KR20130085492A - 일회용 id를 이용한 인증 시스템 및 방법 - Google Patents

일회용 id를 이용한 인증 시스템 및 방법 Download PDF

Info

Publication number
KR20130085492A
KR20130085492A KR1020110132071A KR20110132071A KR20130085492A KR 20130085492 A KR20130085492 A KR 20130085492A KR 1020110132071 A KR1020110132071 A KR 1020110132071A KR 20110132071 A KR20110132071 A KR 20110132071A KR 20130085492 A KR20130085492 A KR 20130085492A
Authority
KR
South Korea
Prior art keywords
authentication
otid
client terminal
user
time
Prior art date
Application number
KR1020110132071A
Other languages
English (en)
Inventor
이형규
석성우
김가규
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020110132071A priority Critical patent/KR20130085492A/ko
Priority to US13/676,732 priority patent/US20130152179A1/en
Publication of KR20130085492A publication Critical patent/KR20130085492A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명에서는 일회용 ID를 이용한 인증에 있어서, 사용자의 ID를 로그인할 때마다 또는 주기적으로 갱신하고 과거에 사용된 ID를 폐기함으로써 사용자 ID 정보가 유출되더라도 이 정보를 이용하여 명의 도용 등의 불법적인 사용이 불가능하게 할 수 있으며, 이에 따라 사용자 정보 해킹에 따른 피해 및 사회적 비용을 현저히 낮출 수 있다. 또한, 사용중인 ID간 동일성 또는 유사성이 존재하지 않도록 하여 한 개인의 사용자 ID간 유사성이 사라지고 익명성을 제공함으로써 사회공학적인 방법에 의한 사용자 신원 추적이나 개인 정보 추측의 가능성이 낮아지도록 한다. 또한, 장기적으로는 개인정보의 유효기간이 극도로 짧아짐에 따라 개인 신상 정보 해킹을 통한 이득이 사라지게 됨으로써 해킹 시도의 동기도 적어지게 되며, 해킹으로 인해 ID와 비밀키가 노출되더라도 공격자는 세션마다 새로운 일회성 ID를 얻을 수 없으므로 로긴에 성공할 수 없게 된다. 따라서 현재 사회적 문제가 되고 있는 포털 등 주요 사이트의 해킹 문제로 야기되는 사용자 정보의 유출문제에 효과적으로 대응할 수 있다.

