행에서 "피싱(Phishing)"에 의한 해킹으로 금융거래가 뚫리는 사건으로 인해 OTP 방식이 결코 100% 안전하지는 않은 것으로 확인되었다. 시티은행 해킹 사건은 해커가 만든 피싱 사이트에 사용자들이 OTP를 입력, 이를 가로챈 해커가 인증 유효 시간 이전에 해당 인증 번호로 은행 계좌에 침투한 사건이다. 이와 같은 피싱 공격(Real Time Phishing Attack)은 OTP라 할지라도 극복하기 어려운데, 이는 OTP뿐만 아니라 웹 상에 정보를 입력해야 하는 모든 시스템이 극복하기 어려운 보안 취약점이다.
이를 해결하기 위한 방식으로 피싱방지를 위한 일회용 비밀번호 생성방법에 대한 특허(한국 출원번호 10-2009-0022386, 미공개)와 클라이언트 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치에 대한 특허(한국 출원번호 10-2009-0054692, 미공개)를 본 발명자는 이미 출원한 바 있다. 그러나, 상기 방식은 클라이언트의 IP Address 위/변조에 대해서 취약한 보안 취약점을 가지고 있다.
향후 IPv6에서는 이러한 문제점이 보완될 예정이나 IPv4에서는 여전히 문제로 남아 있다.
상기한 문제점을 해결하기 위하여 본 발명은 클라이언트 맥어드레스를 확인하고 이를 이용해 일회용 비밀번호를 생성함으로써 피셔(Phisher)와 같은 해커(Hacker)가 일회용 비밀번호를 불법으로 확보하더라도 사용자의 클라이언트가 아닌 해커(Hacker)의 클라이언트에서는 사용할 수 없게 함으로써 피싱(Phishing)과 같은 해킹(Hacking)공격으로부터의 보안성을 훨씬 높인 일회용 비밀 번호 생성 방법 및 장치를 제공하는 것을 목적으로 한다.
자동으로 클라이언트 맥어드레스를 확인하여 일회용 비밀번호를 생성하는 방법은 이전에 IP Address를 확인하는 방법과 같이 크게 두 가지로 구현될 수 있는데, 두 가지 방식 모두 무선통신을 통한 클라이언트 맥어드레스 정보의 전달과 유선통신을 통한 OTP 전달을 통해 유/무선 네트워크를 동시에 사용하여 사용자를 인증하는 방법을 사용함으로써 더욱 보안성을 강화한 것이 특징이다.
첫 번째 방법은 SMS를 이용하는 것으로 일회용 비밀번호 서버와, 메인 서버와, 비밀번호 입력을 필요로 하는 클라이언트(사용자 PC 또는 이동통신단말기 등)와, 이동통신단말기와, SMS 전송을 위한 SMS Gateway와, 상기 일회용 비밀번호 서버, 메인 서버, 클라이언트, 이동통신단말기 및 SMS Gateway를 연결하는 네트워크 를 포함하는 환경에서, (1) 사용자로부터 클라이언트 또는 이동통신 단말기를 통해 일회용 비밀번호 사용을 위해 사용되는 시드값을 입력 받는 단계와, (2) 상기 시드값을 일회용 비밀 번호 서버에 기록하는 단계와, (3) 사용자가 상기 시드값과 일회용 비밀번호 생성 프로그램을 사용자의 이동통신 단말기로 내려 받는 단계로 구성된 시드값 생성 단계와, (1) 사용자가 클라이언트에서 메인서버로 클라이언트의 맥어드레스를 확인하는 요청을 하는 단계와, (2) 메인서버에서 클라이언트의 맥어드레스를 확인하여 일회용 비밀번호 서버에 전송하는 단계와, (3) 일회용 비밀번호서버에 기록되어 있는 시드값, 일회용 비밀번호 발급 시간 정보, 클라이언트 맥어드레스 정보 및 메인서버의 IP Address 또는 URL을 기초로 일방향 해쉬 함수를 사용하여 클라이언트 맥어드레스 확인을 위한 일회용 비밀번호를 일회용 비밀번호 서버에서 생성하는 단계와, (4) 메인서버에서 상기 과정에 의해 획득된 일회용 비밀번호를 일회용 비밀번호 서버로부터 받아서 클라이언트 맥어드레스, 메인서버의 IP Address 또는 URL 정보와 함께 SMS Gateway를 통해 이동통신단말기로 전송하는 단계와, (5) 사용자가 이동통신단말기에서 일회용 비밀번호 생성 프로그램을 실시하는 단계와, (6) 실시된 일회용 비밀번호 생성 프로그램이 최신에 받은 SMS문자에서 클라이언트 맥어드레스 인증을 위한 일회용 비밀번호, 클라이언트 맥어드레스 및 서버 IP Address 또는 URL을 확인하는 단계와, (7) SMS 문자에서 확인된 클라이언트 맥어드레스 및 메인서버 IP Address 또는 URL, 그리고 이동통신단말기에 기록되어 있는 시드값 및 일회용 비밀번호 발급 시간 정보를 기초로 일방향 해쉬 함수를 