KR20160035523A - Multi-factor authentication with dynamic handshake quick-response code - Google Patents

Multi-factor authentication with dynamic handshake quick-response code Download PDF

Info

Publication number
KR20160035523A
KR20160035523A KR1020140160163A KR20140160163A KR20160035523A KR 20160035523 A KR20160035523 A KR 20160035523A KR 1020140160163 A KR1020140160163 A KR 1020140160163A KR 20140160163 A KR20140160163 A KR 20140160163A KR 20160035523 A KR20160035523 A KR 20160035523A
Authority
KR
South Korea
Prior art keywords
authentication
user terminal
terminal
fixed terminal
tunnel
Prior art date
Application number
KR1020140160163A
Other languages
Korean (ko)
Other versions
KR101635278B1 (en
Inventor
김찬우
Original Assignee
한국과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술원 filed Critical 한국과학기술원
Publication of KR20160035523A publication Critical patent/KR20160035523A/en
Application granted granted Critical
Publication of KR101635278B1 publication Critical patent/KR101635278B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority

Abstract

Disclosed are a method and a system for authenticating multiple elements based on a dynamic interaction quick response (QR) code. The method comprises the steps of: generating a one time authentication tunnel for authentication between a user terminal, which is a target to be authenticated, and a fixed type terminal to determine whether the user terminal accesses; generating multidimensional codes according to a sequential request of the user terminal and the fixed type terminal; and authenticating the user terminal and the fixed type terminal according to whether the one time authentication tunnel is passed through handshaking using the multidimensional codes between the user terminal and the fixed type terminal.

Description

동적 상호작용 큐알 코드를 기반으로 한 다중요소 인증 방법 및 시스템{MULTI-FACTOR AUTHENTICATION WITH DYNAMIC HANDSHAKE QUICK-RESPONSE CODE}[0001] MULTI-FACTOR AUTHENTICATION WITH DYNAMIC HANDSHAKE QUICK-RESPONSE CODE [0002]

본 발명의 실시예들은 QR(Quick Response) 코드를 이용한 인증 기술에 관한 것이다.Embodiments of the present invention relate to authentication techniques using QR (Quick Response) codes.

인증은 주체의 식별(identification)을 통해 적법한 권한을 인가하기 위한 중요한 수단으로 활용된다. 인증 기술의 일 예로, 한국공개특허 제10-2006-0114079호(공개일 2006년 11월 06일)에는 이동통신단말기에 저장되어 있는 공인인증서를 이용하여 네트워크 사용자의 인증 절차를 수행하는 기술이 제안된 바 있다.Authentication is used as an important means to authorize legitimate rights through identification of subjects. As an example of the authentication technique, Korean Patent Laid-Open No. 10-2006-0114079 (published on November 06, 2006) discloses a technology for performing an authentication procedure of a network user using a public certificate stored in a mobile communication terminal .

인증은 식별 매체에 따라 3가지로 구분할 수 있다.Authentication can be classified into three types according to the identification medium.

TYPE 1 인증은 암호, 개인식별번호, 어머니 이름, 자물쇠 번호, 전화번호와 같이 본인이 알고 있는 정보(Something You Know)를 활용한 방법으로 유추 및 재사용이 용이한 단점을 가진다.TYPE 1 authentication has the disadvantage of easy analogy and reuse by using information (Something You Know) that is known to the user such as password, personal identification number, mother name, lock number, and telephone number.

TYPE 2 인증은 열쇠, 스와이프 카드(swipe card), 액세스 카드, 공인인증서와 같이 본인이 가지고 있는 것(Something You Have)으로 분실, 도난, 탈취 등에 의한 제3자에 의한 사칭이 가능하고 쉽게 복제될 수 있는 단점을 가진다.TYPE 2 authentication is a Something You Have, such as a key, a swipe card, an access card, or a certificate of authenticity. It can be copied by a third party by means of a lost, stolen, It is possible to have a disadvantage.

TYPE 3 인증은 홍채, 망막, 지문, 얼굴, 음성과 같은 생체정보를 인식하는 것으로 본인 그 자체(Something You Are)를 인증매체로 하며, 지문 등 일부 생체정보는 복제 및 재사용이 가능하거나 신체 접촉에 의한 거부감을 유발하고 있으며, 생체정보 최초 추출시점과 유사한 임계구간의 인식 환경특성을 만족해야 허가된 사용자의 접근을 거부하는 비율(False Rejection Rate: FRR) 및 거부해야 할 사용자의 접근을 허용하는 비율(False Acceptance Rate: FAR)을 일정 수준 이하로 유지할 수 있다는 단점을 가진다.TYPE 3 certification recognizes biometric information such as iris, retina, fingerprint, face, and voice. It is the authentication medium of the self (Something You Are), and some biometric information such as fingerprints can be copied and reused, (FRR) that denies the access of the authorized user and the ratio of allowing the access of the user to be rejected, which satisfies the recognition environment characteristic of the critical section similar to the first extraction time of the biometric information, The False Acceptance Rate (FAR) can be kept below a certain level.

보안강도는 TYPE 3 인증, TYPE 2 인증, TYPE 1 인증 순으로 높으나, TYPE 1~3의 인증 중 2가지 이상을 결합한 다중요소 인증(2-factor 인증, 3-factor 인증)의 강도는 TYPE 3 보다 강력하다.The strength of security is high in the order of TYPE 3 authentication, TYPE 2 authentication and TYPE 1 authentication. However, the strength of multi-factor authentication (2-factor authentication, 3-factor authentication) combining two or more of TYPE 1 ~ 3 authentication is higher than TYPE 3 It is powerful.

한편, QR 코드는 종횡으로 2차원 형태로 구성하여 더 많은 정보를 가질 수 있으며, 숫자 외에 알파벳과 한자, 일본어 등 다국어 문자 데이터를 저장할 수 있어 기존 1차원 형태의 일반 바코드(bar code)를 데이터의 표현 범위 및 양에서 개선된 것이며, QR 코드는 일반적으로 인쇄매체에 정적으로 인쇄되거나 웹사이트 화면 또는 스마트폰 등 이동단말기에 생성될 수 있다.On the other hand, the QR code can be configured in a two-dimensional form by vertically and horizontally to have more information. In addition to the numerals, it is possible to store multilingual character data such as alphabets, kanji, and Japanese, so that a conventional bar- And the QR code is generally printed statically on a print medium or can be created on a mobile terminal such as a web site screen or a smart phone.

QR 코드 리더기(reader)는 하드웨어 또는 스마트폰 등 이동 단말의 어플리케이션으로 구현되어 QR 코드를 읽어 들여 특정 URL로 사용자의 접속을 유도하는 방식으로 인터넷 서비스와 결합되어 사용되고 있다.A QR code reader is implemented in an application of a mobile terminal such as a hardware or a smart phone, reads a QR code, and connects the user with a specific URL.

QR 코드를 사용하여 국내 및 해외 은행업계에서 모바일용 공인인증서 다운로드 URL 접근에 활용하거나 신용카드 모바일 결재 수단으로 온라인 상점에서 생성한 QR 코드를 모바일 신용카드 앱(App)에서 판독하여 결재를 하는 등 인증초기 수단으로 생성되고 있다.Using the QR code, it can be used for the URL access of the official certificate download for mobile in the domestic and overseas banking industry, or the QR code generated by the online store as a credit card mobile payment method is read from the mobile credit card app (app) It is being created as an initial means.

QR 코드는 인증 수단으로 RFID(Radio-frequency identification) 보다 저렴하고 일반 인쇄방식이나 모바일 단말, 웹 브라우저를 포함하는 각 종 어플리케이션에서 생성할 수 있어 그 사용범위가 급격히 확대되고 있다.The QR code is cheaper than RFID (Radio Frequency Identification) as an authentication means and can be generated in various applications including a general printing method, a mobile terminal, and a web browser, and its use range is rapidly expanding.

그러나, 인증수단으로서 QR 코드는 쉽게 복제할 수 있고 임의로 생성하거나 위조하기 쉬운 취약성을 지니고 있어 뛰어난 비용효율성에도 불구하고 출입제어 등 민감한 영역에서 활용될 수 없는 보안 장애요소를 지니고 있다.However, as an authentication means, QR codes have security obstacles that can not be used in sensitive areas such as access control, despite their excellent cost effectiveness because they can easily be duplicated and easily generated or falsified easily.

최근 국내에서 일부 기업에서 QR 코드를 동적으로 생성하여 인증에 사용하고 있으나, 30초 정도로 통상 주어지는 인증 가능한 임계 시간 이내에 스마트 폰 카메라를 통해 멀티미디어 메시지 서비스(Multimedia Message Service: MMS) 및 화상통화를 통해 원격지에서 생성 QR 코드를 전송 받아 비 인가된 자가 인증을 통과할 수 있는 보안 취약점이 존재한다.Recently, in some domestic companies, QR codes are dynamically generated and used for authentication. However, within 30 seconds of authentication, the authentication time can be shortened by multimedia messages (MMS) There is a security vulnerability that can receive the generated QR code from the unauthorized person and pass the authentication.

QR 코드는 기존 RFID 기반의 출입제어, 교통카드 등 다양한 분야의 대체 기술로 활용될 수 있는 경제성 및 편리성, 유지보수성을 가지고 있으나 복제, 위조 등 보안취약성으로 기술적용의 한계점을 지니고 있다.QR code has economical, convenience, and maintainability that can be utilized as alternative technology in various fields such as access control and traffic card based on existing RFID, but it has limitations in application of technology due to security vulnerability such as duplication and counterfeiting.

기존 인증 기술의 한계점을 극복하기 위하여 QR 코드를 대체 인증수단으로 적용하여 시스템 구축 및 유지 관리 측면에서 경제성, 편리성, 휴대 용이성, 보안성을 보장할 수 있는 인증 방법 및 시스템을 제공한다.In order to overcome the limitations of the existing authentication technology, the present invention provides an authentication method and system that can guarantee economy, convenience, portability and security in terms of system construction and maintenance by applying QR code as an alternative authentication means.

QR 코드를 이용하여 동적 상호작용 방식인 핸드쉐이킹(handshaking) 방식의 인증 환경을 제공할 수 있는 인증 방법 및 시스템을 제공한다.The present invention provides an authentication method and system that can provide a handshaking authentication environment using a dynamic interaction method using a QR code.