Description

일회용 ID를 이용한 인증 시스템 및 방법{AUTHENTICATION SYSTEM AND METHOD BY USE OF NON-FIXED USER ID}
본 발명은 인터넷(internet)에서 사용자 개인 정보 보호에 관한 것으로, 특히 사용자가 웹 서비스(web service) 로그인(log-in)에 사용하는 ID(indentity)를 로그인할 때마다 또는 특정 주기에 맞춰 변경하고 과거의 ID를 폐기함으로써, 사용중인 ID간 동일성 또는 유사성이 존재하지 않도록 하여 사이트(site)에 저장된 사용자의 로그인 ID 등의 개인 정보가 유출되더라도 유출된 정보를 이용한 악의적 명의 도용의 위험을 제거시키고, 유출된 정보의 유용성을 저하시킴으로써 해킹(hacking)의 발생 가능성을 감소시킬 수 있도록 하는 일회용 ID를 이용한 인증 시스템 및 방법에 관한 것이다.
일반적으로, 사용자 인증에서 사용되는 방식은 인증서, ID, 패스워드(password), 스마트카드(smart card), 생체정보 인식 등을 이용한다.
이중 인터넷에서 주로 이용되는 방식은 ID/패스워드 방식이며, 일부 보안이 중요한 서비스의 경우에는 인증서 방식이 사용되고 있고, 또한, 사용자 개인정보 보호를 위해 주민등록번호 대체 수단으로 i-pin이 사용되고 있다.
하지만 위와 같은 인터넷에서의 인증수단으로 사용되는 ID/패스워드 방식에서는 사용자 ID가 항상 공개되며 지속적으로 사용되어 해킹 발생 시 보안이 취약하다는 문제점이 있었다.
또한, 일반적으로 개인 사용자는 복수의 웹 서비스에 가입 시 편리성을 위해 동일하거나 비슷한 ID를 사용하는 경우가 많기 때문에 공개되는 ID는 해커 등의 공겨자들에게 유용한 정보가 될 수 있다.
최근 소셜 네트워크 서비스 등이 등장하면서 이러한 ID 정보는 사회공학적인 방법에 의해 여러 사이트에서 사용자의 개인 정보를 추출하고 조합하는데 연결고리를 제공할 수 있기 때문에 ID 보호의 중요성은 점점 높아지고 있다.
즉, 웹 포털 등 개인정보가 대량으로 축적된 사이트가 해커들의 공격 목표가 되면서 개인정보의 대량 유출사고가 발생하고 이로 인해 개인 정보의 변경 필요성 등 사회적 비용이 크게 발생하고 있는 상황이다.
대한민국 등록특허번호 10-0765735호 등록일자 2007년 10월 04일에는 인터넷을 통한 사용자 정보 보호 시스템 및 그 방법에 관한 기술이 개시되어 있다.
또한, 개인 정보 중에서 특히 중요한 주민등록번호의 유출을 막기 위해서 사용되고 있는 i-pin 역시 한번 발급되면 재발급 전까지는 지속적으로 사용되기 때문에 악의적인 공격으로부터 개인 정보를 보호하기 위한 효율적인 방법을 제공하지는 못하고 있다.
따라서, 본 발명은 사용자가 웹 서비스 로그인에 사용하는 ID를 로그인할 때마다 또는 특정 주기에 맞춰 변경하고 과거의 ID를 폐기함으로써, 사용중인 ID간 동일성 또는 유사성이 존재하지 않도록 하여 사이트에 저장된 사용자의 로그인 ID 등의 개인 정보가 유출되더라도 유출된 정보를 이용한 악의적 명의 도용의 위험을 제거시키고, 유출된 정보의 유용성을 저하시킴으로써 해킹의 발생 가능성을 감소시킬 수 있도록 하는 일회용 ID를 이용한 인증 시스템 및 방법을 제공하고자 한다.
