KR20130113910A - Apparatus and method for protecting access certification data - Google Patents

Apparatus and method for protecting access certification data Download PDF

Info

Publication number
KR20130113910A
KR20130113910A KR1020120070167A KR20120070167A KR20130113910A KR 20130113910 A KR20130113910 A KR 20130113910A KR 1020120070167 A KR1020120070167 A KR 1020120070167A KR 20120070167 A KR20120070167 A KR 20120070167A KR 20130113910 A KR20130113910 A KR 20130113910A
Authority
KR
South Korea
Prior art keywords
authentication information
segment
user terminal
information segment
encrypted
Prior art date
Application number
KR1020120070167A
Other languages
Korean (ko)
Other versions
KR101443309B1 (en
Inventor
임남숙
권미경
Original Assignee
임남숙
권미경
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 임남숙, 권미경 filed Critical 임남숙
Publication of KR20130113910A publication Critical patent/KR20130113910A/en
Application granted granted Critical
Publication of KR101443309B1 publication Critical patent/KR101443309B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

PURPOSE: An access authentication information protection device and a method thereof are provided to perfectly prevent the leakage of access authentication information. CONSTITUTION: An access authentication information protection device (400) includes a communication unit (410) and an authentication unit (450). When a first authentication information segment receives a first encryption segment from a first user terminal of a user who wants to receive online services, the authentication unit authenticates the received first encryption segment. The communication unit transmits the stored second authentication information received from a second user terminal to the first user terminal when an authentication process is approved. [Reference numerals] (410) Communication unit; (420) Storage unit; (430) Control unit; (440) Message generation unit; (450) Authentication unit; (460) Radom number generation unit

Description

접속 인증정보를 보호하는 장치 및 방법{Apparatus and method for protecting access certification data}[0001] Apparatus and method for protecting access authentication information [0002]

본 발명은 접속 인증정보를 보호하는 장치 및 방법에 관한 것으로서, 더욱 상세하게는 사용자 단말기로 입력된 일부의 접속 인증정보를 인증하고 그 결과에 따라 나머지 접속 인증정보를 사용자 단말기로 송신하여 사용자 단말기가 원래의 접속 인증정보를 복원하고 이를 이용하여 네트워크상에서 인증받을 수 있도록 하는 접속 인증정보를 보호하는 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for protecting connection authentication information, and more particularly, to an apparatus and method for protecting connection authentication information by authenticating a part of connection authentication information input to a user terminal and transmitting remaining connection authentication information to a user terminal, And more particularly, to an apparatus and method for protecting connection authentication information for restoring original connection authentication information and enabling authentication on a network using the same.

과거 특정 부류에만 국한된 인터넷이 웹의 구현을 통해 널리 퍼지게 되면서, 디지털 산업 전반에 많은 영향을 미치게 되었다. 인터넷을 기반으로 하는 서비스와 인터넷을 통해 유통되는 컨텐츠는 21세기 디지털 산업의 척도가 되고 있으며, 여기에 인터넷 망의 초고속화, 휴대용 단말기, 노트북 등을 통해 컨텐츠의 멀티미디어화가 이루어지면서, 이제 멀티미디어는 선택이 아닌 필수 사항으로 자리잡게 되었다.In the past, the Internet, which is limited to specific categories, has become widespread through the implementation of the web, which has had a great impact on the overall digital industry. Internet-based services and content distributed via the Internet are becoming a measure of the digital industry in the 21st century. Multimedia has become the multimedia content through the internet network, mobile terminals and notebooks. But it became a necessity.

오늘날은 정보의 시대로 불려질 만큼 정보에 대한 요구가 급증하고 있으며, 정보의 바다로 비유되는 인터넷에 접속하여 필요한 정보를 획득하는 일이 일상화되어 가고 있는 것이다.Today, there is a growing demand for information to be called the age of information, and accessing the Internet, which is likened to the sea of information, is getting more and more common.

이와 같이, 인터넷을 통하여 사용자들은 다양한 정보를 획득할 수 있는 반면, 경우에 따라서는 자신의 개인 정보를 제공하여야 할 수도 있다. 예를 들어, 사용자는 특정 웹 사이트에 접속하기 위하여 자신의 이름, 주민등록번호 또는 로그인 패스워드 등을 입력하여야 하는 것이다.In this way, users can acquire various information through the Internet, but in some cases, they may have to provide their personal information. For example, a user must enter his or her name, resident registration number, or login password to access a specific web site.

그런데, 이러한 개인 정보는 외부 유출이 반드시 제한되어야 함에도 불구하고 외부로 유출될 수가 있다. 예를 들어, 불법적인 화면 캡처 프로그램이나 키 캡처 프로그램 등이 이용되어 사용자가 입력하는 개인 정보가 악의적인 정보 수집자에게 전달될 수 있는 것이다.However, such personal information may be leaked to the outside despite the fact that the outside leak must be restricted. For example, an illegal screen capture program or a key capture program may be used to allow personal information entered by a user to be transmitted to a malicious information collector.

이와 같은 개인 정보의 유출을 방지하기 위하여 다양한 방식이 적용되고는 있으나, 그에 따라 불법적인 정보 수집 기술도 발전하고 있는 실정이다.Various methods have been applied to prevent such leakage of personal information, but illegal information collection techniques have been developed accordingly.

따라서, 네트워크에 접속함에 있어서 입력하여야 하는 개인 정보가 보다 안전하게 보호될 수 있도록 하는 발명의 등장이 요구된다.Therefore, the emergence of an invention that enables personal information to be input when connecting to a network to be protected more safely is required.

한국공개특허 10-2007-0029537호Korean Patent Publication No. 10-2007-0029537

본 발명은 사용자 단말기로 입력된 일부의 접속 인증정보를 인증하고 그 결과에 따라 나머지 접속 인증정보를 사용자 단말기로 송신하여 사용자 단말기가 원래의 접속 인증정보를 복원하고 이를 이용하여 네트워크상에서 인증받을 수 있도록 하는데 그 목적이 있다.According to the present invention, there is provided a method for authenticating a part of connection authentication information input to a user terminal and transmitting the remaining connection authentication information to a user terminal so that the user terminal can restore the original connection authentication information, It has its purpose.

본 발명의 목적들은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The objects of the present invention are not limited to the above-mentioned objects, and other objects not mentioned can be clearly understood by those skilled in the art from the following description.

상기 목적을 달성하기 위하여, 본 발명의 실시예에 따른 접속 인증정보를 보호하는 장치는 온라인 서비스를 제공받고자 하는 사용자의 제 1 사용자 단말기로부터 제 1 인증정보 세그먼트가 암호화된 제 1 암호화 세그먼트를 수신하는 경우 상기 수신된 제 1 암호화 세그먼트를 인증하는 인증부, 및 상기 인증이 성공하는 경우 상기 사용자의 제 2 사용자 단말기로부터 수신되어 저장된 제 2 인증정보 세그먼트를 상기 제 1 사용자 단말기로 송신하는 통신부를 포함하되, 상기 제 1 인증정보 세그먼트 및 상기 제 2 인증정보 세그먼트는 각각 상기 온라인 서비스를 관리하는 서비스 서버에 제공되어야 하는 접속 인증정보를 이용하여 생성된 파생 정보의 일부 및 나머지이다.In order to achieve the above object, an apparatus for protecting connection authentication information according to an exemplary embodiment of the present invention includes a first encryption unit receiving a first encrypted segment encrypted with a first authentication information segment from a first user terminal of a user desiring to receive an online service And a communication unit for transmitting the second authentication information segment received from the second user terminal of the user to the first user terminal when the authentication is successful, , The first authentication information segment and the second authentication information segment are a part and a remainder of the derived information generated using connection authentication information to be provided to a service server managing the online service, respectively.

본 발명의 실시예에 따른 접속 인증정보를 보호하는 방법은 온라인 서비스를 제공받고자 하는 사용자의 제 1 사용자 단말기로부터 제 1 인증정보 세그먼트가 암호화된 제 1 암호화 세그먼트를 수신하는 경우 상기 수신된 제 1 인증정보 세그먼트를 인증하는 단계, 및 상기 인증이 성공하는 경우 상기 사용자의 제 2 사용자 단말기로부터 수신되어 저장된 제 2 인증정보 세그먼트를 상기 제 1 사용자 단말기로 송신하는 단계를 포함하되, 상기 제 1 인증정보 세그먼트 및 상기 제 2 인증정보 세그먼트는 각각 상기 온라인 서비스를 관리하는 서비스 서버에 제공되어야 하는 접속 인증정보를 이용하여 생성된 파생 정보의 일부 및 나머지이다.A method of protecting connection authentication information according to an exemplary embodiment of the present invention includes the steps of: when receiving a first encrypted segment encrypted with a first authentication information segment from a first user terminal of a user desiring to receive an online service, And transmitting a second authentication information segment received and stored from the second user terminal of the user to the first user terminal if the authentication is successful, wherein the first authentication information segment And the second authentication information segment are a part and a remainder of the derived information generated using the access authentication information to be provided to the service server managing the online service, respectively.

기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.The details of other embodiments are included in the detailed description and drawings.

상기한 바와 같은 본 발명의 접속 인증정보를 보호하는 장치 및 방법에 따르면 사용자 단말기에 일부의 접속 인증정보만을 입력하여 이를 인증하고 그 결과에 따라 나머지 접속 인증정보를 사용자 단말기로 송신하여 사용자 단말기가 실시간으로 원래의 접속 인증정보를 복원하고 이를 이용하여 네트워크상에서 인증받을 수 있도록 함으로써 원래의 접속 인증정보를 직접 사용자 단말기에 입력하는 것과 비교하여 접속 인증정보의 외부 유출을 보다 확실하게 방지하는 장점이 있다.According to the apparatus and method for protecting connection authentication information according to the present invention as described above, only a part of connection authentication information is input to the user terminal and the remaining authentication information is transmitted to the user terminal according to the result of authentication, The authentication information can be authenticated on the network by using the original authentication information. Therefore, compared with the case where the original authentication information is input directly to the user terminal, the authentication information can be prevented from being leaked to the outside.