화상 통화를 사용한 원격지의 비인가 접근을 효과적으로 차단할 수 있는 QR 코드를 이용한 인증 방법 및 시스템을 제공한다.The present invention provides an authentication method and system using a QR code that can effectively block unauthorized access to a remote place using a video call.

컴퓨터로 구현되는 인증 방법에 있어서, 인증 대상인 사용자 단말기와 상기 사용자 단말기의 접근 여부를 결정하는 고정형 단말기 간의 인증을 위한 일회성 인증 터널(One Time Authentication Tunnel)을 생성하는 단계; 상기 사용자 단말기와 상기 고정형 단말기의 순차적인 요청에 따라 다차원 코드를 생성하는 단계; 및 상기 사용자 단말기와 상기 고정형 단말기 간의 상기 다차원 코드를 이용한 핸드쉐이킹(handshaking)을 통한 상기 일회성 인증 터널의 통과 여부에 따라 상기 사용자 단말기와 상기 고정형 단말기를 인증 처리하는 단계를 포함하는 인증 방법을 제공한다.A computer-implemented authentication method, comprising: generating a one-time authentication tunnel for authentication between a user terminal to be authenticated and a fixed terminal that determines whether to access the user terminal; Generating a multi-dimensional code according to a sequential request of the user terminal and the fixed terminal; And authenticating the user terminal and the fixed terminal according to whether the one-time authentication tunnel is passed through handshaking using the multi-dimensional code between the user terminal and the fixed terminal .

일 측면에 따르면, 상기 다차원 코드를 생성하는 단계는, 인증 임계 값(Authentication Threshold Value) 이내에서 유효한 소멸성 QR(Quick Response) 코드를 생성할 수 있다.According to an aspect of the present invention, the step of generating the multi-dimensional code may generate a decaying Quick Response (QR) code valid within an Authentication Threshold Value.

다른 측면에 따르면, 상기 일회성 인증 터널을 생성하는 단계는, 상기 사용자 단말기와 상기 고정형 단말기 간에 수행되는 핸드쉐이킹 횟수에 따른 임의 순열을 포함하는 상기 일회성 인증 터널을 생성할 수 있다.According to another aspect, the step of generating the one-time authentication tunnel may generate the one-time authentication tunnel including a random permutation according to the number of handshaking performed between the user terminal and the fixed terminal.

또 다른 측면에 따르면, 상기 일회성 인증 터널을 생성하는 단계는, 상기 사용자 단말기와 상기 고정형 단말기 간의 인증을 위한 고유 세션 키(session key)와 함께 상기 일회성 인증 터널을 생성할 수 있다.According to another aspect, the step of generating the one-time authentication tunnel may generate the one-time authentication tunnel together with a unique session key for authentication between the user terminal and the fixed terminal.

또 다른 측면에 따르면, 상기 사용자 단말기와 상기 고정형 단말기를 인증 처리하는 단계는, 상기 사용자 단말기와 상기 고정형 단말기가 상기 다차원 코드를 이용한 핸드쉐이킹을 통해 상기 임의 순열을 순차적으로 통과하는 경우 상기 사용자 단말기와 상기 고정형 단말기를 인증 통과 처리할 수 있다.According to another aspect of the present invention, the step of authenticating the user terminal and the fixed terminal may include: when the user terminal and the fixed terminal sequentially pass the random permutation through handshaking using the multi-dimensional code, It is possible to perform authentication pass processing of the fixed terminal.

적어도 하나의 프로그램이 로딩된 메모리; 및 적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서는, 상기 프로그램의 제어에 따라, 인증 대상인 사용자 단말기와 상기 사용자 단말기의 접근 여부를 결정하는 고정형 단말기 간의 인증을 위한 일회성 인증 터널(One Time Authentication Tunnel)을 생성하는 과정; 상기 사용자 단말기와 상기 고정형 단말기의 순차적인 요청에 따라 다차원 코드를 생성하는 과정; 및 상기 사용자 단말기와 상기 고정형 단말기 간의 상기 다차원 코드를 이용한 핸드쉐이킹(handshaking)을 통한 상기 일회성 인증 터널의 통과 여부에 따라 상기 사용자 단말기와 상기 고정형 단말기를 인증 처리하는 과정을 처리하는 인증 서버를 제공한다.At least one program loaded memory; And at least one processor, wherein the at least one processor is a one-time authentication tunnel for authentication between a user terminal to be authenticated and a fixed terminal that determines whether to access the user terminal, Tunnel); Generating a multi-dimensional code according to a sequential request of the user terminal and the fixed terminal; And a step of authenticating the user terminal and the fixed terminal according to whether the one-time authentication tunnel is passed through handshaking using the multi-dimensional code between the user terminal and the fixed terminal .

인증 대상인 사용자 단말기; 상기 사용자 단말기의 접근 여부를 결정하는 고정형 단말기; 및 상기 사용자 단말기와 상기 고정형 단말기 간의 인증을 위한 다차원 코드 및 일회성 인증 터널(One Time Authentication Tunnel)을 생성하는 인증 서버를 포함하고, 상기 인증 서버는, 상기 사용자 단말기와 상기 고정형 단말기 간의 상기 다차원 코드를 이용한 핸드쉐이킹(handshaking)을 통한 상기 일회성 인증 터널의 통과 여부에 따라 상기 사용자 단말기와 상기 고정형 단말기를 인증 처리하는 것을 특징으로 하는 인증 시스템을 제공한다.A user terminal to be authenticated; A fixed terminal for determining whether the user terminal is accessed; And an authentication server for generating a multi-dimensional code for authentication between the user terminal and the fixed terminal and a one-time authentication tunnel (One Time Authentication Tunnel), wherein the authentication server is configured to transmit the multi-dimensional code between the user terminal and the fixed terminal Wherein the authentication processing unit authenticates the user terminal and the fixed terminal according to whether the one-time authentication tunnel is passed through handshaking.

일 측면에 따르면, 상기 인증 서버는, 상기 사용자 단말기의 인증 요청에 따라 임의 순열을 포함하는 상기 일회성 인증 터널을 생성한 후 상기 임의 순열에 따라 상기 다차원 코드를 순차적으로 생성하고, 상기 사용자 단말기와 상기 고정형 단말기는, 상기 다차원 코드에 대한 표출과 인식을 교차적으로 수행하는 핸드쉐이킹으로 상기 일회성 인증 터널을 통과할 수 있다.According to an aspect of the present invention, the authentication server generates the one-time authentication tunnel including an arbitrary permutation according to an authentication request of the user terminal, sequentially generates the multidimensional code according to the random permutation, The stationary terminal may pass through the one-time authentication tunnel with handshaking that performs display and recognition of the multi-dimensional code in an alternating manner.

다른 측면에 따르면, 상기 인증 서버는, 인증 임계 값(Authentication Threshold Value) 이내에서 유효한 소멸성 QR(Quick Response) 코드를 생성할 수 있다.According to another aspect, the authentication server may generate a decaying quick response (QR) code within an Authentication Threshold Value.

또 다른 측면에 따르면, 상기 인증 서버는, 상기 사용자 단말기와 상기 고정형 단말기 간의 인증을 위한 고유 세션 키(session key)와 함께 상기 일회성 인증 터널을 생성할 수 있다.According to another aspect, the authentication server may generate the one-time authentication tunnel together with a unique session key for authentication between the user terminal and the fixed terminal.

또 다른 측면에 따르면, 상기 고정형 단말기는, 상기 인증 서버에서 정해진 회전 방향과 회전 속도 및 회전 각도 중 적어도 하나의 회전 패턴 튜플로 상기 사용자 단말기를 회전하도록 요구한 후 카메라에서 획득한 동영상을 분석하여 상기 사용자 단말기를 검증할 수 있다.According to another aspect of the present invention, the fixed terminal requests the user terminal to rotate using at least one rotation pattern tuple of the rotation direction, the rotation speed, and the rotation angle determined by the authentication server, analyzes the moving image acquired by the camera, The user terminal can be verified.

또 다른 측면에 따르면, 인증 시스템은, 상기 사용자 단말기와 관련된 인증 정보와 상기 고정형 단말기와 관련된 인증 정보를 관리하는 저장소; 및 상기 저장소를 이용하여 적법하지 않은 형태의 상기 일회성 인증 터널의 접근을 차단하는 접근 통제 센터를 더 포함할 수 있다.According to another aspect, an authentication system includes: a storage for managing authentication information associated with the user terminal and authentication information associated with the fixed terminal; And an access control center for blocking access to the one-time authentication tunnel in an illegal form using the repository.

또 다른 측면에 따르면, 인증 시스템은, 사용자 별 인가된 서비스와 접근 권한을 포함하는 사전 등록 정보를 관리하는 저장소; 및 상기 사용자 단말기와 상기 고정형 단말기의 인증이 완료되면 상기 고정형 단말기로 상기 사용자 단말기에 대응되는 사전 등록 정보를 전달하는 인가 서버를 더 포함할 수 있다.According to another aspect, an authentication system includes: a repository for managing pre-registration information including per-user authenticated services and access rights; And an authorization server for transferring the pre-registration information corresponding to the user terminal to the fixed terminal when the authentication of the user terminal and the fixed terminal is completed.

본 발명의 실시예에 따르면, QR 코드를 이용하여 다중요소 인증을 구현함으로써 기존 인증 기술의 한계점을 극복할 수 있고 QR 코드를 대체 인증수단으로 적용하여 시스템 구축 및 유지 관리 측면에서 경제성, 편리성, 휴대 용이성, 보안성을 보장할 수 있다.According to the embodiment of the present invention, by implementing the multi-element authentication using the QR code, the limitation of the existing authentication technology can be overcome and the QR code can be applied as the alternative authentication means to provide economical, Portability and security can be guaranteed.

본 발명의 실시예에 따르면, QR 코드를 기반으로 다중요소 인증 환경을 제공함으로써 QR 코드를 강력한 보안인증 수단으로 향상시킬 수 있으며 복잡한 기존 인증수단을 대체할 수 있다.According to an embodiment of the present invention, a QR code can be enhanced as a strong security authentication means by providing a multi-element authentication environment based on a QR code, and it can replace a complicated existing authentication means.

본 발명의 실시예에 따르면, QR 코드를 이용하여 핸드쉐이킹의 동적 상호작용 방식을 구현함으로써 원격지 인가자 공모방식의 비인가자 인증을 효과적으로 차단할 수 있다.According to the embodiment of the present invention, by implementing the dynamic interaction method of handshaking using the QR code, it is possible to effectively block the unauthorized authentication of the remote authorizers.