상술한 본 발명은 일회용 ID를 이용한 인증 시스템으로서, 인증에 사용할 n개의 일회용 ID(OTID)를 생성한 후, 인증 세션마다 n개의 OTID중 하나를 순차적으로 선택하여 사용자 ID로 사용하는 클라이언트 단말과, 상기 클라이언트 단말로부터 상기 n개의 OTID를 수신하여 저장하고, 상기 클라이언트 단말로부터 인증 요청에 따라 n개의 OTID중 선택된 하나의 OTID와 비밀키가 전송되는 경우 상기 OTID를 DB(data base)에서 조회하고 상기 조회된 OTID에 연계되어 저장된 비밀키와 상기 수신된 비밀키가 일치하는지를 검사하여 인증을 수행하는 인증 서버를 포함한다.
또한, 상기 클라이언트 단말은, 상기 한번 사용된 사용자 ID는 폐기하여 다음 인증 세션에서는 사용되지 않도록 하는 것을 특징으로 한다.
또한, 상기 클라이언트 단말은, 사용자 ID와 일회용 랜덤수(OTR)를 해시함수의 입력으로 사용하여 n개의 일회용 ID(OTID)를 생성하는 것을 특징으로 한다.
또한, 상기 클라이언트 단말은, 상기 OTID와 비밀키, 사용자 정보를 네트워크상 인증서버에 전송하여 등록과정을 수행하고, (n-1)번째 OTID(1)과 비밀키를 전송하여 인증을 요청하고, 인증이 성공된 경우 OTID(1)을 폐기하고 다음 세션에는 (n-2)번째 OTID(2)를 사용자 ID로 사용하여 인증을 요청하는 것을 특징으로 한다.
또한, 상기 인증 서버는, 상기 클라이언트 단말로부터 일회용 ID인 n개의 OTID와 비밀키, 사용자 정보를 전송받아 사용자 등록과정을 수행하고, 상기 클라이언트 단말의 인증 요청에 따라 상기 (n-1)번째 OTID(1)과 비밀키를 수신하는 경우, 상기 OTID(1)를 통해 OTID를 계산하고, 상기 계산된 OTID를 DB에서 조회하여 상기 조회된 OTID에 연계된 비밀키와 상기 클라이언트 단말로부터 전송된 비밀키가 일치하는지를 검사하여 인증을 수행하는 것을 특징으로 한다.
또한, 본 발명은 일회용 ID를 이용한 인증 방법으로서, 클라이언트 단말에서 인증에 사용할 n개의 일회용 ID(OTID)를 생성하는 단계와, 상기 클라이언트 단말에서 네트워크상 인증 서버와의 인증 세션마다 n개의 OTID중 하나를 순차적으로 선택하여 사용자 ID로 사용하는 단계와, 상기 클라이언트 단말로부터 상기 n개의 OTID를 수신하여 저장하는 단계와, 상기 인증 서버에서 상기 클라이언트 단말의 인증 요청을 수신하는 단계와, 상기 클라이언트 단말로부터 인증 요청에 따라 n개의 OTID중 선택된 하나의 OTID와 비밀키를 수신하는 단계와, 상기 OTID를 DB에서 조회하고 상기 조회된 OTID에 연계되어 저장된 비밀키와 상기 수신된 비밀키가 일치하는지를 검사하여 인증을 수행하는 단계를 포함한다.
또한, 상기 사용자 ID로 사용하는 단계에서, 상기 한번 사용된 사용자 ID는 폐기하여 다음 인증 세션에서는 사용되지 않도록 하는 것을 특징으로 한다.
또한, 상기 일회용 ID 생성단계에서, 사용자 ID와 일회용 랜덤수(OTR)를 해시함수의 입력으로 사용하여 n개의 일회용 ID(OTID)를 생성하는 것을 특징으로 한다.