도 1은 본 발명의 실시예에 따른 접속 인증정보를 보호하는 시스템을 나타낸 도면이다.
도 2는 본 발명의 실시예에 따라 접속 인증정보가 암호화되는 것을 나타낸 개념도이다.
도 3은 본 발명의 실시예에 따라 접속 인증정보가 복원되는 것을 나타낸 개념도이다.
도 4는 본 발명의 실시예에 따른 접속 인증정보를 보호하는 장치를 나타낸 도면이다.
도 5는 본 발명의 실시예에 따른 접속 인증정보를 보호하는 과정을 나타낸 흐름도이다.
도 6은 본 발명의 실시예에 따른 암호화 인증정보 생성 프로그램의 실 행 패스워드를 입력하는 것을 나타낸 도면이다.
도 7은 본 발명의 실시예에 따라 접속 인증정보가 암호화되어 암호화 인증정보가 생성된 것을 나타낸 도면이다.1 is a diagram illustrating a system for protecting connection authentication information according to an embodiment of the present invention.
FIG. 2 is a conceptual diagram showing that connection authentication information is encrypted according to an embodiment of the present invention. FIG.
3 is a conceptual diagram illustrating that connection authentication information is restored according to an embodiment of the present invention.
4 is a diagram illustrating an apparatus for protecting connection authentication information according to an embodiment of the present invention.
5 is a flowchart illustrating a process of protecting connection authentication information according to an embodiment of the present invention.
FIG. 6 is a diagram showing input of an execution password of the encrypted authentication information generating program according to the embodiment of the present invention. FIG.
7 is a diagram showing that the connection authentication information is encrypted and the encrypted authentication information is generated according to the embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 실시예에 따른 접속 인증정보를 보호하는 시스템을 나타낸 도면으로서, 접속 인증정보를 보호하는 시스템(100)은 제 1 사용자 단말기(110), 제 2 사용자 단말기(120), 서비스 서버(130) 및 인증정보 보호 서버(140)를 포함하여 구성된다.FIG. 1 illustrates a system for protecting access authentication information according to an embodiment of the present invention. The system 100 for protecting access authentication information includes a first user terminal 110, a second user terminal 120, A server 130 and an authentication information protection server 140.

제 1 사용자 단말기(110)는 네트워크에 접속하여 서비스 서버(130)로부터 온라인 서비스를 제공받을 수 있는 장치를 의미한다.The first user terminal 110 refers to a device capable of accessing a network and receiving an online service from the service server 130.

본 발명에서 서비스 서버(130)가 제 1 사용자 단말기(110)에게 제공하는 온라인 서비스는 인가된 사용자에게만 제공되는 서비스를 의미하는 것으로서 그 종류는 매우 다양하다.In the present invention, the online service provided by the service server 130 to the first user terminal 110 means a service provided only to an authorized user, and the types thereof are very diverse.

예를 들어, 사용자가 어떠한 사이트에서 제공하는 이메일 서비스에 가입하고 있는 경우 사용자는 이-메일(e-mail) 계정 및 패스워드를 입력함으로써 이-메일 서비스를 제공받을 수 있게 되는데, 여기서 이-메일 서비스가 서비스 서버(130)에 의하여 제공되는 온라인 서비스일 수 있는 것이다.For example, when a user subscribes to an e-mail service provided by a site, the user can receive e-mail service by inputting an e-mail account and a password, May be an online service provided by the service server 130.

또한, 하나의 서비스 서버(130)에는 다양한 페이지가 구비될 수 있고 그 중 일부는 인가된 사용자만이 접속 가능할 수 있는데, 이렇게 사용자가 자신을 증명할 수 있는 어떠한 정보를 입력한 이후에만 제공받을 수 있는 서비스가 서비스 서버(130)에 의하여 제공되는 온라인 서비스인 것이다.In addition, a plurality of pages may be provided in one service server 130, and some of them may be accessible only by an authorized user. In this case, the user may be provided only after inputting any information that can prove himself / herself And the service is an online service provided by the service server 130.

서비스 송수신을 위하여 제 1 사용자 단말기(110)와 서비스 서버(130)는 네트워크를 통하여 연결되어 있는데, 제 1 사용자 단말기(110)는 유선으로 네트워크에 접속하는 것이 바람직하나, 이에 한정되지 않고 무선으로 네트워크에 접속할 수도 있다.The first user terminal 110 and the service server 130 are connected to each other through a network in order to transmit and receive a service. It is preferable that the first user terminal 110 connects to a network by wire. However, .

즉, 제 1 사용자가 서비스 서버(130)와의 통신을 위하여 이용하는 통신 방식으로는 이더넷(Ethernet), 공중 교환 전화망(PSTN; Public Switched Telephone Network), 이동 통신망, 무선 랜(Wireless LAN), 블루투스(Bluetooth), Wi-Fi(Wireless Fidelity), UMTS(Universal Mobile Telecommunications System), HSDPA(HSDPA; High Speed Downlink Packet Access), WiBro(Wireless Broadband) 등이 있을 수 있는데, 그 중 이더넷 유선 통신 방식을 이용하는 것이 가장 바람직하다That is, a communication method used by the first user for communication with the service server 130 includes Ethernet, a public switched telephone network (PSTN), a mobile communication network, a wireless LAN, a Bluetooth ), Wi-Fi (Wireless Fidelity), UMTS (Universal Mobile Telecommunications System), HSDPA (High Speed Downlink Packet Access) and WiBro (Wireless Broadband). Among them, desirable

제 1 사용자 단말기(110)에는 네트워크에 접속할 수 있는 통신 수단(미도시) 및 수신된 서비스를 처리할 수 있는 처리 수단(미도시)을 구비하는 것이 바람직한데, 예를 들어 개인용 컴퓨터(PC; Personal Computer), 노트북(Notebook) 또는 셋톱 박스(Set-top box) 등이 본 발명의 제 1 사용자 단말기(110)의 역할을 수행할 수 있다.The first user terminal 110 preferably includes a communication means (not shown) and a processing means (not shown) capable of processing the received service. The first user terminal 110 may be a personal computer Computer, a notebook or a set-top box may serve as the first user terminal 110 of the present invention.

제 2 사용자 단말기(120)는 본 발명의 실시예에 따른 암호화 인증정보 생성 프로그램을 실행시키고, 암호화 인증정보(300)를 생성하는 역할을 수행한다.The second user terminal 120 executes the encrypted authentication information generating program according to the embodiment of the present invention and generates the encrypted authentication information 300.

제 2 사용자 단말기(120)는 사용자로부터 접속 인증정보(200)를 입력받고, 입력된 접속 인증정보(200)를 암호화하여 암호화 인증정보(300)를 생성하는데, 암호화 인증정보(300)의 생성에 대한 자세한 설명은 도 2를 통하여 후술하기로 한다.The second user terminal 120 receives the connection authentication information 200 from the user and encrypts the inputted connection authentication information 200 to generate the encrypted authentication information 300. In the generation of the encrypted authentication information 300 A detailed description will be given later with reference to FIG.

한편, 본 발명에서 제 2 사용자 단말기(120)는 휴대용 단말기일 수 있다. 예를 들어, 휴대폰, 스마트폰 또는 PDA(Personal Digital Assistant) 등이 제 2 사용자 단말기(120)의 역할을 수행할 수 있는 것이다.In the present invention, the second user terminal 120 may be a portable terminal. For example, a mobile phone, a smart phone, a PDA (Personal Digital Assistant), or the like can perform the role of the second user terminal 120.

그러나, 본 발명에서 제 2 사용자 단말기(120)가 휴대용 단말기로 한정되는 것은 아니며, 제 1 사용자 단말기(110)와 마찬가지로 개인용 컴퓨터 또는 셋톱 박스와 같은 고정용 단말기일 수도 있다.However, in the present invention, the second user terminal 120 is not limited to a portable terminal, and may be a fixed terminal such as a personal computer or a set-top box like the first user terminal 110.

인증정보 보호 서버(140)와의 통신을 위하여 제 2 사용자 단말기(120)가 이용하는 네트워크는 무선 네트워크인 것이 바람직하나, 이에 한정되지 않고 유선 네트워크일 수도 있다.The network used by the second user terminal 120 for communication with the authentication information protection server 140 is preferably a wireless network, but is not limited thereto and may be a wired network.

서비스 서버(130)는 네트워크를 통하여 제 1 사용자 단말기(110)로 온라인 서비스를 제공하는 페이지를 관리하는 서버를 의미하는데, 예를 들어 포털 사이트의 서버가 본 발명의 서비스 서버(130)에 대응할 수 있다.The service server 130 is a server that manages a page for providing an online service to the first user terminal 110 through a network. For example, a server of the portal site may correspond to the service server 130 of the present invention have.

즉, 사용자는 자신의 제 1 사용자 단말기(110)를 이용하여 서비스 서버(130)가 관리하는 다양한 페이지에 접속하여 자신이 원하는 정보를 획득할 수 있는 것이다.That is, the user can access various pages managed by the service server 130 using his / her first user terminal 110 to acquire desired information.

그러나, 본 발명의 서비스 서버(130)가 단순히 포털 사이트의 서버에 한정되는 것은 아니며, 인가된 제 1 사용자 단말기(110)에게 서비스를 제공하는 모든 서버가 본 발명의 서비스 서버(130)일 수 있다.However, the service server 130 of the present invention is not limited to the server of the portal site, and all the servers providing the service to the authorized first user terminal 110 may be the service server 130 of the present invention .

서비스 서버(130)는 무조건적으로 제 1 사용자 단말기(110)에게 서비스를 제공하는 것이 아니라 인가된 제 1 사용자 단말기(110)에게만 서비스를 제공한다. 예를 들어, 서비스 서버(130)는 제 1 사용자 단말기(110)가 특정 서비스를 제공받는 것이 허용되어 있는지 여부를 판단한 이후에 해당 서비스를 제공하는 것이다.The service server 130 does not provide the service to the first user terminal 110 unconditionally but provides the service to the authorized first user terminal 110 only. For example, the service server 130 provides a corresponding service after determining whether the first user terminal 110 is allowed to receive a specific service.