사용하여 이동통신단말기의 일회용 비밀번호 생성 프로그램이 일회용 비밀번호를 생성하는 단계와, (8) 상기 단계에서 생성된 일회용 비밀번호와 SMS 문자로부터 받은 일회용 비밀번호가 일치하는 지를 검증하는 단계와, (9)상기 검증단계에서 일회용 비밀번호가 일치할 경우 클라이언트 맥어드레스를 일회용 비밀번호 생성 프로그램의 데이터 저장위치에 기록하는 단계로 구성된 클라이언트 맥어드레스 인증단계와, (1)사용자의 이동통신단말기의 일회용 비밀번호 생성프로그램을 이용하여 이동통신단말기에 기록되어 있는 클라이언트 맥어드레스와 시드값 및 일회용 비밀번호 발급 시간 정보를 기초로 일방향 해쉬함수를 사용하여 일회용 비밀번호를 생성하는 단계와, (2) 사용자가 기억하고 있던 사용자 ID 및 패스워드, 그리고 이동통신단말기에서 생성된 일회용 비밀번호를 클라이언트에 입력하는 단계와, (3) 메인서버가 클라이언트 맥어드레스를 확인하여 사용자로부터 입력된 일회용 비밀번호와 함께 일회용 비밀번호 서버에 전송하는 단계와, (4) 일회용 비밀번호서버에서 메인서버로부터 받은 클라이언트 맥어드레스와 시드값 및 일회용 비밀번호 발급시간 정보를 기초로 일방향 해쉬함수를 이용해 일회용 비밀번호를 생성하는 단계와, (5) 메인서버로부터 받은 일회용 비밀번호와 일회용 비밀번호 서버에서 생성한 일회용 비밀번호가 일치하는 지를 검증하는 단계와, (6) 상기 검증단계의 일치 여부를 메인서버에 전송하는 단계와, (7) 메인서버에서 상기 단계의 일치 여부에 따라 사용자의 로그인 허가 여부를 결정하는 단계로 구성된 사용자 인증단계를 포함한다.
상기 과정은 크게 시드값 생성단계, IP Address 인증 단계와 사용자 인증단계로 나뉘는데 세 단계들이 반드시 동시에 이뤄져야 하는 것은 아니며 시드값 생성과 맥어드레스 인증단계가 완료된 이후의 사용자 인증 시에는 사용자 인증단계만 별개로 이뤄질 수 있다. 다만, 시드값 생성단계나 맥어드레스 인증 단계가 이전에 이뤄지지 않은 상태에서 사용자 인증단계가 수행될 수는 없다.
또한 상기 과정에서는 사용자가 클라이언트에서 클라이언트의 맥어드레스 확인 요청을 할 때 별도의 인증 과정이 없었으나 사용자 ID와 패스워드로 인증을 받은 후에 확인 요청을 할 수 있게 구성할 수도 있다.
이전에 출원된 내용과 비교해서 볼 때 클라이언트의 IP Address가 맥어드레스로 바뀐 것 외에 다른 특징은 없는 것처럼 보이지만 맥어드레스 확인 과정에서 차이가 발생한다. IP Address의 경우 일반적으로 TCP/IP 통신 하에서는 메인서버에서 클라이언트의 IP Address를 확인하는 것이 간단하다. 하지만, 맥어드레스의 경우 메인서버에서 클라이언트의 맥어드레스를 확인하기 위해서는 별도의 프로그램이 클라이언트에 설치되어야 한다. 이 프로그램은 클라이언트의 맥어드레스를 확인한 후에 메인서버로 전송하는 기능을 수행하는 것으로 Active X와 같이 웹브라우져에 플러그인(Plug-In) 형태로 연결되어 있을 수도 있으며 별도의 프로그램으로 이뤄질 수도 있다. 이 프로그램은 최초에 메인서버에 접속할 때 메인서버로부터 받아서 클라이언트에 설치된다.
이하에서는 상기 인증방식의 알고리즘에 대해서 설명하기로 한다. 기본적으로 사용되는 알고리즘은 일회용비밀번호를 생성하는 알고리즘으로 다음 수학식으로 표현될 수 있다.
OTP_VALUE = H[n](CURRENT_TIME, USER_SEED, MAC_ADDRESS_VALUE)
여기에서 H는 일방향 해쉬 함수이고, n은 해쉬 함수의 수행 횟수이다. 변수(CURRENT_TIME)는 사건 변환 과정에 의해 변환된 시간 정보이며, 변수(USER_SEED)는 최초에 등록된 사용자 시드값이고, 변수(MAC_ADDRESS_VALUE)는 MAC Address값이다. MAC Address의 경우 편리성과 보안을 위하여 해쉬 처리 또는 암호화하여서 사용할 수 있다.
두 번째로 사용하는 알고리즘은 SMS 전송을 통해 클라이언트 맥어드레스를 인증하기 위한 일회용 비밀 번호를 생성하는 방식이다.
맥어드레스 인증과 사용자 로그인에 사용되는 일회용 비밀번호는 최초에 등록된 사용자 시드값, 시간 변환 과정에 의해 변환된 시간 정보, 클라이언트 맥어드레스 정보 및 메인서버 IP Address 또는 URL 정보의 조합에 의해 생성되고 인증되며 이것을 정리하면 아래와 같다.