본 발명의 실시예에 따르면, 핸드쉐이킹의 안전성과 보안성을 확보하기 위해 일회성 인증 터널을 제공할 수 있으며, 임의로 유추 불가한 일회성 인증 터널을 침해의 목적으로 접근할 경우 이를 차단하고 검출하는 보호 장벽을 구현할 수 있다.According to the embodiment of the present invention, a one-time authentication tunnel can be provided in order to secure safety and security of handshaking, and a protection barrier that blocks and detects an unauthorized one- Can be implemented.

도 1은 본 발명의 일 실시예에 있어서, QR 코드를 이용한 인증 시스템을 도시한 것이다.
도 2는 본 발명의 일 실시예에 있어서, QR 코드를 이용한 인증 방법을 도시한 순서도이다.
도 3은 본 발명의 일 실시예에 있어서, 고정형 단말기를 통한 원격지 공모 인증 검출 과정을 설명하기 위한 흐름도이다.
도 4는 본 발명의 일 실시예에 있어서, 일회성 인증 터널(OTAT)을 사용한 인증 과정을 설명하기 위한 구조도이다.
도 5는 본 발명의 일 실시예에 있어서, OTAT에 대한 보호 장벽인 접근 통제 센터를 설명하기 위한 구조도이다.
도 6은 본 발명의 일 실시예에 있어서, 컴퓨터 시스템의 내부 구성의 일례를 설명하기 위한 블록도이다.1 shows an authentication system using a QR code in an embodiment of the present invention.
2 is a flowchart showing an authentication method using a QR code in an embodiment of the present invention.
3 is a flowchart illustrating a process of detecting a remote open competition authentication through a fixed terminal according to an exemplary embodiment of the present invention.
4 is a structural diagram for explaining an authentication process using a one-time authentication tunnel (OTAT) in an embodiment of the present invention.
5 is a structural diagram for explaining an access control center, which is a protection barrier against OTAT, according to an embodiment of the present invention.
6 is a block diagram for explaining an example of an internal configuration of a computer system in an embodiment of the present invention.

이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 실시예들은 QR 코드를 동적 상호작용 방식으로 적용한 다중요소 인증 기술에 관한 것으로, 출입 통제나 도어락 등과 관련된 인증 분야에 적용될 수 있으며, 더 나아가 휴대폰 인증 및 결제 시장 등 인증이 요구되는 다양한 산업 분야로 확대 적용 가능하다.The present embodiments relate to a multi-element authentication technology applying a QR code as a dynamic interaction method and can be applied to authentication fields related to access control and door lock, and furthermore, It is possible to enlarge.

본 명세서에서는 인증수단으로 QR 코드를 적용하는 것으로 설명하고 있으나, 이에 한정되는 것은 아니며 QR 코드 이외에도 데이터 매트릭스(Data Matrix), 맥시 코드(Maxicode) 등 모든 종류의 다차원 코드를 적용할 수 있음은 물론이다.In the present specification, QR code is applied as an authentication means. However, the present invention is not limited to this, and it is needless to say that all kinds of multidimensional codes such as Data Matrix and Maxicode can be applied in addition to QR codes .

이하에서는 'QR 코드'를 다차원 코드의 대표적인 예로서 설명하기로 한다. 일 예로, QR 코드로는 JIS(Japanese Industrial Standards) 규격 및 ISO(International Organization for Standardization) 규격의 코드를 활용할 수 있다.Hereinafter, a 'QR code' will be described as a representative example of the multi-dimensional code. For example, codes of Japanese Industrial Standards (JIS) and International Organization for Standardization (ISO) standards can be used as QR codes.

도 1은 본 발명의 일 실시예에 있어서, QR 코드를 이용한 인증 시스템을 도시한 것이다.1 shows an authentication system using a QR code in an embodiment of the present invention.

도 1을 참조하면, 본 발명에 따른 인증 시스템은 사용자 단말기(102), 고정형 단말기(104), 접근 통제 센터(108), 인증 서버(Authentication Server)(112), 저장소(Repository)(114), 인가 서버(Authorization Server)(116)를 포함할 수 있다.Referring to FIG. 1, an authentication system according to the present invention includes a user terminal 102, a fixed terminal 104, an access control center 108, an authentication server 112, a repository 114, And an Authorization Server (116).

사용자 단말기(102)는 스마트폰(smart phone), 태블릿(tablet), 웨어러블 컴퓨터(wearable computer) 등 이동성을 가진 단말 형태로, 카메라와 디스플레이를 탑재한 단말을 의미할 수 있다. 사용자 단말기(102)는 인증 시스템과 관련된 웹/모바일 사이트의 접속 또는 서비스 전용 어플리케이션의 설치 및 실행이 가능한 모든 단말 장치를 의미할 수 있다. 이때, 사용자 단말기(102)는 웹/모바일 사이트 또는 전용 어플리케이션의 제어 하에 서비스 화면 구성, 데이터 입력, 데이터 송수신, 데이터 저장 등 서비스 전반의 동작을 수행할 수 있다.The user terminal 102 may be a mobile terminal having a mobile phone such as a smart phone, a tablet, and a wearable computer, and may be a terminal equipped with a camera and a display. The user terminal 102 may refer to all terminals capable of connecting to a web / mobile site related to the authentication system or installing and executing a service-dedicated application. At this time, the user terminal 102 can perform operations of the entire service such as service screen configuration, data input, data transmission / reception, and data storage under the control of a web / mobile site or a dedicated application.

인증 대상인 사용자가 사용자 단말기(102)를 통해 일차 인증을 통과한 경우 인증 서버(112)는 사전 정책에서 지정된 인증 임계 값(Authentication Threshold Value: ATV) 이내에만 유효한 소멸성 QR 코드를 생성할 수 있다. 이때, 사용자 단말기(102)는 인증 서버(112)에서 생성된 QR 코드를 디스플레이를 통해 표출할 수 있고, 이에 사용자는 ATV에 지정된 시간 이내에 고정형 단말기(104)에 디스플레이에 표출된 QR 코드의 인식을 요청할 수 있다.When the user to be authenticated passes the primary authentication through the user terminal 102, the authentication server 112 can generate a valid annotation QR code only within the authentication threshold value (ATV) specified in the pre-policy. At this time, the user terminal 102 can display the QR code generated by the authentication server 112 through the display, and the user can recognize the QR code displayed on the display to the fixed terminal 104 within a time specified by the ATV Can be requested.

사용자 단말기(102)의 일차 인증은 암호, 개인식별번호, 전화번호 등을 이용한 지식 기반 TYPE 1 인증과, 열쇠, 스와이프 카드, 액세스 카드, 공인인증서 등 매개물을 이용한 TYPE 2 인증과, 홍채, 망막, 지문, 얼굴, 음성 등 생체 정보를 이용한 TYPE 3 인증 중 어느 하나를 이용한 단일요소 인증 방식 또는 둘 이상을 조합한 다중요소 인증 방식을 적용할 수 있다. 이때, 다중요소 인증 방식으로는 TYPE 1 + TYPE 2, TYPE 1 + TYPE 3, TYPE 2 + TYPE 3, TYPE 1 + TYPE 2 + TYPE 3의 형태 중 어느 하나가 될 수 있다.The primary authentication of the user terminal 102 includes a TYPE 2 authentication using a medium such as a key, a swipe card, an access card, and an official certificate, and a TYPE 2 authentication using an iris, a retina A single element authentication method using any one of TYPE 3 authentication using biometric information such as fingerprint, face, and voice, or a multi-element authentication method using a combination of two or more. TYPE 1 + TYPE 2, TYPE 1 + TYPE 3, TYPE 2 + TYPE 3, TYPE 1 + TYPE 2 + TYPE 3 may be used as the multi-element authentication method.

저장소(114)는 인증 및 인가를 위한 정보와 처리 결과를 저장하고 있는 기술적/물리적/관리적 보안의 적용을 받는 서버이며, 관리 대상 정보로 사용자 식별 정보, 고정형 단말기(104)의 식별 정보, 고정형 단말기(104)의 물리적 설치 위치, 설치 위치 또는 구역별 접근 가능한 사용자 정보, 사용자 단말기(102)의 식별 정보, 사용자 별 인가된 서비스와 접근 권한, 인증 기록, 인가 기록 등 주체 및 자원의 인증/인가를 위한 사전 정보와 처리결과를 관리할 수 있다.The storage 114 is a server which is applied with technical / physical / administrative security for storing authentication and authorization information and processing results. The storage 114 stores user identification information, identification information of the fixed terminal 104, Authentication / authorization of the subject and resources such as physical installation location, installation location or zone-specific user information of the user terminal 102, identification information of the user terminal 102, authorized service and access right per user, authentication record, And can manage the result information.

인증 서버(112)는 최초 QR 코드를 생성하는 시점에 인증을 위한 통신 터널인 일회성 인증 터널(One Time Authentication Tunnel: OTAT)(110)을 생성하는 역할을 한다. OTAT는 사용자 단말기(102)와 고정형 단말기(104) 사이에 수행되는 핸드쉐이킹 횟수(n=1)에 따른 임의의 순열(permutation)로 구성되어 해당 인증 건의 고유 세션 키(session key)와 함께 생성된다. 본 실시예에서는 OTAT의 구성을 위해 순열 외 순서가 있는 임의 문자열의 사용을 포함할 수 있으며, 편의 상 순열로 표현하고자 한다. 인증 서버(112)는 사용자 단말기(102)와 고정형 단말기(104)가 순차적으로 QR 코드를 통해 순열을 통과할 경우에 최종 인증 통과 처리를 수행하게 되며, QR 코드에 대응하는 URL이 인증 서버(112) 상의 HTTPS 등 공개키(public key) 기반의 암호화 통신 환경 위에서 동작하는 게이트웨이(Gateway) 어플리케이션으로 세션키와 OTAT의 순열의 기대 값, 인증 요청 단말 정보를 입력 받아 해당 세션의 순열과 인가 서버(116)의 인증 처리를 수행한다. 생성된 순열과 세션키를 보호하기 위해 일방향 함수를 적용할 수 있다.The authentication server 112 is responsible for generating a One Time Authentication Tunnel (OTAT) 110, which is a communication tunnel for authentication at the time of generating the first QR code. The OTAT is configured with an arbitrary permutation according to the number of handshaking times (n = 1) performed between the user terminal 102 and the fixed terminal 104 and is generated together with a unique session key of the corresponding authentication subject . In this embodiment, the configuration of the OTAT may include the use of an arbitrary character string having an order other than a permutation order. The authentication server 112 performs the final authentication pass processing when the user terminal 102 and the fixed terminal 104 sequentially pass the permutation through the QR code and the URL corresponding to the QR code is transmitted to the authentication server 112 The session key, the expectation value of the permutation of the OTAT, and the authentication request terminal information are received in a gateway application operating on an encryption communication environment based on a public key such as HTTPS on the authentication server 116 ) Authentication process. One-way functions can be applied to protect generated permutations and session keys.

접근 통제 센터(108)는 OTAT에 대한 보호 장벽으로서 저장소(114)에 등재되지 않은 단말기나 비 인가된 단말기, 존재하지 않는 세션키, 올바르지 않은 요청 순열 등 적법하지 않은 형태로 OTAT에 접근하는 모든 경우를 차단하고, 일정 수준 이상의 침해 시도가 계속될 경우 관리자에게 경보를 발생할 수 있다.The access control center 108 is responsible for all access to the OTAT in a non-legitimate manner, such as a terminal or unauthorized terminal not listed in the store 114 as a protection barrier against OTAT, a non-existent session key, And an alarm may be generated to the administrator when a certain level of invasion attempts continue.

인가 서버(116)는 인증된 사용자에 대해 저장소(114)의 사전 등록 정보에 기초하여 사용자가 접근 가능한 고정형 단말기(104)와 인가된 서비스 및 권한을 고정형 단말기(104)에 전달한다.The authorization server 116 forwards the user-accessible fixed terminal 104 and the authorized service and authority to the fixed terminal 104 based on the pre-registration information of the store 114 for the authenticated user.

고정형 단말기(104)는 고정형 단말 형태로 사용자 단말기(102)와의 동적 상호작용 방식으로 사용자 단말기(102)에 대한 접근 가능 여부를 확인하는 역할은 한다. 이를 위하여, 고정형 단말기(104)는 3단계로 동작하며, 1단계로 QR 코드 검증, 2단계로 원격지 공모 인증 검출, 3단계로 핸드쉐이킹을 수행한다. 본 실시예에서는 3단계에 대한 순서의 재배치를 포함할 수 있으며, 3개의 단계를 1회 이상 재배치하여 보안 강도를 상승시킬 수 있다.The fixed terminal 104 plays a role of confirming whether the user terminal 102 can be accessed by a dynamic interaction with the user terminal 102 in the form of a fixed terminal. To this end, the fixed terminal 104 operates in three stages, and performs QR code verification in one step, remote cooperative authentication detection in two steps, and handshaking in three steps. In this embodiment, it is possible to relocate the order for the three steps, and the security strength can be increased by rearranging the three steps at least once.

QR 코드 검증 단계에서 고정형 단말기(104)는 사용자 단말기(102)에 표출된 QR 코드를 카메라를 통해 1차 검증을 수행하며, ATV 만료 등 검증 오류가 있는 경우 사용자에게 QR 코드의 재생성을 요청할 수 있다. 그리고, 고정형 단말기(104)는 인가 서버(116)에 사용자가 물리적 위치 또는 구역에 접근 가능한지 질의를 요청하여 접근 가능한 경우에 정상 처리를 하고 접근 불가한 경우는 처리를 중단하고 저장소(114)에 비인가 접근을 기록하고 사용자에게 비인가 접근에 대한 안내를 디스플레이 또는 스피커를 통해 출력한다.In the QR code verification step, the fixed terminal 104 performs the primary verification of the QR code displayed on the user terminal 102 through the camera, and may request the user to regenerate the QR code if there is a verification error such as expiration of the ATV . The fixed terminal 104 then requests the authorization server 116 to query the user for access to the physical location or zone and if it is accessible, performs normal processing and if not, stops the processing, Records the access and outputs the guidance to the user about unauthorized access via the display or the speaker.

원격지 공모 인증 검출 단계는 사용자 단말기(102)에 표출된 QR 코드가 검증을 정상적으로 통과한 경우, 화상 통화 및 방송 장비 등 실시간 동화상으로 비인가 사용자가 원격지 상의 인가된 사용자의 공모를 통해 인증을 시도하는 경우를 차단하기 위한 방법이다. 인증 서버(112)에서 인증 요청 시점마다 임의(random) 함수로 회전 패턴 튜플(회전 방향, 회전각도, 회전속도)를 정하여 고정형 단말기(104)의 디스플레이를 통한 안내를 따라 사용자 단말기(102)를 회전하도록 요구하여 고정형 단말기(104)의 카메라에서 촬영된 회전 동화상을 분석하여 지시를 따른 사용자 단말기 회전 여부 및 검증된 QR 코드의 유지 여부, 사용자 단말기(102) 화면 상의 어플리케이션 경계 유지 여부 등 검증한다. 본 발명의 ATV는 원격지의 인가된 사용자의 공모 시 기간 이내에 사전에 동화상을 제작할 수 없는 한계 기간으로 설정되며, 본 발명은 사용자 단말기(102) 회전의 궤적 요청을 불규칙하게 구성하여 원격지의 인가 사용자가 고정형 단말기(104)의 회전 지시 화면을 볼 수 없는 상태에서 정확한 회전 방향과 속도를 현장의 공모자와 정확하게 동기화할 수 없어 발생하는 동화상의 논리적 오류를 검출하여 원격지 공모 인증을 효과적으로 방어할 수 있다.If the QR code displayed on the user terminal 102 passes the verification normally, the remote coexistent authentication detection step is performed when a user who is not authenticated as a real-time moving image such as a video call and broadcasting equipment tries authentication through an open competition of an authorized user on the remote site . ≪ / RTI > The authentication server 112 determines a rotation pattern tuple (rotation direction, rotation angle, rotation speed) as a random function at each authentication request time and rotates the user terminal 102 according to the guidance through the display of the fixed terminal 104 And analyzes the rotated moving image captured by the camera of the fixed terminal 104 to verify whether the user terminal rotates according to the instruction, whether to maintain the verified QR code, whether to maintain the application boundary on the screen of the user terminal 102, and the like. The ATV of the present invention is set to a limit period in which a moving image can not be produced within a time period during which the authorized user of the remote location can open the moving picture, and the present invention is configured to irregularly request the locus of the rotation of the user terminal 102, It is not possible to precisely synchronize the accurate rotation direction and speed with the cooperative contestants in a state in which the rotation instruction screen of the fixed type terminal 104 can not be viewed, thereby detecting a logical error of the moving image, thereby effectively preventing remote competition contest authentication.

고정형 단말기(104)의 핸드쉐이킹 단계는 인증 서버(112)에서 일회성 인증 터널(OTAT)(110)을 기반으로 사용자 단말기(102)의 카메라에서 인식할 수 있는 일회성 QR 코드를 생성하여 사전 설정된 핸드쉐이킹 횟수에 따라 OTAT를 정상적으로 통과하는 시점까지 사용자 단말기(102)와 상호 작용을 한다. OTAT를 정상 통과하지 못한 경우 이를 보안 침해로 검출하여 고정형 단말기(104)에 나타난 사용자의 촬영 정보 및 요청 QR 코드의 이미지, 기타 정보를 로깅(logging)하여 인증 서버(112)에 저장을 요청한다.The handshaking of the stationary terminal 104 is performed by the authentication server 112 by generating a one-time QR code recognizable by the camera of the user terminal 102 based on the one-time authentication tunnel (OTAT) And interacts with the user terminal 102 until the OTAT passes normally according to the number of times. OTAT, it is detected as a security breach and the image of the user, the image of the requested QR code and other information displayed in the fixed terminal 104 are logged and the authentication server 112 is requested to store it.

인가 서버(112)는 인증이 완료된 사용자에게 고정형 단말기(104)에서 인가된 서비스나 권한을 사용자에게 제공하는 것으로, 출입 통제 측면의 출입문 개방, 서비스에서 물품의 구매 의사 표현, 인사 근태 관리의 출퇴근, 전자상거래의 대금 결제 등 다양한 서비스와 권한으로 연계 구성할 수 있으며, 사용자 단말기(102) 상의 연계 서비스에 대한 인가를 포함할 수 있다.The authorization server 112 provides the user with the service or authority authorized by the fixed terminal 104 to the user who has been authenticated. The authorization server 112 can be used to open the entrance door on the access control side, to express the purchase intention of the goods in the service, Electronic commerce, payment of electronic commerce, and the like, and may include authorization for the linked service on the user terminal 102. [

사용자 단말기(102)에 대해 TYPE 1 + TYPE 2 (2-factor) 인증 방식과 5-way 핸드쉐이킹을 적용하는 경우를 가정하여 구체적인 인증 과정을 설명하면 다음과 같다.A specific authentication process will be described assuming that the TYPE 1 + TYPE 2 (2-factor) authentication method and the 5-way handshaking are applied to the user terminal 102.

사용자 단말기(102)로서 이미 등록된 스마트폰을 활용한다면 TYPE 2 인증을 만족하게 되며 스마트폰에 본인의 생년월일이나 로그인 ID와 암호와 같은 TYPE 1 인증을 결합하여 인증 서버(112)에 요청하면 일차 인증의 TYPE 1 + TYPE 2 (2-factor)인 다중요소 인증 요건을 만족한다.If the smartphone registered as the user terminal 102 is utilized, the TYPE 2 authentication is satisfied. If the smartphone is requested to the authentication server 112 by combining the TYPE 1 authentication such as the date of birth or the login ID and the password with the smartphone, TYPE 1 + TYPE 2 (2-factor).

인증 서버(112)에서 정상적인 인증 통과를 할 경우에 한하여 5개의 임의의 순열이 생성되고, 첫 번째 숫자와 유일한 세션키, 사용자 단말기(102)의 식별 정보가 결합된 첫 번째 QR 코드가 사용자 단말기(102)에 디스플레이에서 표출되며 순열을 보호하기 위해 일방향 함수를 적용하는 것을 포함할 수 있다. 사용자는 인증 임계 값(ATV)에 지정된 시간 이내에 고정형 단말기(104)로 사용자 단말기(102)에 표출된 QR 코드의 인식을 요청한다.Five arbitrary permutations are generated only when the authentication server 112 performs a normal authentication pass and the first QR code in which the first number and the unique session key and the identification information of the user terminal 102 are combined is transmitted to the user terminal 102), and applying a one-way function to protect permutations. The user requests recognition of the QR code displayed on the user terminal 102 to the fixed terminal 104 within the time specified in the authentication threshold value (ATV).