이를 위하여, 서비스 서버(130)는 제 1 사용자 단말기(110)로부터 접속 인증정보(200)를 수신하고, 이에 대한 인증을 완료한 이후에 서비스의 제공 여부를 결정할 수 있다.To this end, the service server 130 receives the connection authentication information 200 from the first user terminal 110, and can determine whether to provide the service after the authentication of the connection authentication information 200 is completed.

본 발명에서 접속 인증정보(200)란 포털 사이트의 계정 또는 패스워드일 수 있으며, 공인인증서 패스워드, 은행계좌번호 은행계좌 패스워드, 은행 보안카드 번호, 신용카드 번호, 신용카드 패스워드 등일 수 있으며, 사이트에 가입하고자 하는 사용자의 개인 정보와 같은 이름, 주소, 주민등록 번호, 전화 번호 등이 포함될 수도 있다.In the present invention, the connection authentication information 200 may be an account or password of a portal site, and may be an authorized certificate password, a bank account number bank account password, a bank security card number, a credit card number, a credit card password, A name, an address, a resident registration number, a telephone number, and the like as personal information of a user to be desired.

다시 말해, 사용자는 자신 또는 자신의 단말기인 제 1 사용자 단말기(110)가 서비스를 제공받도록 허용된 것임을 증명하기 위하여 서비스 서버(130)로 증명이 되는 정보를 제공하여야 하는데, 접속 인증정보(200)가 그에 대응하는 것이다.In other words, the user must provide proof information to the service server 130 to prove that the first user terminal 110, which is the terminal itself or the terminal thereof, is allowed to receive the service. .

한편, 해킹 보안 기술의 발전과 함께 해킹 기술도 나날이 발전하고 있다. 이에 따라, 해킹 프로그램이 실행 중이거나 해킹 표적이 된 제 1 사용자 단말기(110)로 사용자가 접속 인증정보(200)를 입력하게 되면, 입력된 접속 인증정보(200)가 외부로 유출될 수도 있게 된다.On the other hand, with the development of hacking security technology, hacking technology is evolving day by day. Accordingly, when the user inputs the connection authentication information 200 to the first user terminal 110 which is being hacked or is being hacked, the inputted connection authentication information 200 may be leaked to the outside .

이를 방지하기 위하여, 본 발명의 실시예에 따른 제 1 사용자 단말기(110)는 사용자로부터 접속 인증정보(200) 중 일부만을 입력받고 나머지는 인증정보 보호 서버(140)를 통하여 전달받아 서비스 서버(130)로 제공한다.In order to prevent this, the first user terminal 110 according to an embodiment of the present invention receives only a part of the connection authentication information 200 from the user and receives the rest of the connection authentication information 200 through the authentication information protection server 140, ).

또한, 제 1 사용자 단말기(110)가 입력받는 접속 인증정보(200)의 일부도 실제의 접속 인증정보(200)를 구성하는 문자가 아니라 제 2 사용자 단말기(120)에 의하여 생성된 암호화 인증정보(300)를 구성하는 일부 문자이다.A part of the connection authentication information 200 to which the first user terminal 110 is input is not the character constituting the actual connection authentication information 200 but the encryption authentication information 300).

즉, 사용자가 제 2 사용자 단말기(120)로 접속 인증정보(200)를 입력하면, 제 2 사용자 단말기(120)의 암호화 인증정보 생성 프로그램이 입력된 접속 인증정보(200)를 암호화하여 암호화 인증정보(300)로 생성하고 이를 2개로 분할하는 것이다.That is, when the user inputs the connection authentication information 200 to the second user terminal 120, the encrypted authentication information generating program of the second user terminal 120 encrypts the entered connection authentication information 200, (300) and divides it into two.

이를 다시 설명하면, 접속 인증정보(200)가 이용되어 제 1 인증정보 세그먼트(310) 및 제 2 인증정보 세그먼트(320)가 생성될 수 있는 것인데, 제 1 인증정보 세그먼트 및 제 2 인증정보 세그먼트는 각각 온라인 서비스를 관리하는 서비스 서버에 제공되어야 하는 접속 인증정보(200)를 이용하여 생성된 파생 정보(암호화 인증정보)의 일부 및 나머지인 것으로 이해될 수 있다.In other words, the connection authentication information 200 can be used to generate the first authentication information segment 310 and the second authentication information segment 320, wherein the first authentication information segment and the second authentication information segment are (Encryption authentication information) generated by using the connection authentication information 200 to be provided to the service server that manages the online service, respectively.

제 1 인증정보 세그먼트(310) 및 제 2 인증정보 세그먼트(320)가 생성됨에 따라, 제 2 사용자 단말기(120)는 2개로 분할된 것 중 하나인 제 1 인증정보 세그먼트(310)를 화면상에 디스플레이하고, 제 1 인증정보 세그먼트(310)를 암호화한 제 1 암호화 세그먼트(315)를 생성한다.As the first authentication information segment 310 and the second authentication information segment 320 are generated, the second user terminal 120 displays a first authentication information segment 310, which is one of two divided pieces, And generates a first encrypted segment 315 that has encrypted the first authentication information segment 310.

그리고, 제 2 사용자 단말기(120)는 2개로 분할된 것 중 나머지 하나인 제 2 인증정보 세그먼트(320)와 제 1 암호화 세그먼트(315)를 인증정보 보호 서버(140)로 송신한다. 여기서, 제 1 암호화 세그먼트(315)는 해시 함수가 제 1 인증정보 세그먼트(310)에 적용되어 암호화된 것일 수 있다.The second user terminal 120 transmits the second authentication information segment 320 and the first encryption segment 315, which are two of the two, to the authentication information protection server 140. Here, the first cryptographic segment 315 may be a hash function applied to the first authentication information segment 310 and encrypted.

사용자가 제 2 사용자 단말기(120)의 화면상에 디스플레이된 제 1 인증정보 세그먼트(310)를 제 1 사용자 단말기(110)에 입력하면, 제 1 사용자 단말기(110)는 입력된 제 1 인증정보 세그먼트(310)를 암호화하여 제 1 암호화 세그먼트(315)를 생성하고 이를 인증정보 보호 서버(140)로 송신한다.When the user inputs a first authentication information segment 310 displayed on the screen of the second user terminal 120 to the first user terminal 110, the first user terminal 110 transmits the first authentication information segment (310) to generate a first encrypted segment (315) and transmits it to the authentication information protection server (140).

그러면, 인증정보 보호 서버(140)는 수신된 제 1 암호화 세그먼트(315)에 대한 인증을 수행하고 그 결과에 따라 제 2 사용자 단말기(120)로부터 수신된 제 2 인증정보 세그먼트(320)를 제 1 사용자 단말기(110)로 송신한다.The authentication information protection server 140 then authenticates the received first encryption segment 315 and updates the second authentication information segment 320 received from the second user terminal 120 according to the result To the user terminal (110).

결국, 제 1 사용자 단말기(110)는 제 1 인증정보 세그먼트(310)와 제 2 인증정보 세그먼트(320)를 확보할 수 있게 되는데, 제 1 인증정보 세그먼트(310)는 사용자에 의하여 입력된 반면 제 2 인증정보 세그먼트(320)는 네트워크를 통하여 전달받았기 때문에 일반적인 화면 캡처 해킹 프로그램이나 키 캡처 해킹 프로그램에 의한 접속 인증정보(200)의 유출이 방지될 수 있게 된다.As a result, the first user terminal 110 can acquire the first authentication information segment 310 and the second authentication information segment 320. The first authentication information segment 310 is input by the user, 2 authentication information segment 320 is received via the network, it is possible to prevent the leakage of the connection authentication information 200 by the general screen capture hacking program or the key capture hacking program.

더욱이, 제 2 사용자 단말기(120)의 암호화 인증정보 생성 프로그램이 생성하는 암호화 인증정보(300)는 매 생성 시마다 달라지는데, 이에 따라 사용자가 제 1 인증정보 세그먼트(310)를 제 1 사용자 단말기(110)로 입력한 것이 유출되었다고 하더라도 악의의 외부 사용자는 이를 차후에 이용할 수 없게 된다.Further, the encrypted authentication information 300 generated by the encrypted authentication information generating program of the second user terminal 120 is different every time the user generates the first authentication information segment 310 to the first user terminal 110, Even if it is leaked, malicious external users will not be able to use it later.

제 1 사용자 단말기(110)가 확보하고 있는 제 1 인증정보 세그먼트(310) 및 제 2 인증정보 세그먼트(320)는 암호화 인증정보 생성 프로그램에 의하여 암호화된 것이다.The first authentication information segment 310 and the second authentication information segment 320 secured by the first user terminal 110 are encrypted by the encrypted authentication information generation program.

따라서, 단순히 제 1 인증정보 세그먼트(310) 및 제 2 인증정보 세그먼트(320)를 조합한다고 하더라도 접속 인증정보(200)로 복원되지 않는다.Therefore, even if the first authentication information segment 310 and the second authentication information segment 320 are simply combined, the connection authentication information 200 is not restored.

이에 따라, 제 1 사용자 단말기(110)에는 제 1 인증정보 세그먼트(310) 및 제 2 인증정보 세그먼트(320)를 조합하고 복호화하여 접속 인증정보(200)로 복원하는 별도의 복호화 프로그램이 구비되어 있는 것이 바람직하다.Accordingly, the first user terminal 110 is provided with a separate decryption program for combining and decrypting the first authentication information segment 310 and the second authentication information segment 320 to restore the connection authentication information 200 .

여기서, 제 1 사용자 단말기(110)의 복호화 프로그램은 제 2 사용자 단말기(120)의 암호화 인증정보 생성 프로그램이 접속 인증정보(200)를 암호화 인증정보(300)로 생성하는 것의 반대 과정을 수행하는 프로그램인 것으로 이해될 수 있다.Here, the decryption program of the first user terminal 110 is a program for performing the reverse process of generating the encrypted authentication information 200 of the second user terminal 120 as the encrypted authentication information 300 . ≪ / RTI >

도 2는 본 발명의 실시예에 따라 접속 인증정보가 암호화되는 것을 나타낸 개념도이다.FIG. 2 is a conceptual diagram showing that connection authentication information is encrypted according to an embodiment of the present invention. FIG.