1. S --> O: Client_MAC_Address, Server_URL, OTP_Value(MAC)
2. O --> C: OTP_Value(User)
3. C --> S: User_ID, Password, OTP_Value(User)
위 식에서 S는 메인서버, O는 OTP를 생성하는 단말기(이동통신단말기 등), C는 클라이언트를 가리키며, Client_MAC Address는 클라이언트의 맥어드레스 값 또는 맥어드레스를 해쉬 처리한 값을, Server_URL은 메인 서버 IP Address 또는 URL 정보를, User_ID는 사용자 로그인 시에 사용되는 사용자의 ID 정보를, Password는 사용자 로그인 시에 사용되는 사용자의 비밀번호 정보를 가리킨다.
위 식에서 사용된 OTP_Value는 아래와 같은 수학식으로 구할 수 있다.
OTP_Value(MAC) = H[n](Current_Time, User_Seed, Client_MAC_Address, Server_URL)
OTP_Value(User) = H[n](Current_Time, User_Seed, Client_MAC_Address)
여기에서 H는 일방향 해쉬 함수이고, n은 해쉬 함수의 수행 횟수이며.변수(USER_SEED)는 최초에 등록된 사용자 시드값을 가리킨다.
OTP_Value(MAC)와 OTP_Value(User)는 Server_URL에서 변수의 차이를 보이는데 그 이유는 동일한 함수로 OTP_Value를 산출할 경우 맥어드레스 인증을 위한 OTP와 사용자 인증을 위한 OTP가 일치할 수 있기 때문에 차이를 두는 것으로 반드시 Server_URL을 사용하는 것이 아니라 Site 명 등의 다른 변수로 대체 가능하며 이렇게 변수를 다른 것으로 대체하였다고 해서 본 발명의 권리 범위를 벗어나는 것은 아니다.
상기 함수는 본 발명의 예시로 표현한 것으로, 일회용 비밀번호를 사용자 비밀번호로만 활용하는 것이 아니라 맥어드레스 인증을 위해 1차로 활용하고 이렇게 획득한 맥어드레스를 기초로 2차로 실제 사용될 일회용 비밀번호를 생성함으로써 생성된 일회용 비밀번호가 특정 시간 및 특정 공간(클라이언트)에서만 제한되게 사용할 수 있게 하여 보안성을 향상시키는 것이 기본 사상이다.
상기 알고리즘은 맥어드레스를 이용해서 인증하는 방식으로 맥어드레스와 IP Address는 상호보완하는 측면을 고려하여 맥어드레스와 IP Address를 모두 고려하여 구현할 수도 있는데 다음과 같은 수학식으로 표현된다.
OTP_VALUE = H[n](CURRENT_TIME, USER_SEED, MAC_ADDRESS_VALUE, IP_Address_VALUE)
상기 식은 OTP 생성 알고리즘으로 IP_Address_Value는 클라이언트의 IP Address이다.
1. S --> O: Client_MAC_Address, Client_IP_Address, Server_URL, OTP_Value(MAC)
2. O --> C: OTP_Value(User)
3. C --> S: User_ID, Password, OTP_Value(User)
상기 식은 클라이언트 어드레스를 인증과 사용자 인증 시 전달되는 방식에 대한 것이며 여기에 사용되는 OTP_Value는 아래와 같은 수학식으로 표현된다.
OTP_Value(MAC) = H[n](Current_Time, User_Seed, Client_MAC_Address, Server_URL)
OTP_Value(User) = H[n](Current_Time, User_Seed, Client_MAC_Address)
두 번째 구현 방법은 첫 번째 방법과 맥어드레스 인증 단계에서만 차이가 있는 것으로 SMS Gateway 대신에 무선 Gateway를 통하여 무선통신을 활용하는 것이 특징이다. 무선 Gateway를 이용한 맥어드레스 인증단계는, (1) 사용자가 클라이언트에서 메인서버로 클라이언트의 맥어드레스를 확인하는 요청을 하는 단계와, (2) 메인서버에서 클라이언트의 맥어드레스를 확인하여 무선 Gateway에 전달하여 데이터베이스에 기록하는 단계와, (3) 사용자가 이동통신단말기에서 일회용 비밀번호 생성 프로그램을 실시하는 단계와, (4) 실시된 일회용 비밀번호 생성 프로그램이 무선 Gateway에 접속하여 이전 단계에서 기록한 클라이언트 맥어드레스를 확인하여 일회용 비밀번호 생성 프로그램의 데이터 저장위치에 기록하는 단계로 구성되어 있다.
상기 방식에서 클라이언트의 맥어드레스는 메인서버에 저장될 수도 있으며 이러한 경우에는 일회용 비밀번호 생성 프로그램이 무선 Gateway를 통해 메인서버에 직접 클라이언트의 맥어드레스를 요청하게 된다.
상기 과정에서 일회용 비밀번호 생성 프로그램은 프로그램 내에 무선 Gateway의 도메인 정보를 가지고 있기 때문에 사용자가 별도로 URL을 입력할 필요가 없으며 보안을 위하여 무선 Gateway로부터 클라이언트 맥어드레스를 가져 오는 과정에서 인증 절차를 추가로 수행할 수도 있다.