또한, 상기 사용자 ID로 사용하는 단계는, 상기 OTID와 비밀키, 사용자 정보를 네트워크상 인증서버에 전송하여 등록과정을 수행하는 단계와, 상기 등록 성공 후, (n-1)번째 OTID(1)과 비밀키를 전송하여 인증을 요청하는 단계와, 상기 인증이 성공된 경우 OTID(1)을 폐기하고 다음 세션에는 (n-2)번째 OTID(2)를 사용자 ID로 사용하여 인증을 요청하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 인증을 수행하는 단계는, 상기 클라이언트 단말로부터 일회용 ID인 n개의 OTID와 비밀키, 사용자 정보를 전송받아 저장하는 단계와, 상기 클라이언트 단말의 인증 요청에 따라 상기 (n-1)번째 OTID(1)과 비밀키를 수신하는 단계와, 상기 OTID(1)를 통해 OTID를 계산하고, 상기 계산된 OTID를 DB에서 조회하는 단계와, 상기 조회된 OTID에 연계된 비밀키와 상기 클라이언트 단말로부터 전송된 비밀키가 일치하는지를 검사하여 인증을 수행하는 단계를 포함하는 것을 특징으로 한다.
본 발명은 일회용 ID를 이용한 인증에 있어서, 사용자의 ID를 로그인할 때마다 또는 주기적으로 갱신하고 과거에 사용된 ID를 폐기함으로써 사용자 ID 정보가 유출되더라도 이 정보를 이용하여 명의 도용 등의 불법적인 사용이 불가능하게 할 수 있으며, 이에 따라 사용자 정보 해킹에 따른 피해 및 사회적 비용을 현저히 낮출 수 있는 이점이 있다.
또한, 사용중인 ID간 동일성 또는 유사성이 존재하지 않도록 하여 한 개인의 사용자 ID간 유사성이 사라지고 익명성을 제공함으로써 사회공학적인 방법에 의한 사용자 신원 추적이나 개인 정보 추측의 가능성이 낮아지는 이점이 있다.
또한, 장기적으로는 개인정보의 유효기간이 극도로 짧아짐에 따라 개인 신상 정보 해킹을 통한 이득이 사라지게 됨으로써 해킹 시도의 동기도 적어지게 되며, 해킹으로 인해 ID와 비밀키가 노출되더라도 공격자는 세션마다 새로운 일회성 ID를 얻을 수 없으므로 로긴에 성공할 수 없게 된다. 따라서 현재 사회적 문제가 되고 있는 포털 등 주요 사이트의 해킹 문제로 야기되는 사용자 정보의 유출문제에 효과적으로 대응할 수 있는 이점이 있다.
도 1은 본 발명의 실시예에 따른 일회용 ID를 이용한 인증 시스템의 구성도,
도 2는 본 발명의 실시예에 따른 일회용 ID를 이용한 인증 제어 절차 흐름도.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
도 1은 본 발명의 실시 예에 따른 일회용 ID를 이용한 인증 시스템의 구성을 도시한 것이다.
이하, 도 1을 참조하여 본 발명의 인증 시스템의 각 구성요소에서의 동작을 상세히 설명하기로 한다.
먼저, 본 발명은 초기 등록과정과 로그인(log-in) 과정으로 나눌 수 있다. 초기 등록 과정은 일반적으로 웹 회원 가입 절차와 같이 사용자 등록을 하는 과정을 말한다.
사용자 초기 등록 과정은 일반적인 사용자 정보와 인증과정에 요구되는 정보로 이루어지며, 인증정보는 사용자 ID(identity)와 일회용 랜덤수(OTR), 비밀키로 이루어진다.
사용자 ID는 일회용 ID를 만들기 위한 입력정보로써 초기 등록 과정에서만 요구된다. 클라이언트 단말(100)에서 일회용 ID는 사용자 ID와 랜덤수를 해시함수의 입력으로 사용하여 일회용 ID의 사용 주기를 고려한 n회 반복연산에 의해 나온 결과값을 사용한다. 이때, 클라이언트 단말(100)은 n번째 나온 결과값을 초기 일회용 ID로 인증 서버(102)에 등록하게 되며, 로그인시에는 (n-1), (n-2)의 내림차순 순서로 각 로그인시마다 결과값을 일회용 ID로 사용하게 된다.