본 발명에서 제 2 사용자 단말기(120)는 개인용 컴퓨터와 같은 제 1 사용자 단말기(110)보다 보안 측면에서 안전한 단말기인 것으로 이해될 수 있다. 따라서, 제 2 사용자 단말기(120)는 전술한 휴대폰, 스마트폰 또는 PDA뿐만 아니라 보안이 확보된 다양한 종류의 단말기일 수 있다.In the present invention, the second user terminal 120 may be understood as a terminal that is safer in terms of security than the first user terminal 110 such as a personal computer. Accordingly, the second user terminal 120 may be various types of terminals secured as well as the above-described mobile phone, smart phone or PDA.

제 2 사용자 단말기(120)에는 암호화 인증정보 생성 프로그램이 구비되어 있는데, 제 1 사용자 단말기(110)를 이용하여 서비스 서버(130)에 접속하고자 하는 사용자는 우선 제 2 사용자 단말기(120)의 암호화 인증정보 생성 프로그램을 실행하여야 한다.A user who intends to access the service server 130 using the first user terminal 110 first receives the encryption authentication information of the second user terminal 120, The information generation program should be executed.

그리고, 서비스 서버(130)에 접속하기 위하여 사용자는 제 1 사용자 단말기(110)에 입력하도록 되어 있는 접속 인증정보(200)를 제 2 사용자 단말기(120)에 입력한다. 예를 들어, 사용자는 제 1 사용자 단말기(110)로 서비스 서버(130)에 접속하기 위하여 패스워드를 입력하여야 하는데, 그 패스워드를 제 1 사용자 단말기(110)에 입력하는 것이 아니라 제 2 사용자 단말기(120)에 입력하는 것이다.In order to access the service server 130, the user inputs the connection authentication information 200 to be input to the first user terminal 110 to the second user terminal 120. For example, the user must input a password to access the service server 130 to the first user terminal 110. Instead of inputting the password to the first user terminal 110, the second user terminal 120 ).

그리고, 암호화 인증정보 생성 프로그램을 동작시키면 암호화 인증정보 생성 프로그램은 입력된 접속 인증정보(200)를 암호화하여 암호화 인증정보(300)를 생성한다. 암호화 인증정보 생성 프로그램이 실행되면 제 2 사용자 단말기(120)는 인증정보 보호 서버(140)와 세션을 구성하고 랜덤 번호를 요청하여 수신하는데, 암호화 인증정보 생성 프로그램은 수신된 랜덤 번호와 제 2 사용자 단말기(120)의 단말기 식별자를 이용하여 암호화 인증정보(300)를 생성하는 것이다.Then, when the encrypted authentication information generating program is operated, the encrypted authentication information generating program encrypts the inputted connection authentication information 200 to generate the encrypted authentication information 300. [ When the encrypted authentication information generating program is executed, the second user terminal 120 establishes a session with the authentication information protection server 140 and requests and receives a random number. The encrypted authentication information generating program stores the received random number, And generates the encrypted authentication information 300 using the terminal identifier of the terminal 120.

암호화 인증정보(300)는 제 1 인증정보 세그먼트(310)와 제 2 인증정보 세그먼트(320)를 포함하여 구성되는데, 이는 접속 인증정보(200)의 일부 정보가 제 1 인증정보 세그먼트(310)에 반영되어 있고, 접속 인증정보(200)의 나머지 정보가 제 2 인증정보 세그먼트(320)에 반영되어 있는 것으로 이해될 수 있다.The encryption authentication information 300 includes a first authentication information segment 310 and a second authentication information segment 320. This is because some information of the connection authentication information 200 is included in the first authentication information segment 310 And it is understood that the remaining information of the connection authentication information 200 is reflected in the second authentication information segment 320. [

예를 들어, 접속 인증정보(200)를 구성하는 문자열이 "abcdefgh"라고 할 때 "abcd"가 이용되어 제 1 인증정보 세그먼트(310)가 생성되고, "efgh"가 이용되어 제 2 인증정보 세그먼트(320)가 생성되는 것이다.For example, when the character string constituting the connection authentication information 200 is "abcdefgh", "abcd" is used to generate the first authentication information segment 310, and "efgh" (320) is generated.

또한, "aceg"가 이용되어 제 1 인증정보 세그먼트(310)가 생성되고, "bdfh"가 이용되어 제 2 인증정보 세그먼트(320)가 생성될 수 있으며, "abc"가 이용되어 제 1 인증정보 세그먼트(310)가 생성되고 "defgh"가 이용되어 제 2 인증정보 세그먼트(320)가 생성될 수도 있다. 다시 말해, 접속 인증정보(200)를 구성하는 문자열이 다양하게 분할되어 제 1 인증정보 세그먼트(310) 및 제 2 인증정보 세그먼트(320)에 반영될 수 있는 것이다.Further, "aceg" is used to generate the first authentication information segment 310, "bdfh" can be used to generate the second authentication information segment 320, and "abc" A segment 310 may be created and a "defgh" may be used to generate a second authentication information segment 320. In other words, the character string constituting the connection authentication information 200 can be divided into various pieces so as to be reflected in the first authentication information segment 310 and the second authentication information segment 320.

본 발명에서 생성되는 암호화 인증정보(300) 즉, 제 1 인증정보 세그먼트(310) 및 제 2 인증정보 세그먼트(320)는 일회용 패스워드(OTP; One Time Password)일 수 있다. 따라서, 동일한 접속 인증정보(200)를 입력하더라도 암호화 인증정보(300)는 매 생성 시마다 그 값이 달라질 수 있다.The encrypted authentication information 300 generated in the present invention, that is, the first authentication information segment 310 and the second authentication information segment 320 may be a one time password (OTP). Therefore, even when the same connection authentication information 200 is input, the value of the encryption authentication information 300 can be changed at every generation.

다시 말해, 암호화 인증정보(300)를 구성하는 문자열은 접속 인증정보(200)를 구성하는 문자열과는 상이한 것으로서 그 값이 생성 시마다 변경될 수 있는 것이다.In other words, the character string constituting the encrypted authentication information 300 is different from the character string constituting the connection authentication information 200, and the value can be changed at each generation.

이렇게 생성된 제 1 인증정보 세그먼트(310)는 제 1 사용자 단말기(110)로 입력되고, 제 1 인증정보 세그먼트(310)가 암호화된 제 1 암호화 세그먼트(315) 및 제 2 인증정보 세그먼트(320)는 인증정보 보호 서버(140)로 전달된다.The generated first authentication information segment 310 is input to the first user terminal 110 and the first authentication information segment 310 is encrypted with the first encryption segment 315 and the second authentication information segment 320, Is transmitted to the authentication information protection server (140).

사용자는 자신이 휴대하고 있는 제 2 사용자 단말기(120)를 이용하여 암호화 인증정보(300)를 생성하였는데, 제 2 사용자 단말기(120)는 제 1 인증정보 세그먼트(310)를 디스플레이한다. 그러면, 사용자는 디스플레이된 제 1 인증정보 세그먼트(310)를 확인하고, 이를 제 1 사용자 단말기(110)에 입력한다.The user generates the encrypted authentication information 300 using the second user terminal 120 carried by the user and the second user terminal 120 displays the first authentication information segment 310. [ Then, the user confirms the displayed first authentication information segment 310 and inputs it to the first user terminal 110.

한편, 제 2 인증정보 세그먼트(320)는 제 2 사용자 단말기(120)의 화면상에 디스플레이되지 않고 곧바로 인증정보 보호 서버(140)로 송신된다. 여기서, 인증정보 보호 서버(140)와의 통신은 사전에 구성된 세션을 통하여 수행되거나 별도의 세션을 통하여 수행될 수도 있다.Meanwhile, the second authentication information segment 320 is not displayed on the screen of the second user terminal 120 but is immediately transmitted to the authentication information protection server 140. Here, the communication with the authentication information protection server 140 may be performed through a pre-configured session or through a separate session.

제 1 사용자 단말기(110)는 제 1 인증정보 세그먼트(310)만을 확보한 상태인데, 사용자가 제 1 인증정보 세그먼트(310)를 입력하고 서비스 서버(130)로의 송신 명령을 입력하면, 제 1 사용자 단말기(140)는 해당 송신 명령에 따라 제 1 인증정보 세그먼트(310)를 암호화하여 제 1 암호화 세그먼트(315)를 생성하고 이를 인증정보 보호 서버(140)로 송신한다.The first user terminal 110 has only the first authentication information segment 310. When the user inputs the first authentication information segment 310 and inputs a transmission command to the service server 130, The terminal 140 generates the first cryptographic segment 315 by encrypting the first authentication information segment 310 according to the transmission command and transmits the generated first cryptographic segment 315 to the authentication information protection server 140.

예를 들어, 사용자는 서비스 서버(130)로의 접속을 위하여 계정 및 패스워드를 입력할 수 있는데, 계정은 실제의 계정을 입력하고 패스워드로서 제 1 인증정보 세그먼트(310)를 입력한 이후에 "확인" 버튼을 누르면 제 1 암호화 세그먼트(315)가 인증정보 보호 서버(140)로 송신되는 것이다.For example, a user may enter an account and a password for access to the service server 130, the account may enter "confirm" after entering the actual account and entering the first authentication information segment 310 as a password, The first encryption segment 315 is transmitted to the authentication information protection server 140. [

이를 위하여, 서비스 서버(130)에서 제공하는 페이지에는 실제의 계정 또는 패스워드가 아닌 경우 입력된 계정 및 패스워드를 서비스 서버(130)로 송신하지 않고 인증정보 보호 서버(140)로 송신하는 기능이 구비되어 있는 것이 바람직하다.To this end, the page provided by the service server 130 is provided with a function of transmitting the account and password input to the authentication information protection server 140 without transmitting the account and password inputted to the service server 130 when the page is not an actual account or password .