본 발명은 OTP 생성에 있어서 기존의 시간 동기 방식에 클라이언트 맥어드레스 값을 추가하여 보안성을 높일 수 있는 방법으로 클라이언트의 맥어드레스 확인을 자동으로 수행할 수 있도록 하여 사용자의 편의성을 확보함으로써 시스템으로 구성하기 용이하게 하였다. 이러한 방법으로 생성된 사용자 인증용 OTP값 내에 포함된 클라이언트 맥어드레스 정보는 실제 사용자가 사용하는 클라이언트에서만 OTP 를 사용할 수 있게 하여 피셔(Phisher) 등의 해커(Hacker)와 같은 악의를 가진 제 삼자가 OTP를 확보한다 하더라도 클라이언트 맥어드레스가 달라서 사용하기 어렵게 된다.
결국 본 발명은 특정 사용자가 정해진 시간 내에 정해진 공간(클라이언트)에서만 일회용 비밀번호를 사용할 수 있게 하는 과정을 쉽게 시스템으로 구성할 수 있도록 하여서 종래의 기술이 구현하지 못한 높은 보안성을 확보하게 되었다.
이와 같이 맥어드레스를 이용하여 일회용 비밀번호를 생성하는 방법은 기존에 출원한 IP Address를 이용하여 인증한 방법과 효과면에서 비슷하나 맥어드레스의 변조가 좀 더 어려워서 보안이 강화되는 효과가 있다.
이와 같이 상호 보완하는 특징 때문에 클라이언트 IP Address와 맥어드레스를 모두 확인하여 같은 과정으로 인증을 수행할 수 있게 구성이 가능하다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 설명하면 다음과 같다.
첫 번째 방법인 SMS 전송을 이용한 방식의 전체 시스템 구성도는 도1과 같다. SMS 전송을 받는 이동통신단말기(10)와, 비밀번호를 입력하게 되는 클라이언트(20)와, 메인서버(30)와, 일회용 비밀번호 서버(40)와, SMS를 전송하는 SMS Gateway(50)를 포함한다.
이러한 구성의 OTP 생성 및 인증 방식은 도2와 같이 도시될 수 있으며, (1) 사용자가 클라이언트 맥어드레스 확인을 요청하는 단계(S210)와, (2) 메인서버에서 클라이언트의 맥어드레스를 확인하여 일회용 비밀번호 서버에 전송하는 단계(S215)와, (3) 일회용 비밀번호서버에 기록되어 있는 시드값, 일회용 비밀번호 발급 시간 정보, 클라이언트 맥어드레스 정보 및 메인서버의 IP Address 또는 URL을 기초로 일방향 해쉬 함수를 사용하여 클라이언트 맥어드레스 확인을 위한 일회용 비밀번호를 일회용 비밀번호 서버에서 생성하는 단계(S220)와, (4) 메인서버에서 상기 단계에서 생성된 일회용 비밀번호를 일회용 비밀번호 서버로부터 받아서 클라이언트 맥어드레스, 메인서버의 IP Address 또는 URL 정보와 함께 SMS Gateway로 전송하는 단계(S225)와, (5) SMS Gateway에서 이동통신단말기로 상기 정보를 SMS로 전송하는 단계(S230)와, (6) 사용자가 이동통신단말기에서 일회용 비밀번호 생성 프로그램을 실시하는 단계(S235)와, (7) 실시된 일회용 비밀번호 생성 프로그램이 최신에 받은 SMS문자에서 클라이언트 맥어드레스 인증을 위한 일회용 비밀번호, 클라이언트 맥어드레스 및 메인서버 IP Address 또는 URL을 확인하는 단계(S235)와, (7) SMS 문자에서 확인된 클라이언트 맥어드레스 및 메인서버 IP Address 또는 URL, 그리고 이동통신단말기에 기록되어 있는 시드값 및 일회용 비밀번호 발급 시간 정보를 기초로 일방향 해쉬 함수를 사용하여 이동통신단말기의 일회용 비밀번호 생성 프로그램이 일회용 비밀번호를 생성하는 단계(S240)와, (8) 상기 단계에서 생성된 일회용 비밀번호와 SMS 문자로부터 받은 일회용 비밀번호가 일치하는 지를 검증하는 단계(S245)와, (9)상기 검증단계에서 일회용 비밀번호가 일치할 경우 클라이언트 맥어드레스를 일회용 비밀번호 생성 프로그램의 데이터 저장 위치에 기록하는 단계(S250)와, (10)사용자의 이동통신단말기의 일회용 비밀번호 생성프로그램을 이용하여 이동통신단말기에 기록되어 있는 클라이언트 맥어드레스와 시드값 및 일회용 비밀번호 발급 시간 정보를 기초로 사용자 인증용 일회용 비밀번호를 생성하는 단계(S255)와, (11) 사용자가 사용자 ID, 패스워드 및 이동통신단말기에서 생성된 일회용 비밀번호를 클라이언트에 입력하여 메인서버에 전송하는 단계(S260)와, (12) 메인서버가 클라이언트 맥어드레스를 확인하여 사용자로부터 입력된 일회용 비밀번호, 사용자 ID와 함께 일회용 비밀번호 서버에 전송하는 단계(S265)와, (13) 일회용 비밀번호서버에서 메인서버로부터 받은 클라이언트 맥어드레스와 사용자 ID에 해당하는 시드값 및 일회용 비밀번호 발급시간 정보를 기초로 일방향 해쉬함수를 이용해 일회용 비밀번호를 생성하여 메인서버로부터 받은 일회용 비밀번호와 일치하는 지를 검증하는 단계(S270)와, (14) 상기 검증단계의 일치 여부를 메인서버에 전송하는 단계(S275)와, (15) 메인서버에서 일치 여부에 따라 사용자의 로그인 허가 여부를 결정하는 단계(S280)를 포함한다.