인증 서버(102)의 초기 등록 과정은 웹 사이트에서의 일반적인 회원가입 절차와 유사하다. 인증 서버(102)는 사용자로부터 전송된 사용자 정보와 인증정보를 분리하여 내부적으로 관리한다. 인증정보에서 전송받은 n번째 결과값인 일회용 ID와 비밀키를 DB(data base)(104)에 저장한 후, 사용자가 로그인시에 일회용 ID와 비밀키를 전송하면, 전송받은 일회용 ID를 해시함수의 입력으로 해서 나온 결과값을 인증 서버(102)에 저장된 초기 등록 과정의 일회용 ID 정보와 비교하여 사용자를 찾아내고 비밀키를 확인하여 인증절차를 수행하게 된다.
도 2는 본 발명의 실시예에 따른 인증 시스템에서 일회용 ID를 의 구성을 도시한 것이다.
먼저, 클라이언트 단말(100)은 랜덤넘버 생성기를 이용하여 일회용 랜덤수인 OTR을 생성한다(S200). 이어, 사용자 ID를 입력받고, 사용자 ID와 OTR를 해시함수의 입력으로 사용하여 일회용 ID의 사용주기를 고려한 해시함수(H)를 H(...H(H(사용자 ID, OTR)))의 방식으로 n회 반복연산하고, OTID=
Figure pat00001
, OTID(1)=
Figure pat00002
등으로 n개의 OTID를 생성한다(S202).
이어, 클라이언트 단말(100)은 초기 등록 과정에서 사용자 정보와 n개의 OTID, 비밀키를 인증 서버(102)로 전송한다(S204).
그러면, 인증 서버(102)는 클라이언트 단말(100)로부터 전송받은 사용자 정보, OTID, 비밀키를 DB(104)에 저장시키고, 전송받은 OTID와 비밀키를 이용하여 사용자를 등록시킨 후(S206), 등록완료 메시지를 클라이언트 단말(100)로 전송시킨다(S208). 이때, 인증 서버(102)는 OTID, 비밀키에 대한 정보와 사용자 정보를 DB(104) 상 서로 분리되게 저장시킨다.
위와 같이, 인증 서버(102)로부터 등록완료 메시지를 수신하는 경우 클라이언트 단말(100)은 접속하려는 서비스 서버(service server) 주소를 인덱스(index)로하여 OTID(1)을 조회한다. 즉, 클라이언트 단말(100)은 사용자 ID와 랜덤수(OTR)를 해시함수의 입력으로 사용하여 일회용 ID(OTID)의 사용 주기를 고려한 n회 반복연산에 의해 나온 결과값을 일회용 ID로 사용하며, 일회용 ID를 인증 서버(102)에 등록하게 되며, 로그인시에는 (n-1)번째인 OTID를 OTID(1), (n-2)번째인 OTID를 OTID(2) 등의 결과값을 내림차순 순서로 각 로그인 시마다 일회용 ID로 사용하게 됨은 전술한 바와 같다.
이에 따라, 클라이언트 단말(100)은 OTID(1)을 조회하고, 조회된 OTID(1)과 비밀키를 인증 서버(102)로 전송하여 인증을 요청하게 된다(S210).
그러면, 인증 서버(102)는 클라이언트 단말(100)로부터 인증 요청을 수신하고, 인증 요청시 클라이언트 단말(100)로부터 전송된 일회용 ID인 OTID(1)를 통해 OTID=H(OTID(1)) 방식으로 OTID를 계산하고, 계산된 OTID로 DB(104)에 저장된 동일한 OTID를 조회하고, 조회된 OTID에 해당하는 비밀키와 클라이언트 단말(100)로부터 전송받은 비밀키가 일치하는지 여부를 검사하는 과정을 포함하여 인증을 수행한다(S212).