고정형 단말기(104)는 사용자 단말기(102)에 표출된 QR 코드의 인식 단계를 수행하고 물리적 위치 또는 구역에 접근가능 여부를 점검한다. 고정형 단말기(104)의 원격지 공모 인증 검출 단계는 이전 단계의 정상 통과를 확인한 후 진행되며, 인증 서버(112)에서 매번 임의로 지정된 방향과 회전 속도로 사용자 단말기(102)를 회전하도록 한다. 예를 들어, 임의 함수의 결과가 (반시계 방향, 30도, 빠르게)와 (시계 방향, 45도, 느리게)라고 한다면, 고정형 단말기(104)의 디스플레이를 통해 사용자 안내와 함께 사용자 단말기(102)가 요구한 최초 위치로부터 반시계 방향으로 30도 회전 이동 후 보다 빠른 속도로 시계 방향으로 45도 회전이동을 요구한다. 회전 동작의 특성 상 원격지 공모가 있는 경우, 사용자 단말기(102)의 디스플레이는 원격지의 단말기를 화상 통화 또는 방송 장비로 중계하는 과정에서 회전각의 불일치가 발생하게 되며 임의의 방향과 속도로 요구되는 회전동작을 일치하기 어렵게 되어 용이하게 검출할 수 있다. 고정형 단말기(104)의 핸드쉐이킹 단계는 이전 단계의 정상 통과를 확인한 후 진행되며, 인증 서버(112)에서 일회성 인증 터널(110)을 기반으로 사용자 단말기(102)의 카메라에서 인식할 수 있는 일회성 QR 코드를 생성하여 사전 설정된 핸드쉐이킹 횟수 5회에 따라 일회성 인증 터널(OTAT)(110)을 정상적으로 통과하는 시점까지 사용자 단말기(102)와 상호 작용을 정상적으로 진행한다. 고정형 단말기(104)의 인가 단계는 이전 단계의 정상통과를 확인한 후 진행되며, 인증이 완료된 사용자에게 고정형 단말기(104)에서 인가된 서비스 및 권한을 사용자에게 제공하는 것으로 예를 들어 근태관리 시스템의 출근을 확인하는 등 실제 서비스에 연결될 수 있다.The fixed terminal 104 performs the step of recognizing the QR code displayed on the user terminal 102 and checks whether the physical location or the area is accessible. The remote access subscription authentication detecting step of the fixed type terminal 104 proceeds after confirming the normal passage of the previous step and allows the authentication server 112 to rotate the user terminal 102 at a randomly designated direction and rotational speed each time. For example, if the result of an arbitrary function is (counterclockwise, 30 degrees, fast) and (clockwise, 45 degrees, slow), the user terminal 102, together with the user's guidance, Requires a 45 degree rotation movement in the clockwise direction at a higher speed after the 30 degree rotation movement in the counterclockwise direction from the required initial position. In the case where there is a remote open call for competition on the characteristic of the rotation operation, the display of the user terminal 102 causes inconsistency of rotation angles in the process of relaying a remote terminal to a video call or broadcasting equipment, The operation becomes difficult to match and can be easily detected. The handshaking step of the fixed terminal 104 proceeds after confirming the normal passage of the previous step and is performed by the authentication server 112 based on the one-time authentication tunnel 110 and the one-time QR Code and normally interacts with the user terminal 102 until the time when the one-time authentication tunnel (OTAT) 110 passes normally according to the preset number of handshaking 5 times. The approval step of the fixed type terminal 104 is performed after confirming the normal passage of the previous step and provides the user with the service and authority authorized by the fixed type terminal 104 to the user who has been authenticated. For example, And can be connected to an actual service.

도 2는 본 발명의 일 실시예에 있어서, QR 코드를 이용한 인증 방법을 도시한 흐름도이다. 일 실시예에 따른 인증 방법은 도 1을 통해 설명한 인증 시스템에 의해 각각의 단계가 수행될 수 있다.2 is a flowchart illustrating an authentication method using a QR code in an embodiment of the present invention. The authentication method according to one embodiment may be performed by the authentication system described with reference to FIG.

단계(210)에서, 인증을 위한 정보로서 사전에 인가된 사용자의 식별 정보와 접근 가능한 서비스 및 권한 정보, 사용자 단말기 정보 등을 저장소(114)에 등록할 수 있다.In step 210, the identification information of the user previously authorized as information for authentication and service and authority information, user terminal information and the like that can be accessed can be registered in the storage 114.

단계(220)에서, 저장소(114)에 사전 등록된 사용자 단말기 여부를 점검하고 등록된 경우 사용자가 일차 인증(지식 기반 TYPE 1, 매개물을 이용한 TYPE 2, 생체 정보를 이용한 TYPE 3 중 적어도 하나에 따른 인증)을 통과하면 QR 코드를 생성한다. 이때, 일차 인증은 TYPE 1, TYPE 2, TYPE 3 중 하나의 인증 방식이 적용되거나 둘 이상의 인증 방식이 조합된 다중요소 인증으로 동작할 수 있으며, 다중요소 인증 시 모든 인증의 정상처리 후 QR 코드를 생성한다.In step 220, it is checked whether or not the user terminal is pre-registered in the storage 114, and if the user is registered in the storage 114, the user selects one of the following types: primary authentication (knowledge-based TYPE 1, TYPE 2 using medium, Authentication), a QR code is generated. In this case, primary authentication can be applied to one of TYPE 1, TYPE 2, TYPE 3, or multi-element authentication in which two or more authentication methods are combined. In multi-element authentication, a QR code .

단계(230)에서, 인증 서버(112)는 사전 지정된 핸드쉐이크 횟수만큼의 순열을 임의 함수로 생성하고 세션 키를 부여하고, 단계(220)에서 인증을 요청한 사용자 단말기의 식별 번호를 세션 키에 맵핑하여 일회성 인증 터널(OTAT)을 생성하고, 사용자 단말기(102)로 순열의 첫 번째 값을 전달하여 사용자 단말기(102)가 첫 번째 QR 코드를 만들 수 있도록 한다.In step 230, the authentication server 112 generates an arbitrary number of permutations as many times as a predetermined number of handshakes, assigns a session key, maps the identification number of the user terminal requesting authentication in step 220 to a session key To generate a one-time authentication tunnel (OTAT) and pass the first value of the permutation to the user terminal 102 so that the user terminal 102 can generate the first QR code.

단계(240)에서, 사용자는 인증 임계 값(ATV) 시간 이내에 사용자 단말기(102)에 생성된 QR 코드를 고정형 단말기(104)에 인식해야 하며, ATV 시간을 초과할 경우 생성된 QR 코드는 자동 소멸된다. ATV는 조절될 수 있으나 원격지에서 생성하여 촬영 후 전송할 수 있는 시간보다 짧아야 한다.In step 240, the user must recognize the QR code generated in the user terminal 102 within the authentication threshold (ATV) time by the fixed terminal 104, and if the ATV time is exceeded, the generated QR code is automatically canceled do. The ATV can be controlled, but it must be shorter than the time it can be created and transmitted from the remote site.

단계(250)에서, 단계(240)에서 전달된 QR 코드가 일회성 인증 터널(OTAT)의 첫 번째 순열 값으로 만들어진 것인지 인증 서버(112)에 검증을 요청하며, 검증 시 고정형 단말기(104)의 식별 정보가 함께 전달되고 OTAT에 상호 인증을 위한 고정형 단말기(104)의 식별 번호가 맵핑(mapping)된다. 이미 OTAT에 고정형 단말기(104)의 식별 번호가 맵핑이 될 경우, 인증 서버(112)는 오류 처리를 하고 해당 OTAT를 폐기 처리하고 비인가 접근으로 저장소(114)에 로깅하며 관리자에게 경고를 보낼 수 있다. 인증 서버(112)에 정상적으로 상호 인증을 위한 고정형 단말기(104)의 식별 번호가 맵핑된 경우 다음 단계로 임의 함수로 회전 패턴 튜플(회전 방향, 회전각도, 회전속도)를 정하여 고정형 단말기(104)의 디스플레이를 통한 안내를 따라 사용자 단말기(102)를 회전하도록 요구하여 고정형 단말기(104)의 카메라 모듈에서 촬영된 회전 동화상을 분석 및 공모여부를 검증한다. 원격지에 있는 인가된 사용자가 고정형 단말기(104)의 회전 지시 화면을 볼 수 없는 상태에서 정확한 회전 방향과 속도를 현장의 공모자와 정확하게 동기화할 수 없어 발생하는 동화상의 논리적 오류를 검출할 수 있으며, 구체적인 검출 방법으로 지시에 따른 사용자 단말기 회전여부 및 검증된 QR 코드 유지여부, 사용자 단말기 화면 상의 어플리케이션 경계선 유지 여부, 플래쉬(Flash) 모듈을 구동할 경우 깜빡임의 감지 등 다양한 검증 방법을 포함할 수 있다.In step 250, the authentication server 112 is requested to verify whether the QR code transmitted in step 240 is made of the first permutation value of the one-time authentication tunnel OTAT, Information is transmitted together and the identification number of the fixed terminal 104 for mutual authentication is mapped to the OTAT. When the identification number of the stationary terminal 104 is already mapped to the OTAT, the authentication server 112 performs an error process, discards the OTAT, logs in the unauthorized access to the storage 114, and sends a warning to the administrator . When the identification number of the fixed terminal 104 for mutual authentication is mapped to the authentication server 112 normally, a rotation pattern tuple (rotation direction, rotation angle, rotation speed) is determined as an arbitrary function in the next step, Requests the user terminal 102 to rotate according to the guidance through the display, and analyzes the rotating motion image photographed by the camera module of the stationary terminal 104 and verifies whether or not to open the motion picture. It is possible to detect a logical error of a moving picture that can not be accurately synchronized with an accurate co-ordinate rotation direction and speed with the co-workers in the field in a state where an authorized user at a remote location can not view the rotation instruction screen of the fixed terminal 104, A detection method may include various verification methods such as whether the user terminal rotates according to an instruction, whether a verified QR code is maintained, whether an application boundary line is maintained on the screen of the user terminal, and flicker detection when a flash module is driven.

단계(260)에서, 사용자 단말기(102)와 고정형 단말기(104) 사이에 핸드쉐이킹 지정 횟수만큼 상호 QR code를 발생 시키고 인식하는 방법으로 일회성 인증 터널(OTAT)을 통과 함으로써 인증을 처리한다.In step 260, authentication is performed by passing the one-time authentication tunnel (OTAT) in a manner of generating and recognizing mutual QR codes between the user terminal 102 and the fixed terminal 104 for the specified number of handshaking times.

단계(270)에서, 인가서버(116)는 인증을 정상적으로 마친 사용자의 정보를 저장소(114)에서 가져와 사용자의 접근 가능 서비스 및 서비스별 권한을 부여할 수 있다.In step 270, the authorization server 116 may retrieve the information of the user who has successfully authenticated from the repository 114 to authorize the user's accessable services and services.

도 3은 본 발명의 일 실시예에 있어서, 고정형 단말기를 통한 원격지 공모 인증 검출 과정을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a process of detecting a remote open competition authentication through a fixed terminal according to an exemplary embodiment of the present invention.

단계(310)에서, 인증 서버(112)에서 임의 함수로 회전 패턴 튜플(회전 방향, 회전각도, 회전속도)을 최소 2개 이상 생성하며, 회전 방향은 시계 방향 또는 반시계 방향이며 회전 각도는 사람이 회전하기 적합한 범위에서 최소 값 이상 최대 값 이하의 난수를 발생하여 정한다. 회전 속도는 사람이 디스플레이를 따라 회전할 수 있는 범위에서 최소 값 이상 최대 값 이하를 정하여 여러 개의 구간 값으로 구분한 후 난수를 발생하여 정한다.At step 310, the authentication server 112 generates at least two rotation pattern tuples (rotation direction, rotation angle, rotation speed) as an arbitrary function, the rotation direction is clockwise or counterclockwise, A random number less than or equal to the minimum value and less than the maximum value is generated and determined. The rotation speed is determined by generating a random number by dividing the rotation speed into a plurality of interval values by setting a minimum value to a maximum value or less within a range in which the human can rotate along the display.

단계(320)에서, 고정형 단말기(104)에서 결정된 이동 패턴 튜플(회전 방향, 회전각도, 회전속도)에 따라 사용자 단말기(102)에 회전 요청을 전달하여 동화상을 촬영할 수 있다.In step 320, a rotation request is transmitted to the user terminal 102 according to the movement pattern tuple (rotation direction, rotation angle, rotation speed) determined in the fixed terminal 104, so that a moving image can be photographed.

단계(330)에서, 고정형 단말기(104)가 촬영된 동화상으로 구분 이미지를 추출할 수 있다. 구분 이미지의 추출은 관심 영역 기반의 영상 처리 기술 등을 이용할 수 있다.In step 330, the stationary terminal 104 may extract the segmented image into the captured moving image. The classification image can be extracted using the image processing technique based on the region of interest.

단계(340)에서, 추출된 이미지들로부터 회전지시 이행여부, 검증된 QR 코드 유지여부, 사용자 단말기 화면 상의 어플리케이션 경계 유지 여부 등 원격지 공모 인증을 검증할 수 있다.In step 340, remote collaborative authentication can be verified, such as whether to execute the rotation instruction from the extracted images, whether to maintain the verified QR code, and whether to maintain the application boundary on the screen of the user terminal.

도 4는 본 발명의 일 실시예에 있어서, 일회성 인증 터널(OTAT)을 사용한 인증 과정을 설명하기 위한 구조도이다.4 is a structural diagram for explaining an authentication process using a one-time authentication tunnel (OTAT) in an embodiment of the present invention.

도 4를 참조하면, 일회성 인증 터널(OTAT)이 세션키, 사용자 단말기 식별자, 고정형 단말기 식별자, N차의 순열 값으로 구성됨을 볼 수 있다.Referring to FIG. 4, it can be seen that the one-time authentication tunnel (OTAT) is composed of a session key, a user terminal identifier, a fixed terminal identifier, and an Nth permutation value.

사용자 단말기(102)의 인증 요청에 의해 일회성 인증 터널(OTAT)이 생성되며, 사용자 단말기(102)에서 첫 번째 순열 값과 세션키 등 정보를 조합하여 QR 코드로 생성되어 고정형 단말기(104)에 인식된다. 고정형 단말기(104)가 첫 번째 QR 코드를 인식하여 인증 서버(112)를 통해서 정상 검증을 확인한 경우, 고정형 단말기(104)는 두 번째 순열 값과 세션키, 고정형 단말기 식별번호 등 정보를 조합하여 두 번째 QR 코드를 고정형 단말기(104)의 디스플레이에 표출한다. 사용자 단말기(102)에 대기 중인 인증 어플리케이션은 고정형 단말기(104)에 표출된 두 번째 QR 코드를 카메라 모듈로 인식하고 인증 서버(112)를 통해서 정상 검증을 확인한 경우, 인증 서버(112)로부터 세 번째 순열 값을 수신하고 세션키, 사용자 단말기 식별번호 등 정보를 결합하여 세 번째 QR 코드를 생성하여 사용자 단말기(102)의 디스플레이에 표출하면 고정형 단말기(104)의 카메라 모듈이 세 번째 QR 코드를 인식하고 인증 서버(112)를 통해서 정상 검증을 확인한다.A one-time authentication tunnel (OTAT) is generated by an authentication request of the user terminal 102. The user terminal 102 generates a QR code by combining information such as a first permutation value and a session key, do. When the fixed terminal 104 recognizes the first QR code and confirms the normal verification through the authentication server 112, the fixed terminal 104 combines information such as the second permutation value, the session key, and the fixed terminal identification number Lt; th > QR code on the display of the stationary terminal 104. [ When the authentication application waiting in the user terminal 102 recognizes the second QR code displayed on the fixed terminal 104 as a camera module and confirms the normal verification through the authentication server 112, Upon receiving the permutation value and generating a third QR code by combining information such as the session key and the user terminal identification number, and displaying the third QR code on the display of the user terminal 102, the camera module of the fixed terminal 104 recognizes the third QR code The normal verification is confirmed through the authentication server 112. [

이와 같이 QR 코드의 생성과 인증 과정이 3번을 수행하면 3-way 핸드쉐이크라고 부르며, 수초 이내에 이 과정은 종결된다. 본 발명은 n-way 핸드쉐이크를 제시하고 있으며, 요구되는 보안 강도에 따라 n의 값을 지정할 수 있다.If QR code generation and authentication process is performed 3 times, it is called 3-way handshake and this process is terminated within several seconds. The present invention presents an n-way handshake, and a value of n can be specified according to the required security strength.

도 5는 본 발명의 일 실시예에 있어서, OTAT에 대한 보호 장벽인 접근 통제 센터를 설명하기 위한 구조도이다.5 is a structural diagram for explaining an access control center, which is a protection barrier against OTAT, according to an embodiment of the present invention.

본 발명은 접근 통제 센터(108)에 의해 일회성 인증 터널(OTAT)이 보호되는 구조를 제시할 수 있다. 도 5를 참조하면, 접근 통제 센터(108)는 올바른 세션키 및 사용자 단말기 식별자, 고정형 단말기 식별자로 접근하지 않는 모든 경우 인증 접근을 차단하고, 저장소(114)에 로깅을 하고, 관리자에게 경고를 보낼 수 있다. 또한, N차의 순열 값이 순서대로 호출되지 않는 경우에도 인증 접근을 차단하고 저장소(114)에 로깅을 하고, 관리자에게 경고를 보낼 수 있다.The present invention can provide a structure in which the one-time authentication tunnel (OTAT) is protected by the access control center 108. [ Referring to FIG. 5, the access control center 108 intercepts authentication access in all cases where it does not access the correct session key and user terminal identifier, the fixed terminal identifier, logs to the store 114, and alerts the administrator . Also, even if the permutation values of the Nth order are not called in order, the authentication access can be blocked, logging to the storage 114, and a warning to the administrator.

도 6는 본 발명의 일 실시예에 있어서, 컴퓨터 시스템의 내부 구성의 일례를 설명하기 위한 블록도이다. 컴퓨터 시스템(600)은 적어도 하나의 프로세서(processor)(610), 메모리(memory)(620), 주변장치 인터페이스(peripheral interface)(630), 입/출력 서브시스템(I/O subsystem)(640), 전력 회로(650) 및 통신 회로(660)를 적어도 포함할 수 있다. 이때, 컴퓨터 시스템(600)은 도 1 내지 도 5를 통해 설명한 인증 시스템에 포함된 구성 요소 각각에 해당될 수 있다.6 is a block diagram for explaining an example of the internal configuration of a computer system in an embodiment of the present invention. The computer system 600 includes at least one processor 610, a memory 620, a peripheral interface 630, an input / output subsystem 640, A power circuit 650, and a communication circuit 660, as shown in FIG. At this time, the computer system 600 may correspond to each of the components included in the authentication system described with reference to FIGS. 1 to 5.

메모리(620)는, 일례로 고속 랜덤 액세스 메모리(high-speed random access memory), 자기 디스크, 에스램(SRAM), 디램(DRAM), 롬(ROM), 플래시 메모리 또는 비휘발성 메모리를 포함할 수 있다. 메모리(620)는 컴퓨터 시스템(600)의 동작에 필요한 소프트웨어 모듈, 명령어 집합 또는 그밖에 다양한 데이터를 포함할 수 있다. 이때, 프로세서(610)나 주변장치 인터페이스(630) 등의 다른 컴포넌트에서 메모리(620)에 액세스하는 것은 프로세서(610)에 의해 제어될 수 있다.The memory 620 may include, for example, a high-speed random access memory, a magnetic disk, an SRAM, a DRAM, a ROM, a flash memory, or a non-volatile memory. have. The memory 620 may include software modules, a set of instructions, or various other data required for operation of the computer system 600. At this point, access to the memory 620 from other components, such as the processor 610 or the peripheral device interface 630, may be controlled by the processor 610.

주변장치 인터페이스(630)는 컴퓨터 시스템(600)의 입력 및/또는 출력 주변장치를 프로세서(610) 및 메모리(620)에 결합시킬 수 있다. 프로세서(610)는 메모리(620)에 저장된 소프트웨어 모듈 또는 명령어 집합을 실행하여 컴퓨터 시스템(600)을 위한 다양한 기능을 수행하고 데이터를 처리할 수 있다.Peripheral device interface 630 may couple the input and / or output peripheral devices of computer system 600 to processor 610 and memory 620. The processor 610 may perform various functions and process data for the computer system 600 by executing a software module or a set of instructions stored in the memory 620. [

입/출력 서브시스템(640)은 다양한 입/출력 주변장치들을 주변장치 인터페이스(630)에 결합시킬 수 있다. 예를 들어, 입/출력 서브시스템(640)은 모니터나 키보드, 마우스, 프린터 또는 필요에 따라 터치스크린이나 센서 등의 주변장치를 주변장치 인터페이스(630)에 결합시키기 위한 컨트롤러를 포함할 수 있다. 다른 측면에 따르면, 입/출력 주변장치들은 입/출력 서브시스템(640)을 거치지 않고 주변장치 인터페이스(630)에 결합될 수도 있다.The input / output subsystem 640 may couple various input / output peripheral devices to the peripheral interface 630. For example, the input / output subsystem 640 may include a controller for coupling a peripheral device such as a monitor, keyboard, mouse, printer, or a touch screen or sensor as needed, to the peripheral interface 630. According to another aspect, the input / output peripheral devices may be coupled to the peripheral device interface 630 without going through the input / output subsystem 640.

전력 회로(650)는 단말기의 컴포넌트의 전부 또는 일부로 전력을 공급할 수 있다. 예를 들어 전력 회로(650)는 전력 관리 시스템, 배터리나 교류(AC) 등과 같은 하나 이상의 전원, 충전 시스템, 전력 실패 감지 회로(power failure detection circuit), 전력 변환기나 인버터, 전력 상태 표시자 또는 전력 생성, 관리, 분배를 위한 임의의 다른 컴포넌트들을 포함할 수 있다.The power circuit 650 may provide power to all or a portion of the components of the terminal. For example, the power circuitry 650 may include one or more power supplies, such as a power management system, a battery or alternating current (AC), a charging system, a power failure detection circuit, a power converter or inverter, And may include any other components for creation, management, distribution.

통신 회로(660)는 적어도 하나의 외부 포트를 이용하여 다른 컴퓨터 시스템과 통신을 가능하게 할 수 있다. 또는 상술한 바와 같이 필요에 따라 통신 회로(660)는 RF 회로를 포함하여 전자기 신호(electromagnetic signal)라고도 알려진 RF 신호를 송수신함으로써, 다른 컴퓨터 시스템과 통신을 가능하게 할 수도 있다.The communication circuitry 660 may enable communication with other computer systems using at least one external port. Or as described above, the communication circuitry 660 may communicate with other computer systems by sending and receiving an RF signal, also known as an electromagnetic signal, including RF circuitry as needed.

이러한 도 6의 실시예는, 컴퓨터 시스템(600)의 일례일 뿐이고, 컴퓨터 시스템(600)은 도 6에 도시된 일부 컴포넌트가 생략되거나, 도 6에 도시되지 않은 추가의 컴포넌트를 더 구비하거나, 2개 이상의 컴포넌트를 결합시키는 구성 또는 배치를 가질 수 있다. 예를 들어, 모바일 환경의 통신 단말을 위한 컴퓨터 시스템은 도 6에 도시된 컴포넌트들 외에도, 터치스크린이나 센서 등을 더 포함할 수도 있으며, 통신 회로(660)에 다양한 통신 방식(WiFi, 3G, LTE, Bluetooth, NFC, Zigbee 등)의 RF 통신을 위한 회로가 포함될 수도 있다. 컴퓨터 시스템(600)에 포함 가능한 컴포넌트들은 하나 이상의 신호 처리 또는 어플리케이션에 특화된 집적 회로를 포함하는 하드웨어, 소프트웨어, 또는 하드웨어 및 소프트웨어 양자의 조합으로 구현될 수 있다.6 is merely an example of the computer system 600, and the computer system 600 may include additional components not shown in FIG. 6, or some components shown in FIG. 6 may be omitted, Lt; RTI ID = 0.0 > components. ≪ / RTI > For example, in addition to the components shown in FIG. 6, a computer system for a mobile communication terminal may further include a touch screen, a sensor, and the like, and may be connected to a communication circuit 660 through various communication methods (WiFi, , Bluetooth, NFC, Zigbee, etc.). The components that may be included in computer system 600 may be implemented in hardware, software, or a combination of both hardware and software, including one or more signal processing or application specific integrated circuits.

본 발명의 실시예에 따른 방법들은 다양한 컴퓨터 시스템을 통하여 수행될 수 있는 프로그램 명령(instruction) 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다.The methods according to embodiments of the present invention may be implemented in the form of a program instruction that can be executed through various computer systems and recorded in a computer-readable medium.

본 실시예에 따른 프로그램은 PC 기반의 프로그램 또는 모바일 단말 전용의 어플리케이션으로 구성될 수 있다. 본 실시예에서의 QR 코드를 이용한 인증 어플리케이션은 독립적으로 동작하는 프로그램 형태로 구현되거나, 혹은 특정 어플리케이션의 인-앱(in-app) 형태로 구성되어 상기 특정 어플리케이션 상에서 동작이 가능하도록 구현될 수 있다.The program according to the present embodiment can be configured as a PC-based program or an application dedicated to a mobile terminal. The authentication application using the QR code in the present embodiment may be implemented in a program form that operates independently or in an in-app form of a specific application, and may be implemented to be able to operate on the specific application .

이와 같이, 본 발명의 실시예에 따르면, QR 코드를 이용한 인증 모델을 구현함으로써 기존 인증 기술의 한계점을 극복할 수 있고 QR 코드를 대체 인증수단으로 적용하여 시스템 구축 및 유지 관리 측면에서 경제성, 편리성, 휴대 용이성, 보안성을 보장할 수 있다. 그리고, 본 발명의 실시예에 따르면, QR 코드를 이용하여 핸드쉐이킹의 동적 상호작용 방식을 구현함으로써 QR 코드를 강력한 보안인증 수단으로 향상시킬 수 있으며 복잡한 기존 인증수단을 대체할 수 있으며, 더욱이 원격지 인가자 공모방식의 비인가자 인증을 효과적으로 차단할 수 있다.As described above, according to the embodiment of the present invention, it is possible to overcome the limitations of the existing authentication technology by implementing the authentication model using the QR code, and to apply the QR code as the alternative authentication means, , Portability and security can be guaranteed. According to the embodiment of the present invention, by implementing the dynamic interaction method of the handshaking using the QR code, the QR code can be enhanced as a strong security authentication means, and it is possible to replace the complicated existing authentication means. Further, It is possible to effectively block unauthorized authentication of the self-disclosure method.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The apparatus described above may be implemented as a hardware component, a software component, and / or a combination of hardware components and software components. For example, the apparatus and components described in the embodiments may be implemented within a computer system, such as, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate array (FPGA) , A programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For ease of understanding, the processing apparatus may be described as being used singly, but those skilled in the art will recognize that the processing apparatus may have a plurality of processing elements and / As shown in FIG. For example, the processing unit may comprise a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as a parallel processor.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instructions, or a combination of one or more of the foregoing, and may be configured to configure the processing device to operate as desired or to process it collectively or collectively Device can be commanded. The software and / or data may be in the form of any type of machine, component, physical device, virtual equipment, computer storage media, or device , Or may be permanently or temporarily embodied in a transmitted signal wave. The software may be distributed over a networked computer system and stored or executed in a distributed manner. The software and data may be stored on one or more computer readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to an embodiment may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions to be recorded on the medium may be those specially designed and configured for the embodiments or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. For example, it is to be understood that the techniques described may be performed in a different order than the described methods, and / or that components of the described systems, structures, devices, circuits, Lt; / RTI > or equivalents, even if it is replaced or replaced.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.

102: 사용자 단말기
104: 고정형 단말기
108: 접근 통제 센터
112: 인증 서버
114: 저장소
116: 인가 서버102: User terminal
104: stationary terminal
108: access control center
112: authentication server
114: Store
116: authorization server

Claims (13)

컴퓨터로 구현되는 인증 방법에 있어서,
인증 대상인 사용자 단말기와 상기 사용자 단말기의 접근 여부를 결정하는 고정형 단말기 간의 인증을 위한 일회성 인증 터널(One Time Authentication Tunnel)을 생성하는 단계;
상기 사용자 단말기와 상기 고정형 단말기의 순차적인 요청에 따라 다차원 코드를 생성하는 단계; 및
상기 사용자 단말기와 상기 고정형 단말기 간의 상기 다차원 코드를 이용한 핸드쉐이킹(handshaking)을 통한 상기 일회성 인증 터널의 통과 여부에 따라 상기 사용자 단말기와 상기 고정형 단말기를 인증 처리하는 단계
를 포함하는 인증 방법.A computer-implemented authentication method comprising:
Generating a one-time authentication tunnel for authentication between a user terminal to be authenticated and a fixed terminal that determines accessibility of the user terminal;
Generating a multi-dimensional code according to a sequential request of the user terminal and the fixed terminal; And
Authenticating the user terminal and the fixed terminal according to whether the one-time authentication tunnel is passed through handshaking using the multi-dimensional code between the user terminal and the fixed terminal
. 제1항에 있어서,
상기 다차원 코드를 생성하는 단계는,
인증 임계 값(Authentication Threshold Value) 이내에서 유효한 소멸성 QR(Quick Response) 코드를 생성하는 것
을 특징으로 하는 인증 방법.The method according to claim 1,
Wherein generating the multi-dimensional code comprises:
Generate a valid decaying Quick Response (QR) code within the Authentication Threshold Value
. 제1항에 있어서,
상기 일회성 인증 터널을 생성하는 단계는,
상기 사용자 단말기와 상기 고정형 단말기 간에 수행되는 핸드쉐이킹 횟수에 따른 임의 순열을 포함하는 상기 일회성 인증 터널을 생성하는 것
을 특징으로 하는 인증 방법.The method according to claim 1,
Wherein the generating the one-time authentication tunnel comprises:
And generating the one-time authentication tunnel including an arbitrary permutation according to the number of handshaking performed between the user terminal and the fixed terminal
. 제3항에 있어서,
상기 일회성 인증 터널을 생성하는 단계는,
상기 사용자 단말기와 상기 고정형 단말기 간의 인증을 위한 고유 세션 키(session key)와 함께 상기 일회성 인증 터널을 생성하는 것
을 특징으로 하는 인증 방법.The method of claim 3,
Wherein the generating the one-time authentication tunnel comprises:
And generating the one-time authentication tunnel together with a unique session key for authentication between the user terminal and the fixed terminal
. 제3항에 있어서,
상기 사용자 단말기와 상기 고정형 단말기를 인증 처리하는 단계는,
상기 사용자 단말기와 상기 고정형 단말기가 상기 다차원 코드를 이용한 핸드쉐이킹을 통해 상기 임의 순열을 순차적으로 통과하는 경우 상기 사용자 단말기와 상기 고정형 단말기를 인증 통과 처리하는 것
을 특징으로 하는 인증 방법.The method of claim 3,
Wherein the step of authenticating the user terminal and the fixed terminal comprises:
And performing authentication pass processing of the user terminal and the fixed terminal when the user terminal and the fixed terminal sequentially pass the random permutation through handshaking using the multi-dimensional code
. 적어도 하나의 프로그램이 로딩된 메모리; 및
적어도 하나의 프로세서
를 포함하고,
상기 적어도 하나의 프로세서는, 상기 프로그램의 제어에 따라,
인증 대상인 사용자 단말기와 상기 사용자 단말기의 접근 여부를 결정하는 고정형 단말기 간의 인증을 위한 일회성 인증 터널(One Time Authentication Tunnel)을 생성하는 과정;
상기 사용자 단말기와 상기 고정형 단말기의 순차적인 요청에 따라 다차원 코드를 생성하는 과정; 및
상기 사용자 단말기와 상기 고정형 단말기 간의 상기 다차원 코드를 이용한 핸드쉐이킹(handshaking)을 통한 상기 일회성 인증 터널의 통과 여부에 따라 상기 사용자 단말기와 상기 고정형 단말기를 인증 처리하는 과정
을 처리하는 인증 서버.At least one program loaded memory; And
At least one processor
Lt; / RTI >
Wherein the at least one processor, under control of the program,
Generating a one-time authentication tunnel for authentication between a user terminal to be authenticated and a fixed terminal that determines whether to access the user terminal;
Generating a multi-dimensional code according to a sequential request of the user terminal and the fixed terminal; And
A step of authenticating the user terminal and the fixed terminal according to whether the one-time authentication tunnel is passed through handshaking using the multidimensional code between the user terminal and the fixed terminal
The authentication server. 인증 대상인 사용자 단말기;
상기 사용자 단말기의 접근 여부를 결정하는 고정형 단말기; 및
상기 사용자 단말기와 상기 고정형 단말기 간의 인증을 위한 다차원 코드 및 일회성 인증 터널(One Time Authentication Tunnel)을 생성하는 인증 서버
를 포함하고,
상기 인증 서버는,
상기 사용자 단말기와 상기 고정형 단말기 간의 상기 다차원 코드를 이용한 핸드쉐이킹(handshaking)을 통한 상기 일회성 인증 터널의 통과 여부에 따라 상기 사용자 단말기와 상기 고정형 단말기를 인증 처리하는 것
을 특징으로 하는 인증 시스템.A user terminal to be authenticated;
A fixed terminal for determining whether the user terminal is accessed; And
An authentication server for generating a multi-dimensional code for authentication between the user terminal and the fixed terminal and a one-time authentication tunnel (One Time Authentication Tunnel)
Lt; / RTI >
The authentication server includes:
And authenticating the user terminal and the fixed terminal according to whether the one-time authentication tunnel is passed through handshaking using the multidimensional code between the user terminal and the fixed terminal
And the authentication system. 제7항에 있어서,
상기 인증 서버는,
상기 사용자 단말기의 인증 요청에 따라 임의 순열을 포함하는 상기 일회성 인증 터널을 생성한 후 상기 임의 순열에 따라 상기 다차원 코드를 순차적으로 생성하고,
상기 사용자 단말기와 상기 고정형 단말기는,
상기 다차원 코드에 대한 표출과 인식을 교차적으로 수행하는 핸드쉐이킹으로 상기 일회성 인증 터널을 통과하는 것
을 특징으로 하는 인증 시스템.8. The method of claim 7,
The authentication server includes:
Generating the one-time authentication tunnel including an arbitrary permutation according to an authentication request of the user terminal, sequentially generating the multi-dimensional code according to the random permutation,
The user terminal and the stationary terminal may include:
Passing through the one-time authentication tunnel with handshaking that performs the display and recognition of the multidimensional code in an alternating manner
And the authentication system. 제7항에 있어서,
상기 인증 서버는,
인증 임계 값(Authentication Threshold Value) 이내에서 유효한 소멸성 QR(Quick Response) 코드를 생성하는 것
을 특징으로 하는 인증 시스템.8. The method of claim 7,
The authentication server includes:
Generate a valid decaying Quick Response (QR) code within the Authentication Threshold Value
And the authentication system. 제7항에 있어서,
상기 인증 서버는,
상기 사용자 단말기와 상기 고정형 단말기 간의 인증을 위한 고유 세션 키(session key)와 함께 상기 일회성 인증 터널을 생성하는 것
을 특징으로 하는 인증 시스템.8. The method of claim 7,
The authentication server includes:
And generating the one-time authentication tunnel together with a unique session key for authentication between the user terminal and the fixed terminal
And the authentication system. 제7항에 있어서,
상기 고정형 단말기는,
상기 인증 서버에서 정해진 회전 방향과 회전 속도 및 회전 각도 중 적어도 하나의 회전 패턴 튜플로 상기 사용자 단말기를 회전하도록 요구한 후 카메라에서 획득한 동영상을 분석하여 상기 사용자 단말기를 검증하는 것
을 특징으로 하는 인증 시스템.8. The method of claim 7,
The stationary terminal,
The authentication server requests the rotation of the user terminal using at least one rotation pattern tuple among the rotation direction, rotation speed and rotation angle determined by the authentication server, and then analyzes the moving image acquired by the camera to verify the user terminal
And the authentication system. 제7항에 있어서,
상기 사용자 단말기와 관련된 인증 정보와 상기 고정형 단말기와 관련된 인증 정보를 관리하는 저장소; 및
상기 저장소를 이용하여 적법하지 않은 형태의 상기 일회성 인증 터널의 접근을 차단하는 접근 통제 센터
를 더 포함하는 인증 시스템.8. The method of claim 7,
A storage for managing authentication information related to the user terminal and authentication information associated with the fixed terminal; And
An access control center for blocking access to said one-time authentication tunnel in an illegal form using said repository;
Further comprising: 제7항에 있어서,
사용자 별 인가된 서비스와 접근 권한을 포함하는 사전 등록 정보를 관리하는 저장소; 및
상기 사용자 단말기와 상기 고정형 단말기의 인증이 완료되면 상기 고정형 단말기로 상기 사용자 단말기에 대응되는 사전 등록 정보를 전달하는 인가 서버
를 더 포함하는 인증 시스템.8. The method of claim 7,
A repository for managing pre-registration information including authorized services and access rights per user; And
When the authentication of the user terminal and the fixed terminal is completed, the authentication server transmits the pre-registration information corresponding to the user terminal to the fixed terminal
Further comprising:
KR1020140160163A 2014-09-22 2014-11-17 Multi-factor authentication with dynamic handshake quick-response code KR101635278B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020140125433 2014-09-22
KR20140125433 2014-09-22

Publications (2)

Publication Number Publication Date
KR20160035523A true KR20160035523A (en) 2016-03-31
KR101635278B1 KR101635278B1 (en) 2016-07-01

Family

ID=55652201

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140160163A KR101635278B1 (en) 2014-09-22 2014-11-17 Multi-factor authentication with dynamic handshake quick-response code

Country Status (1)

Country Link
KR (1) KR101635278B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102369228B1 (en) 2017-05-25 2022-02-28 삼성에스디에스 주식회사 Risk analysis apparatus and method for risk based authentication
KR102413638B1 (en) 2017-05-30 2022-06-27 삼성에스디에스 주식회사 System and method for authentication service

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070059902A (en) * 2005-12-07 2007-06-12 한국전자통신연구원 Method for providing vpn services to mobile node in ipv6 network and gateway using the same
KR20140035775A (en) * 2012-09-14 2014-03-24 주식회사 엘지씨엔에스 Payment method, server performing the same, storage media storing the same and system performing the same

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070059902A (en) * 2005-12-07 2007-06-12 한국전자통신연구원 Method for providing vpn services to mobile node in ipv6 network and gateway using the same
KR20140035775A (en) * 2012-09-14 2014-03-24 주식회사 엘지씨엔에스 Payment method, server performing the same, storage media storing the same and system performing the same

Also Published As

Publication number Publication date
KR101635278B1 (en) 2016-07-01

Similar Documents

Publication Publication Date Title
AU2016273888B2 (en) Controlling physical access to secure areas via client devices in a networked environment
US10740481B2 (en) Security systems and methods with identity management for access to restricted access locations
US8806616B2 (en) System, method, and apparatus for allowing a service provider system to authenticate that a credential is from a proximate device
US9552684B2 (en) Methods and systems configured to detect and guarantee identity for the purpose of data protection and access control
EP3005202B1 (en) System and method for biometric authentication with device attestation
CN112214745B (en) Authenticated external biometric reader and verification device
US20180351956A1 (en) Integrated biometrics for application security
CN117077103A (en) Method for unlocking one device by using the other device
US9411949B2 (en) Encrypted image with matryoshka structure and mutual agreement authentication system and method using the same
Kwon et al. CCTV-based multi-factor authentication system
KR101635278B1 (en) Multi-factor authentication with dynamic handshake quick-response code
US10536453B2 (en) Method and arrangement for authorizing an action on a self-service system
US9177161B2 (en) Systems and methods for secure access modules
KR102440879B1 (en) System and method for complex authentication that combines RFID tags and simple passwords
US20230267463A1 (en) Authenticating a transaction
KR101986244B1 (en) Method of telebiometric authentication based on mobile devices
Rao et al. Location Based Authentication to Mitigate Intruder Attack
CN113839785A (en) Electronic signature system
WO2007092429A2 (en) Secure system and method for providing same

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190603

Year of fee payment: 4