상기 단계 중 (1)단계에서 (9)단계는 최초로 사용하게 되는 클라이언트를 등록할 때만 적용되며 그 이후의 사용자 인증 시에는 즐겨찾기 형태로 클라이언트 ㅁ맥어드레스를 선택함으로써 생략될 수 있다.
즐겨찾기를 사용할 경우의 일회용 비밀번호 생성 프로그램 화면은 도 3과 같이 구성될 수 있다. 맥어드레스 신규 등록 요청을 하여 SMS를 받았을 경우에는 (1)맥어드레스 신규 등록을 선택하여 맥어드레스를 등록하고, 기존에 등록된 맥어드레 스를 사용할 경우는 등록된 맥어드레스 번호를 선택하여 OTP를 바로 생성할 수도 있다. 이 때 맥어드레스 대신에 집이나 사무실과 같은 사용자가 인식하기 편리한 문자로 대체 가능하다.
두 번째 구현 방법인 무선 Gateway를 이용한 방식의 전체 시스템 구성도는 도4와 같다. SMS 전송을 받는 이동통신단말기(10)와, 비밀번호를 입력하게 되는 클라이언트(20)와, 메인서버(30)와, 일회용 비밀번호 서버(40)와, 무선통신과 유선통신을 연계하는 무선 Gateway(50)를 포함한다.
이러한 구성방식의 OTP 생성 및 인증 방식은 도5와 같이 도시될 수 있으며, (1) 사용자가 클라이언트 맥어드레스 확인을 요청하는 단계(S510)와, (2) 메인서버에서 클라이언트의 맥어드레스를 확인하여 무선 Gateway에 전달하는 단계(S515)와, (3)무선 Gateway에서 상기 전달받은 클라이언트 맥어드레스를 데이터베이스에 기록하는 단계(S520)와, (4) 사용자가 이동통신단말기에서 일회용 비밀번호 생성 프로그램을 실시하는 단계(S525)와, (5) 실시된 일회용 비밀번호 생성 프로그램이 무선 Gateway에 접속하여 사용자 클라이언트의 맥어드레스를 요청하는 단계(S530)와, (6) 무선 Gateway가 기록되어 있는 사용자 클라이언트의 맥어드레스를 데이터베이스에서 검색하여 이동통신 단말기로 전송하는 단계(S535)와, (7) 상기 방식으로 확인된 클라이언트 맥어드레스를 일회용 비밀번호 생성프로그램의 저장위치에 기록하는 단계(S540)와, (8) 이동통신단말기에 기록되어 있는 시드값, 클라이언트 맥어드레스 및 일회용 비밀번호 발급 시간 정보를 기초로 일방향 해쉬 함수를 사용하여 이동통신단말기의 일회용 비밀번호 생성 프로그램이 사용자 인증용 일회용 비밀번호를 생성하는 단계(S545)와, (9) 사용자가 사용자 ID, 패스워드 및 이동통신단말기에서 생성된 일회용 비밀번호를 클라이언트에 입력하여 메인서버에 전송하는 단계(S550)와, (10) 메인서버가 클라이언트 맥어드레스와 사용자 ID를 확인하여 사용자로부터 입력된 일회용 비밀번호와 함께 일회용 비밀번호 서버에 전송하는 단계(S555)와, (11) 일회용 비밀번호서버에서 메인서버로부터 받은 클라이언트 맥어드레스와 사용자 ID에 해당하는 시드값 및 일회용 비밀번호 발급시간 정보를 기초로 일방향 해쉬함수를 이용해 일회용 비밀번호를 생성하여 메인서버로부터 받은 일회용 비밀번호와 일치하는 지를 검증하는 단계(S560)와, (12) 상기 검증단계의 일치 여부를 메인서버에 전송하는 단계(S565)와, (13) 메인서버에서 일치 여부에 따라 사용자의 로그인 허가 여부를 결정하는 단계(S570)를 포함한다.