이때, 인증 서버(102)는 클라이언트 단말(100)에서 전송한 비밀키와 조회된 OTID와 연계되어 저장된 비밀키가 서로 일치하는 경우 인증 성공을 판단하여 인증 성공 시 DB(104)상 저장된 OTID를 폐기하고, OTID(1)으로 대체시킨다(S214). 이어, 인증 서버(102)는 인증 성공에 따른 인증 성공 메시지를 클라이언트 단말(100)로 전송한다(S216).
위와 같이, 인증 서버(102)로부터 인증 성공 메시지가 전송되는 경우, 클라이언트 단말(100)은 인증 성공 메시지를 수신하고(S218), 접속하고자 하는 서비스 서버에 접속한 후(S220), 서비스 세션이 끝나면 OTID(1)을 폐기하고(S224), 다음 세션에는 OTID(2)를 사용하게 된다(S226). 즉, 클라이언트 단말은 새로운 세션마다 반복적으로 OTID(n-1)까지 일회용 ID로 로그인 과정을 수행하고, 룰(rule)을 설정하여 n개의 OTID가 다 사용되기 전에 새로운 등록 과정을 수행하도록 한다.
한편, 클라이언트 단말과 인증 서버간 동기화 방법에 있어서, 클라이언트 단말과 인증 서버사이의 세션이 불완전하게 끝난 경우, 클라이언트 단말과 인증 서버는 서로의 인증 세션에 대한 종료를 상호확인 하여야 한다. 이러한 상호확인은 클라이언트 단말과 인증 서버간 OTID를 업데이트(update) 하기 전에 이루어져야 한다. 또 다른 방식은 클라이언트 단말이 보내오는 OTID를 정해진 범위 내에서 반복 해시함수를 적용하여 인증 서버의 DB에 저장된 OTID와 매칭되는게 있는 경우 인증 성공 후 업데이트하는 방식이다. 이러한 두 가지 방식은 적절히 사용하여 클라이언트 단말과 인증 서버간 동기화를 수행할 수 있다.
상기한 바와 같이 본 발명에서는 일회용 ID를 이용한 인증에 있어서, 사용자의 ID를 로그인할 때마다 또는 주기적으로 갱신하고 과거에 사용된 ID를 폐기함으로써 사용자 ID 정보가 유출되더라도 이 정보를 이용하여 명의 도용 등의 불법적인 사용이 불가능하게 할 수 있으며, 이에 따라 사용자 정보 해킹에 따른 피해 및 사회적 비용을 현저히 낮출 수 있다. 또한, 사용중인 ID간 동일성 또는 유사성이 존재하지 않도록 하여 한 개인의 사용자 ID간 유사성이 사라지고 익명성을 제공함으로써 사회공학적인 방법에 의한 사용자 신원 추적이나 개인 정보 추측의 가능성이 낮아지도록 한다. 또한, 장기적으로는 개인정보의 유효기간이 극도로 짧아짐에 따라 개인 신상 정보 해킹을 통한 이득이 사라지게 됨으로써 해킹 시도의 동기도 적어지게 되며, 해킹으로 인해 ID와 비밀키가 노출되더라도 공격자는 세션마다 새로운 일회성 ID를 얻을 수 없으므로 로긴에 성공할 수 없게 된다. 따라서 현재 사회적 문제가 되고 있는 포털 등 주요 사이트의 해킹 문제로 야기되는 사용자 정보의 유출문제에 효과적으로 대응할 수 있다.
한편 상술한 본 발명의 설명에서는 구체적인 실시예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
100 : 클라이언트 단말 102 : 인증 서버
104 : DB