서비스 서버(130)의 특정 페이지에 접속하여 서비스를 제공받고자 하는 사용자로부터 접속 인증정보(200)를 입력받는 페이지를 서비스 서버(130)가 제공하는데, 이하, 이를 접속 인증 페이지라 한다. 예를 들어, 전술한 계정 및 패스워드를 입력받는 페이지가 접속 인증 페이지인 것이다.The service server 130 provides a page for receiving the connection authentication information 200 from a user who is connected to a specific page of the service server 130 and wants to receive the service. Hereinafter, this is referred to as a connection authentication page. For example, the page on which the above-described account and password are input is the connection authentication page.

제 1 사용자 단말기(110)로부터 제 1 암호화 세그먼트(315)를 수신한 인증정보 보호 서버(140)는 이에 대한 인증을 수행하는데, 인증이 완료되면 제 2 인증정보 세그먼트(320)를 제 1 사용자 단말기(110)로 송신한다.Upon receiving the first encryption segment 315 from the first user terminal 110, the authentication information protection server 140 performs authentication of the second authentication information segment 320. When authentication is completed, (110).

결국, 제 1 사용자 단말기(110)는 제 1 인증정보 세그먼트(310) 및 제 2 인증정보 세그먼트(320)를 모두 확보한 상태가 된다. 그리고, 제 1 사용자 단말기(110)는 확보된 제 1 인증정보 세그먼트(310) 및 제 2 인증정보 세그먼트(320)를 조합하여 접속 인증정보(200)로 복원하고, 복원된 접속 인증정보(200)를 서비스 서버(130)로 송신함으로써 서비스 서버(130)가 관리하는 특정 페이지에 접속하여 서비스를 제공받을 수 있게 된다.As a result, the first user terminal 110 has secured both the first authentication information segment 310 and the second authentication information segment 320. The first user terminal 110 combines the secured first authentication information segment 310 and the second authentication information segment 320 to recover the connection authentication information 200, To the service server 130, thereby accessing a specific page managed by the service server 130 and receiving the service.

도 3은 본 발명의 실시예에 따라 접속 인증정보가 복원되는 것을 나타낸 개념도이다.3 is a conceptual diagram illustrating that connection authentication information is restored according to an embodiment of the present invention.

인증정보 보호 서버(140)로부터 제 2 인증정보 세그먼트(320)를 수신하게 되면 제 1 사용자 단말기(110)는 사용자로부터 입력된 제 1 인증정보 세그먼트(310)와 수신된 제 2 인증정보 세그먼트(320)를 조합하여 암호화 인증정보(300)를 구성하고, 이를 복호화하여 접속 인증정보(200)를 복원한다.Upon receiving the second authentication information segment 320 from the authentication information protection server 140, the first user terminal 110 transmits the first authentication information segment 310 input by the user and the received second authentication information segment 320 ) To construct the encrypted authentication information 300, decrypts the encrypted authentication information 300, and restores the connection authentication information 200.

제 2 사용자 단말기(120)의 암호화 인증정보 생성 프로그램은 암호화 알고리즘을 이용하여 암호화 인증정보(300)를 생성하는데, 제 1 사용자 단말기(110)도 이와 동일한 알고리즘을 이용하여 암호화 인증정보(300)를 접속 인증정보(200)로 복호화하는 것으로 이해될 수 있다.The encrypted authentication information generating program of the second user terminal 120 generates the encrypted authentication information 300 using the encryption algorithm and the first user terminal 110 also uses the same algorithm to generate the encrypted authentication information 300 It can be understood that the connection authentication information 200 is decrypted.

따라서, 제 1 인증정보 세그먼트(310) 및 제 2 인증정보 세그먼트(320)를 암호화 인증정보(300)로 구성하는 프로그램 및 암호화 인증정보(300)를 접속 인증정보(200)로 복호화하는 프로그램이 제 1 사용자 단말기(110)에 구비되어 있는 것이 바람직하며, 이러한 기능은 서비스 서버(130)가 제공하는 페이지에 의하여 구현될 수도 있다.Therefore, a program for configuring the first authentication information segment 310 and the second authentication information segment 320 as the encrypted authentication information 300 and a program for decrypting the encrypted authentication information 300 into the connection authentication information 200 1 user terminal 110. This function may be implemented by a page provided by the service server 130. [

도 4는 본 발명의 실시예에 따른 접속 인증정보를 보호하는 장치를 나타낸 도면으로서, 본 발명의 실시예에 따라 접속 인증정보를 보호하는 장치(400)의 역할은 전술한 인증정보 보호 서버(140)에 의하여 수행되는 것으로 이해될 수 있다.FIG. 4 illustrates an apparatus for protecting connection authentication information according to an exemplary embodiment of the present invention. The apparatus 400 for protecting connection authentication information according to an embodiment of the present invention plays the role of the authentication information protection server 140 ). ≪ / RTI >

접속 인증정보를 보호하는 장치(400)는 통신부(410), 저장부(420), 제어부(430), 메시지 생성부(440), 인증부(450) 및 랜덤 번호 생성부(460)를 포함하여 구성된다.The apparatus 400 for protecting connection authentication information includes a communication unit 410, a storage unit 420, a control unit 430, a message generation unit 440, an authentication unit 450, and a random number generation unit 460 .

통신부(410)는 제 1 사용자 단말기(110) 또는 제 2 사용자 단말기(120)와 통신하는 역할을 수행한다.The communication unit 410 performs communication with the first user terminal 110 or the second user terminal 120.

구체적으로, 통신부(410)는 온라인 서비스를 제공받고자 하는 사용자의 제 1 사용자 단말기(110)로부터 제 1 암호화 세그먼트(315)를 수신하고, 제 2 사용자 단말기(120)로부터 제 1 암호화 세그먼트(315) 및 제 2 인증정보 세그먼트(320)를 수신하며, 제 1 사용자 단말기(110)로 제 2 인증정보 세그먼트(320)를 송신하는 역할을 수행한다.The communication unit 410 receives the first encryption segment 315 from the first user terminal 110 of the user who wishes to receive the online service and receives the first encryption segment 315 from the second user terminal 120. [ And a second authentication information segment 320 to the first user terminal 110 and transmits a second authentication information segment 320 to the first user terminal 110.

제 1 사용자 단말기(110) 및 제 2 사용자 단말기(120)와의 통신은 별개의 통신 채널을 통하여 수행될 수 있는데, 이를 위하여 통신부(410)는 서로 다른 복수의 통신 수단을 구비할 수 있다.Communication with the first user terminal 110 and the second user terminal 120 may be performed through a separate communication channel. For this purpose, the communication unit 410 may include a plurality of different communication means.

저장부(420)는 수신된 제 1 암호화 세그먼트(315) 및 제 2 인증정보 세그먼트(320)를 저장하는 역할을 수행한다. 한편, 본 발명에서 저장부(420)는 하나의 제 2 사용자 단말기(120)로부터 수신된 제 1 암호화 세그먼트(315) 및 제 2 인증정보 세그먼트(320)만을 저장하는 것이 아니라 서로 다른 복수의 제 2 사용자 단말기로부터 수신된 제 1 암호화 세그먼트 및 제 2 인증정보 세그먼트를 저장할 수 있다.The storage unit 420 stores the received first encryption segment 315 and the second authentication information segment 320. In the present invention, the storage unit 420 does not store only the first encryption segment 315 and the second authentication information segment 320 received from one second user terminal 120, And may store the first encrypted segment and the second authentication information segment received from the user terminal.

따라서, 저장부(420)는 복수의 제 2 사용자 단말기 각각에 고유하게 부여된 단말기 식별자와 함께 제 1 암호화 세그먼트(315) 및 제 2 인증정보 세그먼트(320)를 매칭시켜 저장할 수 있다. 이를 위하여, 제 2 사용자 단말기(120)가 송신하는 메시지에는 제 1 암호화 세그먼트(315) 및 제 2 인증정보 세그먼트(320)와 함께 단말기 식별자가 함께 포함되어 있는 것이 바람직하다.Accordingly, the storage unit 420 may store and store the first encryption segment 315 and the second authentication information segment 320 together with a terminal identifier uniquely assigned to each of the plurality of second user terminals. To this end, the message transmitted by the second user terminal 120 may include a first encryption segment 315 and a second authentication information segment 320 together with a terminal identifier.

한편, 본 발명의 실시예에 따르면 저장부(420)에 저장된 제 2 인증정보 세그먼트(320)는 일정 시간이 경과한 이후에 자동으로 삭제될 수 있다.Meanwhile, according to the embodiment of the present invention, the second authentication information segment 320 stored in the storage unit 420 may be automatically deleted after a predetermined time elapses.

예를 들어, 제 2 사용자 단말기(120)로부터 제 2 인증정보 세그먼트(320)가 수신된 시점 또는 저장부(420)에 저장된 시점으로부터 30초가 경과한 이후에 자동으로 삭제될 수 있는 것이다.For example, after the second authentication information segment 320 is received from the second user terminal 120 or after 30 seconds have elapsed from the time when the second authentication information segment 320 is stored in the storage unit 420.

또는, 제 2 사용자 단말기(120)로부터 수신되는 제 2 인증정보 세그먼트(320)가 포함된 메시지에는 삭제까지의 시작을 나타내는 시점 및 경과 시간이 명시될 수 있으며, 삭제 시각이 명시될 수도 있다. 만일, 제 2 사용자 단말기(120)로부터 수신되는 메시지에 삭제 관련 시간이 명시된 경우 저장부(420)에 저장되어 있는 제 2 인증정보 세그먼트(320)는 해당 시각에 삭제될 수 있다.Alternatively, the message including the second authentication information segment 320 received from the second user terminal 120 may specify the time and elapsed time indicating the start of deletion, and the deletion time may be specified. If the deletion related time is specified in the message received from the second user terminal 120, the second authentication information segment 320 stored in the storage unit 420 may be deleted at the corresponding time.

또한, 제 2 인증정보 세그먼트(320)가 삭제되면서 이와 함께 저장된 단말기 식별자 및 제 1 암호화 세그먼트(315) 등 기타 관련 정보가 함께 삭제될 수도 있다.In addition, the second authentication information segment 320 may be deleted, and the stored associated terminal identifier and other related information such as the first encryption segment 315 may be deleted together.

이와 같은 제 2 인증정보 세그먼트(320)의 자동 삭제 동작은 제어부(430)에 의하여 관리되는데, 제어부(430)는 사전에 설정된 정책에 따라 저장부(420)에 저장된 제 2 인증정보 세그먼트(320)를 삭제할 수 있다.The control unit 430 controls the automatic deletion of the second authentication information segment 320. The control unit 430 controls the second authentication information segment 320 stored in the storage unit 420 according to a preset policy, Can be deleted.

또한, 제어부(430)는 통신부(410), 저장부(420), 메시지 생성부(440), 인증부(450) 및 랜덤 번호 생성부(460)에 대한 전반적인 제어를 수행한다.The control unit 430 controls the communication unit 410, the storage unit 420, the message generation unit 440, the authentication unit 450, and the random number generation unit 460 as a whole.

메시지 생성부(440)는 제 1 사용자 단말기(110) 또는 제 2 사용자 단말기(120)로 송신하는 메시지를 생성하는 역할을 수행한다.The message generator 440 generates a message to be transmitted to the first user terminal 110 or the second user terminal 120. [

제 1 사용자 단말기(110)로 송신되는 메시지에는 제 2 인증정보 세그먼트(320)가 포함될 수 있으며, 제 2 사용자 단말기(120)로 송신되는 메시지에는 제 2 인증정보 세그먼트(320)가 정상적으로 수신되었는지 여부를 나타내는 확인 응답 정보가 포함될 수 있다.The message transmitted to the first user terminal 110 may include the second authentication information segment 320 and the message transmitted to the second user terminal 120 may include a message indicating whether the second authentication information segment 320 has been normally received May be included.

또한, 제 2 인증정보 세그먼트(320)가 저장부(420)에서 삭제된 이후에 인증부(450)에 의한 제 1 암호화 세그먼트(315)에 대한 인증이 완료될 수도 있는데, 이러한 경우 메시지 생성부(440)는 오류 메시지를 생성하고, 이렇게 생성된 오류 메시지는 통신부(410)를 통하여 제 1 사용자 단말기(110)로 송신한다.In addition, after the second authentication information segment 320 is deleted from the storage unit 420, authentication of the first encryption segment 315 by the authentication unit 450 may be completed. In this case, 440 generates an error message and transmits the generated error message to the first user terminal 110 through the communication unit 410. [

인증부(450)는 제 1 사용자 단말기(110)로부터 제 1 인증정보 세그먼트(310)가 암호화된 제 1 암호화 세그먼트(315)를 수신되는 경우 이를 인증하는 역할을 수행한다.The authentication unit 450 authenticates the first encryption segment 315 when the first authentication information segment 310 is received from the first user terminal 110.

전술한 바와 같이, 저장부(420)에는 제 1 암호화 세그먼트(315) 및 제 2 인증정보 세그먼트(320)가 단말기 식별자와 매칭되어 저장되는데, 제 1 사용자 단말기(110)로부터 제 1 암호화 세그먼트(315)가 수신되는 경우 인증부(450)는 수신된 제 1 암호화 세그먼트(310)와 동일한 제 1 암호화 세그먼트(315)가 저장부(420)에 저장되어 있는지 여부를 판단하는 것이다.As described above, the first encryption segment 315 and the second authentication information segment 320 are stored and matched with the terminal identifier in the storage unit 420. The first encryption segment 315 and the second authentication information segment 320 are received from the first user terminal 110, The authentication unit 450 determines whether the first encryption segment 315 identical to the received first encryption segment 310 is stored in the storage unit 420. [

그리하여, 동일한 제 1 암호화 세그먼트(315)가 저장되어 있는 것으로 판단되는 경우 인증부(450)는 해당 제 1 암호화 세그먼트(315)와 매칭되어 저장되어 있는 제 2 인증정보 세그먼트(320)를 추출하는데, 추출된 제 2 인증정보 세그먼트(320)는 통신부(410)를 통하여 제 1 사용자 단말기(110)로 송신된다.Thus, if it is determined that the same first encryption segment 315 is stored, the authentication unit 450 extracts the second authentication information segment 320, which is stored and matched with the first encryption segment 315, The extracted second authentication information segment 320 is transmitted to the first user terminal 110 through the communication unit 410.

랜덤 번호 생성부(460)는 랜덤 번호를 생성하는 역할을 수행한다. 랜덤 번호의 생성은 제 2 사용자 단말기(120)와의 통신이 시작되면서 수행될 수 있다.The random number generator 460 plays a role of generating a random number. The generation of the random number can be performed while the communication with the second user terminal 120 is started.

도 5는 본 발명의 실시예에 따른 접속 인증정보를 보호하는 과정을 나타낸 흐름도이다.5 is a flowchart illustrating a process of protecting connection authentication information according to an embodiment of the present invention.

제 1 사용자 단말기(110)를 통하여 서비스 서버(130)에 접속하고자 하는 사용자는 우선 제 2 사용자 단말기(120)에 구비된 암호화 인증정보 생성 프로그램을 실행시킨다(S501).A user who wants to access the service server 130 through the first user terminal 110 first executes an encrypted authentication information generating program provided in the second user terminal 120 (S501).

이에 따라, 제 2 사용자 단말기(120)는 인증정보 보호 서버(140)와 세션을 구성하고 랜덤 번호를 요청한다(S502). 랜덤 번호 요청 메시지를 수신한 인증정보 보호 서버(140)는 랜덤 번호를 생성하고 생성된 랜덤 번호를 제 2 사용자 단말기(120)로 송신한다(S503).Accordingly, the second user terminal 120 forms a session with the authentication information protection server 140 and requests a random number (S502). Upon receiving the random number request message, the authentication information protection server 140 generates a random number and transmits the generated random number to the second user terminal 120 (S503).

사용자가 제 2 사용자 단말기(120)로 접속 인증정보(200)를 입력하면 제 2 사용자 단말기(120)의 암호화 인증정보 생성 프로그램은 접속 인증정보(200)를 암호화하여 암호화 인증정보(300)를 생성한다(S504).When the user inputs the connection authentication information 200 to the second user terminal 120, the encrypted authentication information generating program of the second user terminal 120 encrypts the connection authentication information 200 to generate the encrypted authentication information 300 (S504).

생성된 암호화 인증정보(300)는 제 1 인증정보 세그먼트(310) 및 제 2 인증정보 세그먼트(320)로 분할되는데, 제 1 인증정보 세그먼트(310)는 제 2 사용자 단말기(120)의 화면을 통하여 디스플레이되고, 제 2 인증정보 세그먼트(320)는 제 1 암호화 세그먼트(315)와 함께 인증정보 보호 서버(140)로 송신된다(S505). 여기서, 제 1 암호화 세그먼트(315)는 제 1 인증정보 세그먼트(310)에 해시 함수가 이용되어 암호화된 것임은 전술한 바와 같다.The generated encrypted authentication information 300 is divided into a first authentication information segment 310 and a second authentication information segment 320. The first authentication information segment 310 is displayed on the screen of the second user terminal 120 And the second authentication information segment 320 is transmitted to the authentication information protection server 140 together with the first encryption segment 315 (S505). Here, the first encryption segment 315 is as described above, in which the first authentication information segment 310 is encrypted using a hash function.

그리고, 제 1 사용자 단말기(110)는 제 1 인증정보 세그먼트(310)를 입력받는다(S506). 제 2 사용자 단말기(120)의 화면상에 디스플레이된 제 1 인증정보 세그먼트(310)를 확인한 사용자가 이를 제 1 사용자 단말기(110)에 입력하는 것이다.Then, the first user terminal 110 receives the first authentication information segment 310 (S506). A user who has confirmed the first authentication information segment 310 displayed on the screen of the second user terminal 120 inputs the first authentication information segment 310 to the first user terminal 110.

여기서, 사용자가 제 1 사용자 단말기(110)에 제 1 인증정보 세그먼트(310)를 입력하는 것은 서비스 서버(130)가 제공하는 접속 인증 페이지인 것으로 이해될 수 있다.Herein, it is understood that the user inputs the first authentication information segment 310 to the first user terminal 110 as a connection authentication page provided by the service server 130.

제 1 인증정보 세그먼트(310)가 입력되면 제 1 사용자 단말기(110)는 제 1 인증정보 세그먼트(310)를 암호화하여 제 1 암호화 세그먼트(315)를 생성하고 이를 인증정보 보호 서버(140)로 송신한다(S507). 즉, 입력된 데이터가 접속 인증정보(200)가 아닌 제 1 인증정보 세그먼트(310)인 것으로 판단되는 경우 제 1 사용자 단말기(110)는 입력된 데이터를 서비스 서버(130)로 송신하지 않고 인증정보 보호 서버(140)로 송신하는 것이다.When the first authentication information segment 310 is input, the first user terminal 110 generates the first encrypted segment 315 by encrypting the first authentication information segment 310 and transmits the first encrypted segment 315 to the authentication information protection server 140 (S507). That is, when it is determined that the input data is not the first authentication information segment 310 but the first authentication information segment 310, the first user terminal 110 does not transmit the input data to the service server 130, To the protection server (140).

이를 위하여, 제 1 사용자 단말기(110)에는 입력된 데이터가 접속 인증정보(200)인지 제 1 인증정보 세그먼트(310)인지 여부를 판단하는 수단(미도시)이 구비될 수 있으며, 이는 접속 인증 페이지에서 제공하는 알고리즘에 의하여 동작할 수 있다.To this end, the first user terminal 110 may be provided with means (not shown) for determining whether the input data is the connection authentication information 200 or the first authentication information segment 310, Lt; / RTI > algorithm.

한편, 입력된 데이터가 접속 인증정보(200)인 것으로 판단되는 경우 이는 곧바로 서비스 서버(130)로 송신될 수 있다.On the other hand, when it is determined that the input data is the connection authentication information 200, it can be transmitted to the service server 130 immediately.

제 1 암호화 세그먼트(315)를 수신한 인증정보 보호 서버(140)는 이에 대한 인증 작업을 수행한다(S508). 즉, 제 2 사용자 단말기(120)로부터 수신하여 저장하고 있던 제 1 암호화 세그먼트(315)와 비교하여 동일성 여부를 판단하는 것이다.Upon receiving the first encryption segment 315, the authentication information protection server 140 performs an authentication operation on the first encryption segment 315 (S508). That is, the first encryption segment 315 is received from the second user terminal 120 and compared with the first encryption segment 315 to determine whether they are identical.

그리하여, 2개의 제 1 암호화 세그먼트(315)가 동일한 것으로 판단되는 경우 인증정보 보호 서버(140)는 제 2 인증정보 세그먼트(320)를 제 1 사용자 단말기(110)로 송신한다(S509).Thus, when it is determined that the two first encryption segments 315 are the same, the authentication information protection server 140 transmits the second authentication information segment 320 to the first user terminal 110 (S509).

한편, 2개의 제 1 암호화 세그먼트(315)가 동일하지 않은 것으로 판단되는 경우 인증정보 보호 서버(140)는 제 1 사용자 단말기(110)로 오류 메시지를 송신하거나 어떠한 응답 없이 이후의 동작을 중단할 수도 있다.On the other hand, when it is determined that the two first encryption segments 315 are not identical, the authentication information protection server 140 may send an error message to the first user terminal 110 or may stop the operation without any response have.

인증정보 보호 서버(140)로부터 제 2 인증정보 세그먼트(320)를 수신한 제 1 사용자 단말기(110)는 사용자로부터 입력된 제 1 인증정보 세그먼트(310) 및 인증정보 보호 서버(140)로부터 수신된 제 2 인증정보 세그먼트(320)를 조합하고 이를 복호화하여 접속 인증정보(200)로 복원한다(S510).The first user terminal 110 receiving the second authentication information segment 320 from the authentication information protection server 140 receives the first authentication information segment 310 input from the user and the first authentication information segment 310 received from the authentication information protection server 140 The second authentication information segment 320 is combined, decrypted, and restored into the connection authentication information 200 (S510).

접속 인증정보(200)의 복원이 완료되면 복원된 접속 인증정보(200)는 자동적으로 서비스 서버(130)로 송신된다(S511).When the restoration of the connection authentication information 200 is completed, the restored connection authentication information 200 is automatically transmitted to the service server 130 (S511).

접속 인증정보(200)를 수신한 서비스 서버(130)는 수신된 데이터가 올바른 것인지를 판단하여 올바른 것으로 판단되는 경우 제 1 사용자 단말기(110)에게 이에 대응하는 접속 인증 서비스를 제공한다(S512). 예를 들어, 어떠한 정보를 제공하거나 특정 동작을 수행하는 것이다.Upon receiving the connection authentication information 200, the service server 130 determines whether the received data is correct. If it is determined to be correct, the service server 130 provides the connection authentication service corresponding to the first user terminal 110 (S512). For example, to provide some information or to perform certain operations.

한편, 수신된 데이터가 올바르지 않은 경우 서비스 서버(130)는 오류 메시지를 송신하거나 어떠한 응답 없이 이후의 동작을 중단할 수도 있다.On the other hand, if the received data is not correct, the service server 130 may transmit an error message or stop the operation afterwards without any response.

도 6은 본 발명의 실시예에 따른 암호화 인증정보 생성 프로그램의 실 행 패스워드를 입력하는 것을 나타낸 도면이다.FIG. 6 is a diagram showing input of an execution password of the encrypted authentication information generating program according to the embodiment of the present invention. FIG.

암호화 인증정보 생성 프로그램은 비교적 보안이 보장된 제 2 사용자 단말기(120)상에서 동작하기 때문에 암호화 인증정보 생성 프로그램을 실행함으로써 출력되는 결과가 외부로 유출될 가능성은 매우 낮은 것으로 간주될 수 있다.Since the encrypted authentication information generating program operates on the relatively secure second user terminal 120, the possibility that a result outputted by executing the encrypted authentication information generating program is leaked to the outside can be regarded as very low.

그러나, 사용자가 제 2 사용자 단말기(120)를 분실하는 경우 암호화 인증정보 생성 프로그램의 무단 사용이 발생할 수 있다.However, if the user loses the second user terminal 120, unauthorized use of the encrypted authentication information generating program may occur.

이를 방지하기 위하여, 제 2 사용자 단말기(120)는 암호화 인증정보 생성 프로그램의 실행을 인증하는 패스워드를 입력받고, 입력된 패스워드가 올바른 경우에만 암호화 인증정보 생성 프로그램을 실행할 수 있다.To prevent this, the second user terminal 120 receives the password for authenticating the execution of the encrypted authentication information generating program, and executes the encrypted authentication information generating program only when the input password is correct.

도 6은 암호화 인증정보 생성 프로그램의 실행 패스워드를 입력받는 화면(600)을 나타낸 도면으로서, 사용자는 제 2 사용자 단말기(120)에 구비된 입력 수단(미도시)을 이용하여 패스워드 입력 항목(610)에 패스워드를 기입하고 "확인" 버튼(620)을 선택함으로써 패스워드를 입력할 수 있게 된다.6 shows a screen 600 in which an execution password of the encrypted authentication information generating program is input. The user inputs a password input item 610 using input means (not shown) provided in the second user terminal 120, The user can input the password by writing the password in the " OK "button 620 and selecting it.

도 7은 본 발명의 실시예에 따라 접속 인증정보가 암호화되어 암호화 인증정보가 생성된 것을 나타낸 도면이다.7 is a diagram showing that the connection authentication information is encrypted and the encrypted authentication information is generated according to the embodiment of the present invention.

암호화 인증정보 생성 프로그램의 실행 패스워드가 올바른 것으로 판단되면 암호화 인증정보 생성 프로그램이 동작하는데, 제 2 사용자 단말기(120)의 화면(700)상에는 접속 인증정보(200)를 입력하는 항목(710)과 제 1 인증정보 세그먼트(310)가 디스플레이되는 항목(730)이 표시된다.When the execution password of the encrypted authentication information generating program is determined to be correct, the encrypted authentication information generating program operates. On the screen 700 of the second user terminal 120, an item 710 for inputting the connection authentication information 200, 1 < / RTI > to which the authentication information segment 310 is to be displayed.

사용자가 접속 인증정보(200)를 해당 항목(710)에 기입하고 생성 버튼(720)을 선택하면, 암호화 인증정보 항목(730)에 일회용 패스워드인 제 1 인증정보 세그먼트(310)가 디스플레이된다.When the user writes the connection authentication information 200 in the corresponding item 710 and selects the generation button 720, the first authentication information segment 310, which is a one-time password, is displayed in the encrypted authentication information item 730. [

이에 따라, 사용자는 디스플레이된 제 1 인증정보 세그먼트(310)를 확인하고 이를 제 1 사용자 단말기(110)에 입력할 수 있게 된다.Accordingly, the user can identify the displayed first authentication information segment 310 and input it to the first user terminal 110. [

이상과 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, It will be understood. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive.

410: 통신부 420: 저장부
430: 제어부 440: 메시지 생성부
450: 인증부 460: 랜덤 번호 생성부410: communication unit 420: storage unit
430: control unit 440:
450: Authentication unit 460: Random number generation unit

Claims (18)

온라인 서비스를 제공받고자 하는 사용자의 제 1 사용자 단말기로부터 제 1 인증정보 세그먼트가 암호화된 제 1 암호화 세그먼트를 수신하는 경우 상기 수신된 제 1 암호화 세그먼트를 인증하는 인증부; 및
상기 인증이 성공하는 경우 상기 사용자의 제 2 사용자 단말기로부터 수신되어 저장된 제 2 인증정보 세그먼트를 상기 제 1 사용자 단말기로 송신하는 통신부를 포함하되,
상기 제 1 인증정보 세그먼트 및 상기 제 2 인증정보 세그먼트는 각각 상기 온라인 서비스를 관리하는 서비스 서버에 제공되어야 하는 접속 인증정보를 이용하여 생성된 파생 정보의 일부 및 나머지인 접속 인증정보를 보호하는 장치.An authentication unit for authenticating the received first encrypted segment when a first encrypted segment of the first authentication information segment is received from a first user terminal of a user wishing to receive the online service; And
If the authentication is successful includes a communication unit for transmitting to the first user terminal the second authentication information segment received and stored from the second user terminal of the user,
And the first authentication information segment and the second authentication information segment are part and the remainder of the derived information generated using the access authentication information to be provided to the service server managing the online service, respectively. 제 1항에 있어서,
상기 제 1 인증정보 세그먼트 및 제 2 인증정보 세그먼트는 상기 제 2 사용자 단말기가 상기 접속 인증정보를 암호화한 후 상기 제 1 인증정보 세그먼트 및 제 2 인증정보 세그먼트로 분할한 것을 포함하는 접속 인증정보를 보호하는 장치.The method of claim 1,
The first authentication information segment and the second authentication information segment protects the access authentication information including the second user terminal encrypting the access authentication information and dividing the first authentication information segment and the second authentication information segment. Device. 제 2항에 있어서,
상기 제 2 인증정보 세그먼트를 저장하는 저장부를 더 포함하는데,
상기 저장된 제 2 인증정보 세그먼트는 일정 시간이 경과한 이후 자동으로 삭제되는 접속 인증정보를 보호하는 장치.The method of claim 2,
And a storage unit for storing the second authentication information segment,
Wherein the stored second authentication information segment is automatically deleted after a predetermined time elapses. 제 3항에 있어서,
상기 제 2 인증정보 세그먼트가 삭제된 이후에 상기 제 1 인증정보 세그먼트에 대한 인증이 완료된 경우 상기 통신부는 오류 메시지를 송신하는 접속 인증정보를 보호하는 장치.The method of claim 3, wherein
And the communication unit protects the connection authentication information for transmitting the error message when the authentication for the first authentication information segment is completed after the second authentication information segment is deleted. 제 2항에 있어서,
상기 제 1 인증정보 세그먼트 및 제 2 인증정보 세그먼트는 일회용 패스워드(OTP; One Time Password)를 포함하는 접속 인증정보를 보호하는 장치.The method of claim 2,
Wherein the first authentication information segment and the second authentication information segment protect the connection authentication information including a One Time Password (OTP). 제 5항에 있어서,
상기 일회용 패스워드는 매 생성 시마다 그 값이 변경되는 접속 인증정보를 보호하는 장치.6. The method of claim 5,
Wherein the one-time password protects the connection authentication information whose value is changed at every generation. 제 2항에 있어서,
랜덤 번호를 생성하는 랜덤 번호 생성부를 더 포함하는데,
상기 제 2 사용자 단말기는 상기 생성된 랜덤 번호 및 상기 제 2 사용자 단말기에 부여된 단말기 식별자를 이용하여 상기 접속 인증정보를 암호화하는 접속 인증정보를 보호하는 장치.The method of claim 2,
Further comprising a random number generator for generating a random number,
And the second user terminal protects access authentication information that encrypts the access authentication information by using the generated random number and a terminal identifier assigned to the second user terminal. 제 1항에 있어서,
상기 제 1 사용자 단말기는 상기 제 1 인증정보 세그먼트와 상기 제 2 인증정보 세그먼트를 조합하여 상기 접속 인증정보를 복원하고, 상기 복원된 접속 인증정보를 제공함으로써 상기 온라인 서비스를 제공받는 접속 인증정보를 보호하는 장치.The method of claim 1,
The first user terminal reconstructs the connection authentication information by combining the first authentication information segment and the second authentication information segment, and provides the restored connection authentication information to protect the connection authentication information provided for the online service . 제 1항에 있어서,
상기 제 2 사용자 단말기는 휴대용 단말기를 포함하는 접속 인증정보를 보호하는 장치.The method of claim 1,
And the second user terminal protects the connection authentication information including the portable terminal. 온라인 서비스를 제공받고자 하는 사용자의 제 1 사용자 단말기로부터 제 1 인증정보 세그먼트가 암호화된 제 1 암호화 세그먼트를 수신하는 경우 상기 수신된 제 1 암호화 세그먼트를 인증하는 단계; 및
상기 인증이 성공하는 경우 상기 사용자의 제 2 사용자 단말기로부터 수신되어 저장된 제 2 인증정보 세그먼트를 상기 제 1 사용자 단말기로 송신하는 단계를 포함하되,
상기 제 1 인증정보 세그먼트 및 상기 제 2 인증정보 세그먼트는 각각 상기 온라인 서비스를 관리하는 서비스 서버에 제공되어야 하는 접속 인증정보를 이용하여 생성된 파생 정보의 일부 및 나머지인 접속 인증정보를 보호하는 방법.Authenticating the received first encrypted segment if a first encrypted segment is received from a first user terminal of a user wishing to receive an online service, the first encrypted segment being encrypted; And
And transmitting a second authentication information segment received from the second user terminal of the user and stored to the first user terminal if the authentication is successful,
And the first authentication information segment and the second authentication information segment are part and the remainder of the derived information generated using the access authentication information to be provided to the service server managing the online service, respectively. 제 10항에 있어서,
상기 제 1 인증정보 세그먼트 및 제 2 인증정보 세그먼트는 상기 제 2 사용자 단말기가 상기 접속 인증정보를 암호화한 후 상기 제 1 인증정보 세그먼트 및 제 2 인증정보 세그먼트로 분할한 것을 포함하는 접속 인증정보를 보호하는 방법.The method of claim 10,
The first authentication information segment and the second authentication information segment protects the access authentication information including the second user terminal encrypting the access authentication information and dividing the first authentication information segment and the second authentication information segment. How to. 제 11항에 있어서,
상기 제 2 인증정보 세그먼트를 저장하는 단계를 더 포함하는데,
상기 저장된 제 2 인증정보 세그먼트는 일정 시간이 경과한 이후 자동으로 삭제되는 접속 인증정보를 보호하는 방법.12. The method of claim 11,
Further comprising storing the second authentication information segment,
Wherein the stored second authentication information segment is automatically deleted after a predetermined time elapses. 제 12항에 있어서,
상기 제 2 인증정보 세그먼트가 삭제된 이후에 상기 제 1 인증정보 세그먼트에 대한 인증이 완료된 경우 오류 메시지를 송신하는 단계를 더 포함하는 접속 인증정보를 보호하는 방법.13. The method of claim 12,
Further comprising: transmitting an error message if authentication of the first authentication information segment is completed after the second authentication information segment is deleted. 제 11항에 있어서,
상기 제 1 인증정보 세그먼트 및 제 2 인증정보 세그먼트는 일회용 패스워드(OTP; One Time Password)를 포함하는 접속 인증정보를 보호하는 방법.12. The method of claim 11,
Wherein the first authentication information segment and the second authentication information segment include a One Time Password (OTP). 제 14항에 있어서,
상기 일회용 패스워드는 매 생성 시마다 그 값이 변경되는 접속 인증정보를 보호하는 방법.The method of claim 14,
Wherein the one-time password protects the connection authentication information whose value is changed at each generation. 제 11항에 있어서,
랜덤 번호를 생성하는 단계를 더 포함하는데,
상기 제 2 사용자 단말기는 상기 생성된 랜덤 번호 및 상기 제 2 사용자 단말기에 부여된 단말기 식별자를 이용하여 상기 접속 인증정보를 암호화하는 접속 인증정보를 보호하는 방법.12. The method of claim 11,
Generating a random number,
And the second user terminal encrypts the access authentication information by using the generated random number and a terminal identifier assigned to the second user terminal. 제 10항에 있어서,
상기 제 1 사용자 단말기는 상기 제 1 인증정보 세그먼트와 상기 제 2 인증정보 세그먼트를 조합하여 상기 접속 인증정보를 복원하고, 상기 복원된 접속 인증정보를 상기 목적 사이트로 제공함으로써 상기 온라인 서비스를 제공받는 접속 인증정보를 보호하는 방법.The method of claim 10,
The first user terminal restores the access authentication information by combining the first authentication information segment and the second authentication information segment and provides the restored access authentication information to the destination site to receive the online service. How to protect your authentication information. 제 10항에 있어서,
상기 제 2 사용자 단말기는 휴대용 단말기를 포함하는 접속 인증정보를 보호하는 방법.The method of claim 10,
Wherein the second user terminal comprises a portable terminal.
KR1020120070167A 2012-04-06 2012-06-28 Apparatus and method for protecting access certification data KR101443309B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20120036313 2012-04-06
KR1020120036313 2012-04-06

Publications (2)

Publication Number Publication Date
KR20130113910A true KR20130113910A (en) 2013-10-16
KR101443309B1 KR101443309B1 (en) 2014-09-26

Family

ID=49634276

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120070167A KR101443309B1 (en) 2012-04-06 2012-06-28 Apparatus and method for protecting access certification data

Country Status (1)

Country Link
KR (1) KR101443309B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013114224A1 (en) 2013-09-25 2015-03-26 Hyundai Motor Company TURBOCHARGER
KR20180100995A (en) * 2017-03-03 2018-09-12 주식회사 와임 Method and system for processing user authentication

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100656355B1 (en) * 2005-10-19 2006-12-11 한국전자통신연구원 Method for user authentication and service authentication using splitted user authentication key and apparatus thereof
KR20080109580A (en) * 2007-06-12 2008-12-17 (주)솔메이즈 Server certification system and method thereof
KR20090078975A (en) * 2008-01-16 2009-07-21 주식회사 비원플러스 Method and system for user authentication using divided authentication information
KR101585601B1 (en) * 2008-01-21 2016-01-14 주식회사 비즈모델라인 Method for Embodying Once Authentication Code by using Multiple Media Division Authentication

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013114224A1 (en) 2013-09-25 2015-03-26 Hyundai Motor Company TURBOCHARGER
KR20180100995A (en) * 2017-03-03 2018-09-12 주식회사 와임 Method and system for processing user authentication

Also Published As

Publication number Publication date
KR101443309B1 (en) 2014-09-26

Similar Documents

Publication Publication Date Title
CN106716914B (en) Secure key management for roaming protected content
CN107113286B (en) Cross-device roaming content erase operation
KR101416536B1 (en) Passcode management system and passcode apparatus and method for creating super passcode
CN111615105B (en) Information providing and acquiring method, device and terminal
US20180091487A1 (en) Electronic device, server and communication system for securely transmitting information
CN109150897B (en) End-to-end communication encryption method and device
CN104662870A (en) Data security management system
JP5006817B2 (en) Authentication information generation system, authentication information generation method, client device, and program
JP2011175394A (en) Web server constituting single sign-on system, method of controlling operation of the same, and program for controlling operation of the same
JP4994752B2 (en) Information processing system
CN101953113A (en) Secure and usable protection of a roamable credentials store
KR20130131682A (en) Method for web service user authentication
JP2014531659A (en) System and method for user authentication
KR101416542B1 (en) Method for Apparatus for managing passcode
WO2020123926A1 (en) Decentralized computing systems and methods for performing actions using stored private data
WO2020155812A1 (en) Data storage method and device, and apparatus
JP6930053B2 (en) Data encryption method and system using device authentication key
CN103701596A (en) Document access method, system and equipment and document access request response method, system and equipment
JP2007143066A (en) Imaging apparatus and key managing method
JP2006215795A (en) Server device, control method, and program
KR101485968B1 (en) Method for accessing to encoded files
KR102171377B1 (en) Method of login control
CN108768655B (en) Dynamic password generation method and system
JP7067478B2 (en) Data extraction system, data extraction method, registration device and program
WO2017202136A1 (en) One-time-password authentication method and device

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170809

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180911

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190905

Year of fee payment: 6