도1은 본 발명의 예시로 구현된 SMS 전송을 이용한 클라이언트 맥어드레스 인증방식의 일회용 비밀번호 생성 및 인증 시스템의 전체 구성도
도2는 본 발명의 예시로 구현된 SMS 전송을 이용한 클라이언트 맥어드레스 인증방식의 일회용 비밀번호 생성 및 인증 방법의 흐름도
도3은 본 발명의 예시로 구현된 이동통신단말기의 일회용 생성프로그램의 즐겨찾기 화면
도4는 본 발명의 예시로 구현된 무선통신을 이용한 클라이언트 맥어드레스 인증방식의 일회용 비밀번호 생성 및 인증 시스템의 전체 구성도
도5는 본 발명의 예시로 구현된 무선통신을 이용한 클라이언트 맥어드레스 인증방식의 일회용 비밀번호 생성 및 인증 시스템의 전체 구성도

Claims (4)

  1. 일회용 비밀번호 서버와, 메인 서버와, 비밀번호 입력을 필요로 하는 클라이언트(사용자 PC 또는 이동통신단말기 등)와, 이동통신단말기와, SMS 전송을 위한 SMS Gateway와, 상기 일회용 비밀번호 서버, 메인 서버, 클라이언트, 이동통신단말기 및 SMS Gateway를 연결하는 네트워크를 포함하는 환경에서,
    사용자로부터 일회용 비밀번호 생성에 기초 정보로 활용되는 시드값을 생성하는 단계와, SMS 전송을 이용하여 메인서버로부터 클라이언트의 맥어드레스를 확인하는 클라이언트 맥어드레스 인증단계와, 상기 인증된 클라이언트 맥어드레스를 이용하여 사용자 로그인에 필요한 일회용 비밀번호를 생성하고 이를 이용하여 사용자를 인증하는 단계를 포함하며,
    상기 시드값 생성단계는, 사용자로부터 클라이언트 또는 이동통신 단말기를 통해 일회용 비밀번호 사용을 위해 사용되는 시드값을 입력 받는 단계와, 상기 시드값을 일회용 비밀 번호 서버에 기록하는 단계와, 사용자가 상기 시드값과 일회용 비밀번호 생성 프로그램을 사용자의 이동통신 단말기로 내려 받는 단계로 구성되며,
    상기 클라이언트 맥어드레스 인증단계는, 사용자가 클라이언트에서 메인서버로 클라이언트의 맥어드레스를 확인하는 요청을 하는 단계와, 메인서버에서 클라이언트의 맥어드레스를 확인하여 일회용 비밀번호 서버에 전송하는 단계와, 일회용 비밀번호서버에 기록되어 있는 시드값, 일회용 비밀번호 발급 시간 정보, 클라이언 트 맥어드레스 정보 및 메인서버의 IP Address 또는 URL을 기초로 일방향 해쉬 함수를 사용하여 클라이언트 맥어드레스 확인을 위한 일회용 비밀번호를 일회용 비밀번호 서버에서 생성하는 단계와, 메인서버에서 상기 과정에 의해 획득된 일회용 비밀번호를 일회용 비밀번호 서버로부터 받아서 클라이언트 맥어드레스, 메인서버의 IP Address 또는 URL 정보와 함께 SMS Gateway를 통해 이동통신단말기로 전송하는 단계와, 사용자가 이동통신단말기에서 일회용 비밀번호 생성 프로그램을 실시하는 단계와, 실시된 일회용 비밀번호 생성 프로그램이 최신에 받은 SMS문자에서 클라이언트 맥어드레스 인증을 위한 일회용 비밀번호, 클라이언트 맥어드레스 및 서버 IP Address 또는 URL을 확인하는 단계와, SMS 문자에서 확인된 클라이언트 맥어드레스 및 메인서버 IP Address 또는 URL, 그리고 이동통신단말기에 기록되어 있는 시드값 및 일회용 비밀번호 발급 시간 정보를 기초로 일방향 해쉬 함수를 사용하여 이동통신단말기의 일회용 비밀번호 생성 프로그램이 일회용 비밀번호를 생성하는 단계와, 상기 단계에서 생성된 일회용 비밀번호와 SMS 문자로부터 받은 일회용 비밀번호가 일치하는 지를 검증하는 단계와, 상기 검증단계에서 일회용 비밀번호가 일치할 경우 클라이언트 맥어드레스를 일회용 비밀번호 생성 프로그램의 데이터 저장위치에 기록하는 단계로 구성되며,
    상기 사용자 인증단계는, 사용자의 이동통신단말기의 일회용 비밀번호 생성프로그램을 이용하여 이동통신단말기에 기록되어 있는 클라이언트 맥어드레스와 시드값 및 일회용 비밀번호 발급 시간 정보를 기초로 일방향 해쉬함수를 사용하여 일회용 비밀번호를 생성하는 단계와, 사용자가 기억하고 있던 사용자 ID와 패스워드, 그리고 이동통신단말기에서 생성된 일회용 비밀번호를 클라이언트에 입력하는 단계와, 메인서버가 클라이언트 맥어드레스를 확인하여 사용자로부터 입력된 일회용 비밀번호와 함께 일회용 비밀번호 서버에 전송하는 단계와, 일회용 비밀번호서버에서 메인서버로부터 받은 클라이언트 맥어드레스, 시드값 및 일회용 비밀번호 발급시간 정보를 기초로 일방향 해쉬함수를 이용해 일회용 비밀번호를 생성하는 단계와, 메인서버로부터 받은 일회용 비밀번호와 일회용 비밀번호 서버에서 생성한 일회용 비밀번호가 일치하는 지를 검증하는 단계와, 상기 검증단계의 일치 여부를 메인서버에 전송하는 단계와, 메인서버에서 상기 단계의 일치 여부에 따라 사용자의 로그인 허가 여부를 결정하는 단계로 구성되는,
    일회용 비밀번호 생성 및 인증 방법 또는 그 방법을 구현하는 시스템
  2. 제 1항에 있어서, SMS Gateway 대신에 무선 Gateway로 구성된 환경에서,
    클라이언트 맥어드레스 인증단계가, 사용자가 클라이언트에서 메인서버로 클라이언트의 맥어드레스를 확인하는 요청을 하는 단계와, 메인서버에서 클라이언트의 맥어드레스를 확인하여 무선 Gateway에 전달하여 데이터베이스에 기록하는 단계와, 사용자가 이동통신단말기에서 일회용 비밀번호 생성 프로그램을 실시하는 단계와, 실시된 일회용 비밀번호 생성 프로그램이 무선 Gateway에 접속하여 상기 단계에서 기록한 클라이언트 맥어드레스를 확인하여 일회용 비밀번호 생성 프로그램의 데이터 저장위치에 기록하는 단계로 구성되는,
    일회용 비밀번호 생성 및 인증 방법 또는 그 방법을 구현하는 시스템
  3. 일회용 비밀번호 서버와, 메인 서버와, 비밀번호 입력을 필요로 하는 클라이언트(사용자 PC 또는 이동통신단말기 등)와, 이동통신단말기와, SMS 전송을 위한 SMS Gateway와, 상기 일회용 비밀번호 서버, 메인 서버, 클라이언트, 이동통신단말기 및 SMS Gateway를 연결하는 네트워크를 포함하는 환경에서,