Claims (10)

  1. 인증에 사용할 n개의 일회용 ID(OTID)를 생성한 후, 인증 세션마다 n개의 OTID중 하나를 순차적으로 선택하여 사용자 ID로 사용하는 클라이언트 단말과,
    상기 클라이언트 단말로부터 상기 n개의 OTID를 수신하여 저장하고, 상기 클라이언트 단말로부터 인증 요청에 따라 n개의 OTID중 선택된 하나의 OTID와 비밀키가 전송되는 경우 상기 OTID를 DB(data base)에서 조회하고 상기 조회된 OTID에 연계되어 저장된 비밀키와 상기 수신된 비밀키가 일치하는지를 검사하여 인증을 수행하는 인증 서버
    를 포함하는 일회용 ID를 이용한 인증 시스템.
  2. 제 1 항에 있어서,
    상기 클라이언트 단말은,
    상기 한번 사용된 사용자 ID는 폐기하여 다음 인증 세션에서는 사용되지 않도록 하는 일회용 ID를 이용한 인증 시스템.
  3. 제 1 항에 있어서,
    상기 클라이언트 단말은,
    사용자 ID와 일회용 랜덤수(OTR)를 해시함수의 입력으로 사용하여 n개의 일회용 ID(OTID)를 생성하는 일회용 ID를 이용한 인증 시스템.
  4. 제 1 항에 있어서,
    상기 클라이언트 단말은,
    상기 OTID와 비밀키, 사용자 정보를 네트워크상 인증서버에 전송하여 등록과정을 수행하고, (n-1)번째 OTID(1)과 비밀키를 전송하여 인증을 요청하고, 인증이 성공된 경우 OTID(1)을 폐기하고 다음 세션에는 (n-2)번째 OTID(2)를 사용자 ID로 사용하여 인증을 요청하는 일회용 ID를 이용한 인증 시스템.
  5. 제 1 항에 있어서,
    상기 인증 서버는,
    상기 클라이언트 단말로부터 일회용 ID인 n개의 OTID와 비밀키, 사용자 정보를 전송받아 사용자 등록과정을 수행하고, 상기 클라이언트 단말의 인증 요청에 따라 상기 (n-1)번째 OTID(1)과 비밀키를 수신하는 경우, 상기 OTID(1)를 통해 OTID를 계산하고, 상기 계산된 OTID를 DB에서 조회하여 상기 조회된 OTID에 연계된 비밀키와 상기 클라이언트 단말로부터 전송된 비밀키가 일치하는지를 검사하여 인증을 수행하는 일회용 ID를 이용한 인증 시스템.
  6. 클라이언트 단말에서 인증에 사용할 n개의 일회용 ID(OTID)를 생성하는 단계와,
    상기 클라이언트 단말에서 네트워크상 인증 서버와의 인증 세션마다 n개의 OTID중 하나를 순차적으로 선택하여 사용자 ID로 사용하는 단계와,
    상기 클라이언트 단말로부터 상기 n개의 OTID를 수신하여 저장하는 단계와,
    상기 인증 서버에서 상기 클라이언트 단말의 인증 요청을 수신하는 단계와,
    상기 클라이언트 단말로부터 인증 요청에 따라 n개의 OTID중 선택된 하나의 OTID와 비밀키를 수신하는 단계와,
    상기 OTID를 DB에서 조회하고 상기 조회된 OTID에 연계되어 저장된 비밀키와 상기 수신된 비밀키가 일치하는지를 검사하여 인증을 수행하는 단계
    를 포함하는 일회용 ID를 이용한 인증 방법.
  7. 제 6 항에 있어서,
    상기 사용자 ID로 사용하는 단계에서,
    상기 한번 사용된 사용자 ID는 폐기하여 다음 인증 세션에서는 사용되지 않도록 하는 일회용 ID를 이용한 인증 방법.
  8. 제 6 항에 있어서,
    상기 일회용 ID 생성단계에서,
    사용자 ID와 일회용 랜덤수(OTR)를 해시함수의 입력으로 사용하여 n개의 일회용 ID(OTID)를 생성하는 일회용 ID를 이용한 인증 방법.
  9. 제 6 항에 있어서,
    상기 사용자 ID로 사용하는 단계는,
    상기 OTID와 비밀키, 사용자 정보를 네트워크상 인증서버에 전송하여 등록과정을 수행하는 단계와,
    상기 등록 성공 후, (n-1)번째 OTID(1)과 비밀키를 전송하여 인증을 요청하는 단계와,
    상기 인증이 성공된 경우 OTID(1)을 폐기하고 다음 세션에는 (n-2)번째 OTID(2)를 사용자 ID로 사용하여 인증을 요청하는 단계
    를 포함하는 일회용 ID를 이용한 인증 방법.
  10. 제 6 항에 있어서,
    상기 인증을 수행하는 단계는,
    상기 클라이언트 단말로부터 일회용 ID인 n개의 OTID와 비밀키, 사용자 정보를 전송받아 저장하는 단계와,
    상기 클라이언트 단말의 인증 요청에 따라 상기 (n-1)번째 OTID(1)과 비밀키를 수신하는 단계와,
    상기 OTID(1)를 통해 OTID를 계산하고, 상기 계산된 OTID를 DB에서 조회하는 단계와,
    상기 조회된 OTID에 연계된 비밀키와 상기 클라이언트 단말로부터 전송된 비밀키가 일치하는지를 검사하여 인증을 수행하는 단계
    를 포함하는 일회용 ID를 이용한 인증 방법.
KR1020110132071A 2011-12-09 2011-12-09 일회용 id를 이용한 인증 시스템 및 방법 KR20130085492A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020110132071A KR20130085492A (ko) 2011-12-09 2011-12-09 일회용 id를 이용한 인증 시스템 및 방법
US13/676,732 US20130152179A1 (en) 2011-12-09 2012-11-14 System and method for user authentication using one-time identification