    사용자로부터 일회용 비밀번호 생성에 기초 정보로 활용되는 시드값을 생성하는 단계와, SMS 전송을 이용하여 메인서버로부터 클라이언트의 IP Address와 맥어드레스를 확인하는 클라이언트 어드레스 인증단계와, 상기 인증된 클라이언트 맥어드레스와 IP Address를 이용하여 사용자 로그인에 필요한 일회용 비밀번호를 생성하고 이를 이용하여 사용자를 인증하는 단계를 포함하며,
    상기 시드값 생성단계는, 사용자로부터 클라이언트 또는 이동통신 단말기를 통해 일회용 비밀번호 사용을 위해 사용되는 시드값을 입력 받는 단계와, 상기 시드값을 일회용 비밀 번호 서버에 기록하는 단계와, 사용자가 상기 시드값과 일회용 비밀번호 생성 프로그램을 사용자의 이동통신 단말기로 내려 받는 단계로 구성되며,
    상기 클라이언트 어드레스 인증단계는, 사용자가 클라이언트에서 메인서버로 클라이언트의 맥어드레스와 IP Address를 확인하는 요청을 하는 단계와, 메인서버에서 클라이언트의 맥어드레스와 IP Address를 확인하여 일회용 비밀번호 서버에 전송하는 단계와, 일회용 비밀번호서버에 기록되어 있는 시드값, 일회용 비밀번호 발급 시간 정보, 클라이언트 맥어드레스와 IP Address 정보 및 메인서버의 IP Address 또는 URL을 기초로 일방향 해쉬 함수를 사용하여 클라이언트 어드레스 확인을 위한 일회용 비밀번호를 일회용 비밀번호 서버에서 생성하는 단계와, 메인서버에서 상기 과정에 의해 획득된 일회용 비밀번호를 일회용 비밀번호 서버로부터 받아서 클라이언트 맥어드레스와 IP Address, 메인서버의 IP Address 또는 URL 정보와 함께 SMS Gateway를 통해 이동통신단말기로 전송하는 단계와, 사용자가 이동통신단말기에서 일회용 비밀번호 생성 프로그램을 실시하는 단계와, 실시된 일회용 비밀번호 생성 프로그램이 최신에 받은 SMS문자에서 클라이언트 어드레스 인증을 위한 일회용 비밀번호, 클라이언트 맥어드레스와 IP Address 및 서버 IP Address 또는 URL을 확인하는 단계와, SMS 문자에서 확인된 클라이언트 맥어드레스와 IP Address 및 메인서버 IP Address 또는 URL, 그리고 이동통신단말기에 기록되어 있는 시드값 및 일회용 비밀번호 발급 시간 정보를 기초로 일방향 해쉬 함수를 사용하여 이동통신단말기의 일회용 비밀번호 생성 프로그램이 일회용 비밀번호를 생성하는 단계와, 상기 단계에서 생성된 일회용 비밀번호와 SMS 문자로부터 받은 일회용 비밀번호가 일치하는 지를 검증하는 단계와, 상기 검증단계에서 일회용 비밀번호가 일치할 경우 클라이언트 맥어드레스와 IP Address를 일회용 비밀번호 생성 프로그램의 데이터 저장위치에 기록하는 단계로 구성되며,
    상기 사용자 인증단계는, 사용자의 이동통신단말기의 일회용 비밀번호 생성프로그램을 이용하여 이동통신단말기에 기록되어 있는 클라이언트 맥어드레스, IP Address와 시드값 및 일회용 비밀번호 발급 시간 정보를 기초로 일방향 해쉬함수를 사용하여 일회용 비밀번호를 생성하는 단계와, 사용자가 기억하고 있던 사용자 ID 와 패스워드, 그리고 이동통신단말기에서 생성된 일회용 비밀번호를 클라이언트에 입력하는 단계와, 메인서버가 클라이언트 맥어드레스와 IP Address를 확인하여 사용자로부터 입력된 일회용 비밀번호와 함께 일회용 비밀번호 서버에 전송하는 단계와, 일회용 비밀번호서버에서 메인서버로부터 받은 클라이언트 맥어드레스와 IP Address, 시드값 및 일회용 비밀번호 발급시간 정보를 기초로 일방향 해쉬함수를 이용해 일회용 비밀번호를 생성하는 단계와, 메인서버로부터 받은 일회용 비밀번호와 일회용 비밀번호 서버에서 생성한 일회용 비밀번호가 일치하는 지를 검증하는 단계와, 상기 검증단계의 일치 여부를 메인서버에 전송하는 단계와, 메인서버에서 상기 단계의 일치 여부에 따라 사용자의 로그인 허가 여부를 결정하는 단계로 구성되는,
    일회용 비밀번호 생성 및 인증 방법 또는 그 방법을 구현하는 시스템
  4. 제 3항에 있어서, SMS Gateway 대신에 무선 Gateway로 구성된 환경에서,
    클라이언트 어드레스 인증단계가, 사용자가 클라이언트에서 메인서버로 클라이언트의 맥어드레스와 IP Address를 확인하는 요청을 하는 단계와, 메인서버에서 클라이언트의 맥어드레스와 IP Address를 확인하여 무선 Gateway에 전달하여 데이터베이스에 기록하는 단계와, 사용자가 이동통신단말기에서 일회용 비밀번호 생성 프로그램을 실시하는 단계와, 실시된 일회용 비밀번호 생성 프로그램이 무선 Gateway에 접속하여 상기 단계에서 기록한 클라이언트 맥어드레스와 IP Address를 확인하여 일회용 비밀번호 생성 프로그램의 데이터 저장위치에 기록하는 단계로 구 성되는,
    일회용 비밀번호 생성 및 인증 방법 또는 그 방법을 구현하는 시스템
KR1020090077340A 2009-08-20 2009-08-20 클라이언트 맥 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치 KR20110019684A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090077340A KR20110019684A (ko) 2009-08-20 2009-08-20 클라이언트 맥 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090077340A KR20110019684A (ko) 2009-08-20 2009-08-20 클라이언트 맥 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20110019684A true KR20110019684A (ko) 2011-02-28

Family

ID=43776949

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090077340A KR20110019684A (ko) 2009-08-20 2009-08-20 클라이언트 맥 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치

Country Status (1)

Country Link
KR (1) KR20110019684A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190066470A (ko) * 2017-12-05 2019-06-13 주식회사 코스콤 일회성 패스워드를 생성하고 검증하는 방법과 그 장치
US11372966B2 (en) 2017-06-16 2022-06-28 Hanwha Techwin Co., Ltd. Image processing apparatus, authentication apparatus, and user authentication method of image processing apparatus

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11372966B2 (en) 2017-06-16 2022-06-28 Hanwha Techwin Co., Ltd. Image processing apparatus, authentication apparatus, and user authentication method of image processing apparatus
KR20190066470A (ko) * 2017-12-05 2019-06-13 주식회사 코스콤 일회성 패스워드를 생성하고 검증하는 방법과 그 장치

Similar Documents

Publication Publication Date Title
US9900163B2 (en) Facilitating secure online transactions
US8245030B2 (en) Method for authenticating online transactions using a browser
KR101019458B1 (ko) 확장된 일회용 암호 방법 및 장치
CN103391197B (zh) 一种基于手机令牌和NFC技术的Web身份认证方法
US20100050243A1 (en) Method and system for trusted client bootstrapping
CN105516163B (zh) 一种登录方法及终端设备及通信系统
US9635022B2 (en) Method of allowing establishment of a secure session between a device and a server
US20090025080A1 (en) System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access
JP2017521934A (ja) クライアントとサーバとの間の相互検証の方法
Bojjagani et al. PhishPreventer: a secure authentication protocol for prevention of phishing attacks in mobile environment with formal verification
KR20100136572A (ko) 클라이언트 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치
JP4698751B2 (ja) アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
Rao et al. Authentication using mobile phone as a security token
JP5186648B2 (ja) 安全なオンライン取引を容易にするシステム及び方法
KR20100104161A (ko) 피싱 방지를 위한 일회용 비밀번호 생성 방법 및 장치
KR100750214B1 (ko) 공인 인증서를 이용한 로그인 방법
KR20120122185A (ko) 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 및 시스템
Raddum et al. Security analysis of mobile phones used as OTP generators
KR20110019684A (ko) 클라이언트 맥 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치
Deeptha et al. Extending OpenID connect towards mission critical applications
CN107360132B (zh) 一种防止会话重演的方法及系统
Chen et al. SSL/TLS session-aware user authentication using a gaa bootstrapped key
WO2010070456A2 (en) Method and apparatus for authenticating online transactions using a browser
Chhabra et al. Strong authentication system along with virtual private network: A secure cloud solution for cloud computing
Iso et al. A Proposal and Implementation of an ID Federation that Conceals a Web Service from an Authentication Server

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application