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110132071A KR20130085492A (ko) 2011-12-09 2011-12-09 일회용 id를 이용한 인증 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20130085492A true KR20130085492A (ko) 2013-07-30

Family

ID=48573327

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110132071A KR20130085492A (ko) 2011-12-09 2011-12-09 일회용 id를 이용한 인증 시스템 및 방법

Country Status (2)

Country Link
US (1) US20130152179A1 (ko)
KR (1) KR20130085492A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015099287A1 (ko) * 2013-12-23 2015-07-02 주식회사 이노스코리아 일회용 비밀 번호를 이용하는 사용자 인증 방법 및 그 장치
KR20220060813A (ko) * 2020-11-05 2022-05-12 주식회사 엘지유플러스 모바일 폰과 인포테인먼트 장치의 끊김없는(seamless) 콘텐츠 제공 시스템 및 방법과, 그를 위한 인포테인먼트 장치

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015225792B3 (de) * 2015-12-17 2017-04-13 Volkswagen Aktiengesellschaft Verfahren und ein System zur geschützten Kommunikation zwischen einer mit einem Smartphone gekoppelten mobilen Einheit und einem Server
GB2554082B (en) * 2016-09-15 2019-09-18 Gurulogic Microsystems Oy User sign-in and authentication without passwords

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7114080B2 (en) * 2000-12-14 2006-09-26 Matsushita Electric Industrial Co., Ltd. Architecture for secure remote access and transmission using a generalized password scheme with biometric features
US20070061868A1 (en) * 2005-08-03 2007-03-15 Aladdin Knowledge Systems Ltd. One-time password client
WO2007038896A2 (en) * 2005-10-05 2007-04-12 Privasphere Ag Method and devices for user authentication
JP3996939B2 (ja) * 2006-03-30 2007-10-24 株式会社シー・エス・イー オフラインユーザ認証システム、その方法、およびそのプログラム
US8683562B2 (en) * 2011-02-03 2014-03-25 Imprivata, Inc. Secure authentication using one-time passwords
US8640214B2 (en) * 2011-03-07 2014-01-28 Gemalto Sa Key distribution for unconnected one-time password tokens

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015099287A1 (ko) * 2013-12-23 2015-07-02 주식회사 이노스코리아 일회용 비밀 번호를 이용하는 사용자 인증 방법 및 그 장치
KR20220060813A (ko) * 2020-11-05 2022-05-12 주식회사 엘지유플러스 모바일 폰과 인포테인먼트 장치의 끊김없는(seamless) 콘텐츠 제공 시스템 및 방법과, 그를 위한 인포테인먼트 장치

Also Published As

Publication number Publication date
US20130152179A1 (en) 2013-06-13

Similar Documents

Publication Publication Date Title
CN108810029B (zh) 一种微服务架构服务间鉴权系统及优化方法
US9350548B2 (en) Two factor authentication using a protected pin-like passcode
ES2818199T3 (es) Método de verificación de seguridad con base en una característica biométrica, un terminal de cliente y un servidor
US9009463B2 (en) Secure delivery of trust credentials
US11336641B2 (en) Security enhanced technique of authentication protocol based on trusted execution environment
WO2017059741A1 (zh) 基于认证设备进行认证的方法和设备
CN108259502B (zh) 用于获取接口访问权限的鉴定方法、服务端及存储介质
CN106161350B (zh) 一种管理应用标识的方法及装置
US20160205098A1 (en) Identity verifying method, apparatus and system, and related devices
CN108737326B (zh) 用于进行令牌验证的方法、系统、装置及电子设备
US10147092B2 (en) System and method for signing and authenticating secure transactions through a communications network
KR101744747B1 (ko) 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법
CN108243176B (zh) 数据传输方法和装置
CN112313648A (zh) 认证系统、认证方法、应用提供装置、认证装置以及认证用程序
JP2007529935A (ja) 匿名認証方法
CN109040060B (zh) 终端匹配方法和系统、计算机设备
CN106209730B (zh) 一种管理应用标识的方法及装置
CN111800276B (zh) 业务处理方法及装置
CN106209793A (zh) 一种身份验证方法及验证系统
CN105119716A (zh) 一种基于sd卡的密钥协商方法
CN113536250A (zh) 令牌生成方法、登录验证方法及相关设备
KR20130085492A (ko) 일회용 id를 이용한 인증 시스템 및 방법
CN114501431A (zh) 报文传输方法、装置、存储介质及电子设备
Tan et al. Securing password authentication for web-based applications
CN108306881A (zh) 一种身份验证方法和装置

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid