KR20170092992A - 사용자 인증 시스템 및 그 방법 - Google Patents

사용자 인증 시스템 및 그 방법 Download PDF

Info

Publication number
KR20170092992A
KR20170092992A KR1020160014381A KR20160014381A KR20170092992A KR 20170092992 A KR20170092992 A KR 20170092992A KR 1020160014381 A KR1020160014381 A KR 1020160014381A KR 20160014381 A KR20160014381 A KR 20160014381A KR 20170092992 A KR20170092992 A KR 20170092992A
Authority
KR
South Korea
Prior art keywords
user
authentication information
session key
information record
random number
Prior art date
Application number
KR1020160014381A
Other languages
English (en)
Inventor
조인준
이병엽
Original Assignee
배재대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 배재대학교 산학협력단 filed Critical 배재대학교 산학협력단
Priority to KR1020160014381A priority Critical patent/KR20170092992A/ko
Publication of KR20170092992A publication Critical patent/KR20170092992A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0625Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은, 사용자 ID(Identification)와 PW(Password) 중에서 사용자 ID(identification)만을 이용하여 간편하게 사용자 인증을 수행하는 사용자 인증 시스템 및 그 방법에 관한 것으로서, 본 발명의 실시 예에 따른 사용자 인증 시스템은, 사용자 등록을 위해 입력된 사용자 ID(Identification)를 수신하는 수신부와; 상기 수신된 사용자 ID(Identification)를 암호화하고, 상기 암호화된 사용자 ID를 상기 입력된 사용자 ID를 인증하기 위한 인증정보 파일로서 생성하는 인증정보 생성부와; 상기 생성된 인증정보 파일을 외부 저장 매체(안전한 제3의 외부저장매체)에 저장하는 송신부로 구성된다.

Description

사용자 인증 시스템 및 그 방법{USER AUTHENTICATION APPARATUS AND METHOD THEREOF}
본 발명은 사용자를 인증하는 시스템 및 그 방법에 관한 것이다.
일반적으로, 정보 시스템 혹은 단말기에서 사용자를 식별 및 인증하는 방법으로 가장 널리 사용되는 기술은 ID 및 PW(Identification 및 Password) 기술이다. 그러나, ID 및 PW 기술은 보안에 취약할 뿐만 아니라, 사용자가 ID와 PW를 기억해야 하는 번거로움이 있다.
본 발명의 목적은, 사용자 ID(Identification)와 PW(Password) 중에서 사용자 ID(identification)만을 이용하여 간편하게 사용자 인증을 수행하는 사용자 인증 시스템 및 그 방법을 제공하는 데 있다.
본 발명의 실시 예에 따른 사용자 인증 시스템은, 사용자 등록을 위해 입력된 사용자 ID(Identification)를 수신하는 수신부와; 상기 수신된 사용자 ID(Identification)를 암호화하고, 상기 암호화된 사용자 ID를 상기 입력된 사용자 ID를 인증하기 위한 인증정보 파일로서 생성하는 인증정보 생성부와; 상기 생성된 인증정보 파일을 외부 저장 매체(안전한 제3의 외부저장매체)에 저장하는 송신부로 구성된다.
본 발명의 실시 예에 있어서, 상기 외부 저장 매체는 USB(universal serial bus) 메모리, 이동 단말기, 클라우드 서버 중에서 어느 하나일 수 있다.
본 발명의 실시 예에 있어서, 상기 인증 정보 생성부는,
상기 사용자에 의해 입력된 사용자 ID가 수신되면 의사난수 생성기를 통해서 난수를 생성하고,
상기 사용자 ID와 상기 생성된 난수를 조합한 문자열에 일방향 해쉬함수를 적용함으로써 세션키 암호용 키를 생성하고,
상기 의사난수 생성기를 사용하여 사용자 인증정보를 보호하기 위한 세션키를 생성하고,
상기 입력된 사용자 ID, 사용자 인증 정보 등록 날짜, 사용자 인증정보의 재사용 공격을 방어하기 위한 비표를 조합함으로써 인증정보 레코드를 생성하고,
상기 인증 정보 레코드를 상기 생성된 세션키로 암호화하고,
상기 생성된 세션키 암호용 키로 상기 생성된 세션키를 암호화하고,
상기 생성된 세션키로 암호화된 인증정보 레코드와 상기 입력된 사용자 ID를 조합하고, 상기 조합된 값을 내부저장매체에 저장하고,
상기 생성된 난수와, 상기 생성된 세션키 암호용 키로 암호화된 세션키, 상기 저장된 값을 조합하고, 상기 조합된 결과를 상기 사용자 인증 시스템의 인증 정보 파일로서 상기 외부 저장 매체(제3의 외부 저장 매체)에 송신부를 통해서 저장할 수 있다.
본 발명의 실시 예에 있어서, 상기 세션키 암호용 키는 사용자 인증정보를 보호하기 위해 사용하는 상기 세션키를 보호하기 위한 대칭키일 수 있다.
본 발명의 실시 예에 있어서, 상기 인증 정보 생성부는, 상기 등록된 사용자가 인증을 위해 상기 사용자 ID를 입력하면, 상기 외부 저장 매체로부터 상기 난수와 상기 사용자 ID를 독출하고, 상기 독출한 난수와 상기 독출한 사용자 ID를 상기 일방향 해쉬함수에 입력하여 상기 세션키 암호용 키를 생성할 수 있다.
본 발명의 실시 예에 있어서, 상기 인증 정보 생성부는, 상기 입력된 사용자 ID를 이용하여 상기 사용자의 제2 인증정보 레코드를 생성하고, 상기 제2 인증 정보 레코드를 상기 생성된 세션키로 암호화함으로써 상기 암호화된 제2 인증 정보 레코드를 생성할 수 있다.
본 발명의 실시 예에 있어서, 상기 인증 정보 생성부는, 상기 외부 저장매체로부터 암호화된 세션키를 독출하고, 상기 독출한 암호화된 세션키를 상기 생성된 세션키 암호용 키로 복호화함으로써 세션키를 생성할 수 있다.
본 발명의 실시 예에 있어서, 상기 인증 정보 생성부는, 상기 외부 저장매체로부터 상기 제1 암호화된 인증 정보 레코드를 독출하고, 상기 독출한 제1 암호화된 인증 정보 레코드를 상기 세션키로 복호화함으로써 제1 복호화된 인증 정보 레코드를 생성할 수 있다.
본 발명의 실시 예에 있어서, 상기 인증 정보 생성부는, 상기 암호화된 제2 인증정보 레코드를 상기 생성된 세션키로 복호화함으로써 상기 제2 복호화된 인증 정보 레코드를 생성할 수 있다.
본 발명의 실시 예에 있어서, 상기 인증 정보 생성부는, 상기 제1 복호화된 인증 정보 레코드와 상기 제2 복호화된 인증 정보 레코드가 동일하면 사용자 인증에 성공한 것으로 결정하고, 상기 제1 복호화된 인증 정보 레코드와 상기 제2 복호화된 인증 정보 레코드가 다르면 상기 사용자 인증에 실패한 것으로 결정할 수 있다.
본 발명의 실시 예에 있어서, 상기 인증 정보 생성부는,
사용자 인증 성공 후,
상기 의사난수 생성기를 통해 상기 난수를 생성하고,
상기 사용자 ID와 상기 난수를 상기 일방향 해쉬함수에 적용함으로써 새로운 세션키 암호용 키를 생성하고,
상기 사용자 인증정보를 암호화하기 위한 세션키를 상기 의사난수 생성기를 통해 생성하고,
변경된 날짜, 상기 사용자 인증정보의 재사용 공격을 방어하기 위한 변경된 비표를 조합함으로써 상기 제1 사용자 인증 정보 레코드를 변경하고,
상기 세션키 암호용 키와 상기 세션키의 노출을 방지하기 위해 상기 세션키를 상기 세션키 암호용 키로 암호화하고,
상기 변경된 사용자 인증정보의 노출을 방지하기 위해 상기 생성된 세션키로 상기 변경된 제1 사용자 인증 정보 레코드를 암호화하고,
상기 생성된 난수, 상기 세션키 암호용 키로 암호화된 세션키, 상기 암호화된 변경된 제1 사용자 인증 정보 레코드를 상기 외부 저장 매체에 상기 송신부를 통해 저장할 수 있다.
본 발명의 실시 예에 따른 사용자 인증 시스템의 사용자 인증 방법은, 사용자 등록을 위해 입력된 사용자 ID(Identification)를 수신하는 단계와; 상기 수신된 사용자 ID(Identification)를 암호화하고, 상기 암호화된 사용자 ID를 상기 입력된 사용자 ID를 인증하기 위한 인증정보 파일로서 생성하는 단계와; 상기 생성된 인증정보 파일을 외부 저장매체에 저장하는 단계를 포함할 수 있다.
본 발명의 실시예에 따른 사용자 인증 시스템 및 그 방법은, 사용자 ID(Identification)와 PW(Password) 중에서 사용자 ID(identification)만을 이용하여 간편하게 사용자 인증을 수행할 수 있다. 즉, 본 발명의 실시예에 따른 사용자 인증 장치 및 그 방법은, 사용자 ID와 PW 중 ID만을 기억하고, 복잡한 PW를 기억할 필요가 없이 사용자 인증을 간편하게 수행할 수 있다.
본 발명의 실시예에 따른 사용자 인증 시스템 및 그 방법은, 사용자 ID 및 PW을 이용하여 사용자 인증을 수행하는 방법보다 보안성이 높고, ID만을 사용하기 때문에 사용자의 편의성을 크게 향상킬 수도 있다.
도 1은 본 발명의 실시예에 따른 사용자 인증 시스템(100)을 나타낸 구성도이다.
도 2는 본 발명의 실시예에 따른 사용자 인증 시스템(100)에서 사용자(사용자 Un)를 등록하는 절차를 나타낸 흐름도이다.
도 3은 발명의 실시예에 따른 사용자 인증 시스템(100)의 사용자 인증 방법을 나타낸 흐름도이다.
도 4는 본 발명의 실시예에 따라 사용자 인증에 성공한 후 사용자의 인증정보를 재구성하는 절차를 나타낸 흐름도이다.
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예를 상세히 설명하되, 동일하거나 유사한 구성요소에는 동일한 도면 부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 또한, 본 명세서에 개시된 실시 예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시 예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시 예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
최근 인터넷 금융거래에서 크게 부각된 기술이 공인인증서를 활용하지 않는 간편 결제기술이다. 결제기술의 핵심요소는 사용자가 정당한 사용자인지 아니면 정당하지 못한 사용자인지를 구별하는 사용자 인증기술이다. 이러한 사용자 인증기술로는 공인인증서를 활용한 사용자 인증기술이 보편적이다. 하지만, 공인인증서를 사용하기 위해서는 많은 "액티브X" 프로그램을 설치하고, 복잡한 절차를 따라야 하는 사용성에 문제가 되고 있다.
이처럼 사용하기에 불편한 공인인증서를 국내에서는 전자금융 거래에 공인인증서 등을 사용하도록 강제하고 있다. 이로 인해 국외에서 국내 쇼핑몰 전자상거래를 제한시키는 결과를 가져와 세계화 시대에 역행한다는 점이 부각되었다.
사용자 인증 기술로 공인인증서를 사용하는 것은 안전성은 매우 높지만, 이를 활용하기 위한 부대비용이 많이 들고, 사용자의 사용 편이성은 떨어진다. 이로 인해 안전성을 높이면서 사용자의 사용 편이성을 제공하는 공인인증서를 대체하는 새로운 사용자 인증방법이 필요하다.
사용자 인증 기술로는 단순한 ID 및 PW 방식, OTP(One Time Password) 방식, 공인인증서, 지문인식 등 다양한 기술들이 있다. 하지만, 국내에서 많이 사용하는 공인인증서를 제외하고는 안전한 전자상거래를 위한 사용자 인증기술은 다양하지 않다.
본 발명에서는 이러한 시대적인 요구에 부응할 수 있는 대안으로 새로운 사용자인증 방안을 설명한다. 즉, 가장 기본적이면서도 사용하기에 익숙한 ID 및 PW 인증기술을 응용한 방안으로, 기존의 ID는 그대로 유지하고, 사용자 PW 대신에 정당한 사용자임을 나타내는 사용자 인증정보가 저장된 제3의 안전한 기억장치를 제시하면 인증되는 방법이다.
이 기술을 통해서 ID 및 PW 기술에서 발생하는 대부분의 보안 취약점을 해소하였다. 또한, 응용 시스템의 제약 없이 손쉽게 구현할 수 있고, 추가적인 소요 비용에 대한 부담이 적어서 범용적인 활용을 기대할 수 있다.
보안서비스의 4대 요소는 기밀성, 무결성, 인증, 부인봉쇄이며, 그 중에서 인증은 사용자 인증과 메시지 인증으로 분류된다. 특히, 사용자 인증은 다양한 응용 시스템으로의 접근 가능 여부를 결정하는 매우 중요한 보안 요소로, 본 발명에서 제안한 방법은 기존에 PW 기반의 사용자 인증 방법을 개선하는 것이다. 기존 ID 및 PW 기반의 사용자 인증시스템에서 ID 및 PW가 해커에게 노출되면, 해커는 해당 응용 시스템에 정당한 사용자로 로그인하여 막대한 피해를 줄 수 있다.
사용자 인증 기술은 해당 사용자만이 알고 있거나 혹은 소유하고 있는 정보를 사전에 응용 시스템에 등록하고, 응용 시스템에 로그인 시 사용자의 패스워드, 사용자의 인증서, 보안카드, 전화, 전자메일, 지문, 홍채 등을 제시하고, 등록된 정보와 일치하는 사용자만 정당한 사용자로 허용하고, 그 이외의 모든 사용자를 거부한다.
이러한 방식으로 가장 널리 사용되는 방식은 ID 및 PW 방식이다. 이는 사용자 등록 시, 사용자가 제시한 식별자(ID, Identifier)와 패스워드(PW, Password)를 응용 시스템에 저장한다. 사용자 등록된 이후에는 응용 시스템이 사용자에게 ID와 PW를 요구하며, 입력된 ID와 PW가 응용 시스템에 저장된 내용과 일치하면 응용 시스템으로의 접근을 허용하는 인증 기술이다. 하지만, 응용 시스템에 저장된 ID 및 PW 정보가 해킹에 의해 노출되거나 시스템 관리자가 ID 및 PW 정보를 악의적으로 이용하는 경우 막대한 손해를 입을 수 있다. 이러한 손해(피해)를 방지하기 위해 대부분 ID 및 PW 파일을 암호화하여 저장하고, PW 조합규칙(예를 들면, 최소 9자 이상 15자 이내, 영문자/숫자/특수문자 조합 등)을 강제로 요구한다. 하지만, 이러한 ID 및 PW 보호 대책에도 불구하고 ID 및 PW 기반의 사용자 인증 기술은 사전 공격, 스니핑 등의 해킹 공격에 취약한 약점이 있고, 복잡한 PW 조합규칙과 주기적인 갱신으로 인해 사용자의 불편함을 초래한다.
이러한 취약점을 보완하기 위해 복잡하고 추가적인 비용을 요구하는 PKI(Public Key Infrastructure) 기반의 인증서 방식을 도입하였다. 이러한 PKI 기술은 인터넷상의 전자상거래를 안전하게 사용하고 관리하기 위한 정보보호표준 방식으로, 발급받은 인증서를 이용하여 인터넷상의 사용자 간의 전자서명과 암호화를 지원한다. 즉, PKI 기반의 인증서를 사용자가 응용 시스템에 제시하고 이를 PKI 인증 시스템을 통해 본인임을 확인받는 방식이다. PKI 기반 인증서 방식은 ID 및 PW 방식보다 보안 강도가 뛰어나지만, PKI 인증 시스템을 운영해야 하고 인증서를 발급하고 안전하게 유지해야 하는 부담 등이 약점이다.
또한, 하나의 사용자 인증방식으로 널리 사용되는 방식이 보안카드와 일회용 패스워드(OTP, One Time Password), 핸드폰 및 메일 인증을 들 수 있다. 이들 인증방식은 독자적으로 사용되기 보다는 ID 및 PW 또는 인증서 방식과 혼합시켜 사용자 인증을 강화하는 방안으로 주로 사용한다. 하지만, 보안카드는 인쇄된 제한적인 35개의 4자리 숫자만 사용하기 때문에 해킹에 노출된 사례가 발생하였다. 따라서, 일회용 패스워드를 생성하는 생성기인 OTP로 대체하여 사용자 인증을 강화하는 방향으로 진화하고 있다. 이러한 기술들은 사용자 인증 강화에는 도움이 되지만, 보안카드나 OTP를 제작하고 사용자에게 배포하는 비용이 수반되는 단점이 있다. 다음으로 핸드폰 및 메일 인증은 각 이동 통신사 및 메일 시스템에서 사용자를 확인해주는 수단으로 개입되기 때문에 안전한 인증 수단으로 볼 수는 없다.
마지막으로 사용자의 지문이나 홍채 등의 인간의 생체 정보를 이용하는 사용자 인증 방식이 있으나, 고가의 지문이나 홍채 인식 장비 필요한 단점이 있다.
ID 및 PW 방식처럼 단순하면 사용성은 우수하지만, 보안에 취약하다. 반면에, 인증서 방식/OTP 방식/생체정보를 이용한 사용자 인증 방식은 안전성은 뛰어나지만 사용의 제약 및 추가적인 비용이 요구되는 단점이 존재한다.
따라서, 가장 중요한 사용자 인증 강도를 높이면서도 사용의 수월성을 확보할 수 있는 방안으로 사용자 인증기술이 제안되었다. 제안기법은 ID 및 PW 기술을 준용하면서 인증정보를 이동저장매체에 저장하여 사용자 인증 강도와 사용의 수월성을 제고한 방안이다. 하지만, 이 기술은 사용자 패스워드를 항상 기억하여 입력해야 하는 번거로움이 내재 되어 있다.
본 발명에서는 이동저장매체를 활용한 PW 기반 사용자 인증기술의 단점을 해결하고자 한다. 즉, 기존의 ID 및 PW 방식에서 사용자 인증을 위한 보안 강도를 인증서 수준으로 높이면서, 사용자는 자신의 ID만 기억하고 인증정보는 제3의 저장매체에 저장함으로써 가능한 간편 사용자 인증 기술이다. 또한, 본 발명의 사용자 인증 시스템은 응용 시스템에 제한 없이 도입이 편리하도록 설계하였으며 사용자는 제3의 안전한 저장매체만 있으면 사용자 등록과 응용 시스템에 사용이 가능하도록 하였다.
따라서, 본 발명의 실시예에 따른 사용자 인증 시스템은 인증서 방식처럼 다양한 기반시스템 설치 및 운영이 필요 없고, 보안카드나 OTP 기기를 추가로 제작하여 배포할 필요도 없으며, 지문이나 홍채와 같은 고가의 장비가 필요 없다. 이러한 이유로 인해 사용자 인증 시스템 구축비용이 저렴하고 응용 시스템의 제한 없이 적용 가능하여 범용성을 확보하였다.
이하에서는, 본 발명의 실시예에 따른 사용자 인증 시스템 및 그의 동작 절차를 설명한다.
본 발명에서는 응용시스템에서 사용하는 ID 및 PW 방식의 보안 취약점 개선 및 사용자 편이성 제고에 초점을 맞추었다. 즉, ID 및 PW 방식의 가장 큰 취약점은 사용자의 패스워드가 해킹을 통해 제3자에게 노출되는 경우, 응용시스템은 속수무책으로 당할 수밖에 없다. 이러한 해킹으로부터 사용자를 보호하기 위해 영문자/숫자/특수문자로 구성되는 복잡한 패스워드를 사용하도록 하며, 이러한 패스워드를 주기적으로 변경하도록 요구하고 있다.
도 1은 본 발명의 실시예에 따른 사용자 인증 시스템(100)을 나타낸 구성도이다.
도 1에 도시한 바와 같이, 본 발명의 실시예에 따른 사용자 인증 시스템(100)은, 사용자 등록을 위한 사용자 ID(Identification)를 단말기(PC(Personal Computer), 이동 단말기(스마트폰), 노트북 등)(10)로부터 수신하는 수신부(100)와;
상기 입력된 사용자 ID(Identification)를 암호화하고, 상기 암호화된 사용자 ID를 상기 입력된 사용자 ID를 인증하기 위한 인증정보 파일로서 생성하고, 상기 인증정보 파일을 송신부(40)를 통해 외부 저장매체(11)에 저장하는 인증 정보 생성부(30)를 포함한다. 즉, 본 발명의 실시예에 따른 사용자 인증 시스템(100)은 최초 사용자가 ID 및 PW 중에서 ID만 입력하면 인증정보 파일을 자동으로 생성하고, 그 생성한 인증정보 파일을 암호화하고, 그 암호화된 인증정보 파일을 제3의 안전한 저장매체(11)에 저장한다.
단말기(10)는 PC(Personal Computer), 이동 단말기(스마트폰), 노트북 등) 등이 될 수 있으며, 외부 저장매체(11)는 단말기(10)에 연결되고, 단말기(10)를 통해 상기 생성부(30)로부터 전송된 인증정보 파일을 저장한다.
상기 수신부(100), 생성부(30), 송신부(40)는 서버에 포함될 수 있다.
본 발명의 실시예에 따른 사용자 인증 시스템(100)은 응용 시스템 사용자로 등록된 사용자가 응용 시스템에 접근시 사용자 ID와 사용자가 소지하고 있는 제3의 안전한 저장매체(11)에 저장된 인증정보 파일을 응용시스템에서 불러와 사용자를 인증하는 시스템이다.
따라서, 사용자는 복잡한 조합규칙을 갖는 패스워드를 기억하고 입력할 필요가 없을 뿐만 아니라, 주기적으로 패스워드를 변경하지 않아도 동일한 안전성을 보장하는 새롭고 간편한 사용자인증 방법이다. 즉, 사용자의 ID가 해킹공격에 의해 노출되더라도, 제3의 안전한 저장매체에 저장된 인증정보가 없으면 사용자 인증에 성공할 수 없는 안전성이 보장된 방법이다. 이를 위해서 사용자가 소지하고 있는 제3의 안전한 저장매체(예를 들면, USB(universal serial bus) 메모리, 스마트폰(이동 단말기), 클라우드 서버 등)에 사용자 인증정보를 저장하고, 필요시 이를 제시하도록 하였다.
먼저, 본 발명의 실시예에 따른 사용자 인증 시스템을 설명하기 위해 사용되는 기호에 대한 표기법은 다음과 같은 의미를 갖는다.
부호 의미
Un_ID 사용자 Un의 식별자 ID
En(m) n이란 키로 m을 대칭 암호화
Dn(m) n이란 키로 m을 대칭 복호화
(l+m+n…) ㅣ, m, n ..항목으로 구성된 레코드
이하에서는, 본 발명의 실시예에 따른 사용자 인증 시스템(100)에서 사용자(사용자 Un)를 등록하는 절차에 대해 도 2를 참조하여 설명한다.
도 2는 본 발명의 실시예에 따른 사용자 인증 시스템(100)에서 사용자(사용자 Un)를 등록하는 절차를 나타낸 흐름도이다.
먼저, 수신부(20)는 사용자에 의해 입력된 사용자 ID(Un_ID)를 단말기(10)로부터 수신한다(S11). 즉, 사용자는 패스워드 입력 없이 사용자 ID(Un_ID)만을 단말기(10)를 통해 입력한다.
인증 정보 생성부(의사난수 생성기를 포함함)(30)는 사용자에 의해 입력된 사용자 ID(Un_ID)가 수신되면 의사난수 생성기를 통해서 난수 N을 생성한다(S12).
인증 정보 생성부(30)는 상기 사용자 ID(Un-ID)와 상기 생성된 난수 N을 조합한 문자열에 일방향 해쉬함수를 적용함으로써 세션키 암호용 키(es_key)를 생성한다(S13). 상기 세션키 암호용 키(es_key)는 사용자 인증정보를 보호하기 위해 사용하는 세션키(s_key)를 보호하기 위한 대칭키이다.
인증 정보 생성부(30)는 상기 의사난수 생성기를 사용하여 사용자 인증정보를 보호하기 위한 세션키(s_key)를 생성한다(S14).
인증 정보 생성부(30)는 상기 입력된 사용자 ID(Un-ID)를 이용하여 사용자(사용자 Un)의 인증정보 레코드를 생성한다(S15). 예를 들면, 인증 정보 생성부(30)는 "Un_ID+day+nonce"를 통해 사용자(사용자 Un)의 인증정보 레코드를 생성한다. 여기서, Un_ID은 사용자 ID이고, day는 사용자 인증 정보 등록 날짜이고, nonce는 사용자 인증정보의 재사용 공격을 방어하기 위한 비표이다.
인증 정보 생성부(30)는 상기 생성된 세션키 암호용 키(es_key)로 상기 생성된 세션키(s_key)를 암호화한다(Ees_key(s_key))(S16).
인증 정보 생성부(30)는 상기 인증 정보 레코드(Un_ID+day+nonce)를 상기 생성된 세션키(s_key)로 암호화한다(Es_key(Un_ID+day+nonce))(S17).
인증 정보 생성부(30)는 상기 입력된 사용자 ID(Un_ID)와, 상기 생성된 세션키(s_key)로 암호화된 사용자 인증정보 레코드(Es_key(Un_ID+day+nonce))를 조합하고, 그 조합된 값(Un_ID+ Es_key(Un_ID+day+nonce))을 저장한다(S18).
인증 정보 생성부(30)는 상기 생성된 난수 N과, 상기 생성된 세션키 암호용 키(es_key)로 암호화된 상기 생성된 세션키(Ees_key(s_key)), 상기 저장된 값(Un_ID+ Es_key(Un_ID+day+nonce))을 조합하고(S19), 그 조합된 정보(N+Ees_key(s_key)+Un_ID+ Es_key(Un_ID+day+nonce))를 상기 사용자 인증 시스템의 인증 정보 파일로서 제3의 저장매체(외부 저장 매체)(11)에 저장한다(S20).
인증 절차
이하에서는, 상기 설명된 등록된 사용자 Un이 사용자 인증 시스템에 접근했을 때 상세한 인증절차를 설명한다. 사용자 Un이 사용자 인증 시스템에서 인증받는 절차는 도3 과 같다. 사용자 Un의 단계별 인증절차는 다음과 같다.
도 3은 발명의 실시예에 따른 사용자 인증 시스템(100)의 사용자 인증 방법을 나타낸 흐름도이다.
먼저, 사용자(사용자 Un)는 자신의 사용자 ID(Un_ID)를 단말기(10)를 통해 입력한다. 단말기(10)는 입력된 사용자 ID(Un_ID)를 수신부(20)에 전송한다. 그 수신부(20)는 사용자 ID(Un_ID)를 수신하고(S21), 그 수신한 사용자 ID(Un_ID)를 인증 정보 생성부(30)에 출력한다.
인증 정보 생성부(30)는 상기 사용자 ID(Un_ID)가 수신되면 상기 외부 저장 매체(11)로부터 상기 난수 N과 상기 수신된 사용자 ID(Un_ID)를 독출(Read)하고, 그 독출한 난수 N과 상기 수신된 사용자 ID(Un_ID)를 일방향 해쉬함수에 입력하여 세션키 암호용 키(es_key)를 생성한다(S22). 상기 외부 저장 매체(11)에 저장된 정보는 단말기(10)를 통해 인증 정보 생성부(30)에 전송될 수 있다.
인증 정보 생성부(30)는 상기 입력된 사용자 ID(Un-ID)를 이용하여 사용자(사용자 Un)의 인증정보 레코드(Un_ID+day+nonce)를 생성하고, 그 인증 정보 레코드(Un_ID+day+nonce)를 상기 생성된 세션키(s_key)로 암호화함으로써 그 암호화된 제1 인증 정보 레코드(Es_key(Un_ID+day+nonce)를 생성한다(S23).
인증 정보 생성부(30)는 상기 외부 저장매체(11)로부터 암호화된 세션키(Ees_key(s_key))를 독출하고, 그 독출한 암호화된 세션키(Ees_key(s_key))를 상기 생성된 세션키 암호용 키(es_key)로 복호화함으로써 세션키(s_key)를 생성한다(Des_keyEes_key(s_key)=s_key)(S24).
인증 정보 생성부(30)는 상기 외부 저장매체(11)로부터 상기 암호화된 인증 정보 레코드(Es_key(Un_ID+day+nonce)(제2 암호화된 인증 정보 레코드)를 독출하고, 그 독출한 제2 암호화된 인증 정보 레코드(Es_key(Un_ID+day+nonce)를 상기 S23 단계에서 생성된 세션키(s_key)로 복호화함으로써 제2 복호화된 인증 정보 레코드(Ds_keyEs_key(Un_ID+day+nonce))= Un_ID+day+nonce)를 생성한다(S25).
인증 정보 생성부(30)는 상기 암호화된 제1 인증정보 레코드(Es_key(Un_ID+day+nonce)를 상기 생성된 세션키(s_key)로 복호화함으로써 제1 복호화된 인증 정보 레코드(Ds_keyEs_key(Un_ID+day+nonce))= Un_ID+day+nonce)를 생성한다(S26).
인증 정보 생성부(30)는 상기 제1 복호화된 인증 정보 레코드(Ds_keyEs_key(Un_ID+day+nonce))= Un_ID+day+nonce)와 제2 복호화된 인증 정보 레코드(Ds_keyEs_key(Un_ID+day+nonce))= Un_ID+day+nonce)를 비교하고, 상기 제1 복호화된 인증 정보 레코드(Ds_keyEs_key(Un_ID+day+nonce))= Un_ID+day+nonce)와 제2 복호화된 인증 정보 레코드(Ds_keyEs_key(Un_ID+day+nonce))= Un_ID+day+nonce)가 동일하면 사용자 인증에 성공한 것으로 결정하고, 다르면 사용자 인증에 실패한 것으로 결정한다(S27).
인증 정보 재구성
이하에서는, 사용자 인증에 성공한 후 사용자의 인증정보 재구성 절차에 대해 설명한다. 즉, 사용자 인증에 성공한 사용자 (Un)의 다음 인증 세션을 위해 인증정보를 재구성하는 절차를 설명한다. 사용자 인증정보 재구성 절차는 도 4와 같다.
도 4는 본 발명의 실시예에 따라 사용자 인증에 성공한 후 사용자의 인증정보를 재구성하는 절차를 나타낸 흐름도이다.
먼저, 인증 정보 생성부(30)는 의사난수 생성기를 통해 난수 N을 생성한다(S31).
인증 정보 생성부(30)는 입력된 사용자 ID(Un_ID)와 난수 N을 일방향 해쉬함수에 적용함으로써 세션키 암호용 키(es_key)를 생성한다(S32). 이 세션키 암호용 키(es_key)는 사용자 인증정보를 암호화하기 위한 세션키(s_key)를 보호하는 암호키이다.
인증 정보 생성부(30)는 사용자 인증정보를 암호화하기 위한 세션키(s_key)를 의사난수 생성기를 통해 생성한다(S33).
인증 정보 생성부(30)는 변경된 날짜(newday)와 변경된 nonce값(newnonce)을 조합하여 사용자(사용자 Un)의 인증정보(사용자 인증 정보 레코드)를 변경한다(Un_ID+newday+newnonce)(S34).
인증 정보 생성부(30)는 세션키 암호용 키(es_key)와 세션키(s_key)의 노출을 방지하기 위해 세션키(s_key)를 세션키 암호용 키(es_key)로 암호화한다(Ees_key(s_key))(S35).
인증 정보 생성부(30)는 상기 변경된 사용자 인증정보의 노출을 방지하기 위해 상기 생성된 세션키(s_key)로 상기 변경된 인증정보를 암호화한다(Es_key(Un_ID+newday+newnonce))(S36).
인증 정보 생성부(30)는 상기 생성된 난수 N, 새로운 세션키 암호용 키(es_key)로 암호화된 세션키(Ees_key(s_key)), 상기 암호화된 인증정보(Es_key(Un_ID+newday+newnonce))를 상기 외부 저장매체(11)에 저장한다(S37).
이하에서는, 본 발명의 실시예에 따른 사용자 인증 시스템의 안전성을 기존의 여러 인증방식과 비교하였다.
본 발명의 실시예에 따른 사용자 인증 시스템은 기존의 여러 사용자 인증방식을 개선한 것이다. 즉, 본 발명의 실시예에 따른 사용자 인증 시스템은 사용자 인증이 필요한 모든 시스템에 적용되어 인증강도를 높이고, 시스템 구축비용을 낮추며 사용자의 편리성을 가질 수 있다. 이를 위해, 기존의 여러 가지 사용자 인증 방법과 비교하여 본 발명의 실시예에 따른 사용자 인증 시스템의 우수성을 객관적으로 제시한다.
이하에서는, 기존의 ID 및 PW, 인증서, 지문, OTP, 참고문헌(김선영, 김선주, 조인준 이동저장매체를 활용한 패스워드기반 사용자인증 강화 방안, 한국콘텐츠학회논문지, 제14권, 제11호, 2014.(11)) 등의 사용자 인증방법을 표2에서 비교하였다.
종류
대상		 ID/PW 인증서 지문 OTP 참고문헌 제안
시스템
인증정보특성 정적 정적 정적 동적 동적 동적
PW 변경 필요 필요 없음 불필요 불필요 없음
재사용 가능 가능 가능 불가
(1회
사용)		 불가
(1회
사용)		 불가
(1회
사용)
인증 요소 기억정보 기억정보+
인증서		 생체정보 난수정보 기억정보
+
이동매체정보		 저장매체난수정보
휴대성 높음 보통 높음 낮음 보통 보통
구축 비용
위변조 가능성 높음 낮음 낮음 낮음 낮음 낮음
편리성
보안 강도
표 2에서 살펴본 바와 같이, 본 발명의 실시예에 따른 사용자 인증 시스템은패스워드를 요구하거나, 주기적인 변경이 필요 없다. 즉, 본 발명의 실시예에 따른 사용자 인증 시스템은 별도의 패스워드 입력을 받지 않아도 되며, 주기적인 패스워드 변경이 필요 없고, 반복적인 패스워드를 요구하지 않는다. 또한, 인증정보는, 해당 세션에서만 사용하는 1회성이므로 재사용할 수 없고, 암호화되어 저장되므로 위변조 가능성이 적으면서도 보안성이 뛰어남을 알 수 있다. 마지막으로, 저렴한 제3의 저장매체(11)를 활용할 수 있어 휴대성 및 구축비용이 적게 드는 장점이 있다.
이상에서 살펴본 것과 같이, 본 발명의 실시예에 따른 사용자 인증 시스템은, ID 및 PW 기반의 사용자 인증 방법에서 자주 발생하는 패스워드(PW) 노출에 대한 해결 방안을 제공한다. 즉, 본 발명의 실시예에 따른 사용자 인증 시스템에 사용자 등록 시 ID만을 등록하면 인증정보(인증 정보 파일)가 자동으로 생성되어 안전한 제3의 저장매체에 저장되고, 본 발명의 실시예에 따른 사용자 인증 시스템에 등록된 사용자가 사용자 인증 시스템에 접근하는 경우 사용자가 자신의 ID와 제3의 저장매체만을 제시하면 안전하게 사용자 인증이 된다. 또한, 인증이 완료될 때마다 새로운 인증정보를 생성하여 제3의 저장매체에 저장하고 사용자가 사용자 인증 시스템에 재접속 시 새로운 인증정보를 사용한다. 이를 통해 기존의 ID 및 PW 방식의 패스워드 노출 취약성을 해결할 수 있다.
상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.

Claims (22)

  1. 사용자 등록을 위해 입력된 사용자 ID(Identification)를 수신하는 수신부와;
    상기 수신된 사용자 ID(Identification)를 암호화하고, 상기 암호화된 사용자 ID를 상기 입력된 사용자 ID를 인증하기 위한 인증정보 파일로서 생성하는 인증 정보 생성부와;
    상기 생성된 인증정보 파일을 외부 저장매체에 저장하는 송신부를 포함하는 사용자 인증 시스템.
  2. 제 1항에 있어서, 상기 외부 저장 매체는,
    USB(universal serial bus) 메모리, 이동 단말기, 클라우드 서버 중에서 어느 하나인 것을 특징으로 하는 사용자 인증 시스템.
  3. 제 1항에 있어서, 상기 인증 정보 생성부는,
    상기 사용자에 의해 입력된 사용자 ID가 수신되면 의사난수 생성기를 통해서 난수를 생성하고,
    상기 사용자 ID와 상기 생성된 난수를 조합한 문자열에 일방향 해쉬함수를 적용함으로써 세션키 암호용 키를 생성하고,
    상기 의사난수 생성기를 사용하여 사용자 인증정보를 보호하기 위한 세션키를 생성하고,
    상기 입력된 사용자 ID, 사용자 인증 정보 등록 날짜, 사용자 인증정보의 재사용 공격을 방어하기 위한 비표를 조합함으로써 제1 인증정보 레코드를 생성하고,
    상기 생성된 세션키 암호용 키로 상기 생성된 세션키를 암호화하고,
    상기 제1 인증 정보 레코드를 상기 생성된 세션키로 암호화하고,
    상기 생성된 세션키로 암호화된 제1 인증정보 레코드와 상기 입력된 사용자 ID를 조합하고, 상기 조합된 값을 내부 저장 매체에 저장하고,
    상기 생성된 난수와, 상기 생성된 세션키 암호용 키로 암호화된 세션키, 상기 저장된 조합된 값을 조합함으로써 생성된 결과를 상기 사용자 인증 시스템의 제1 인증 정보 파일로서 상기 외부 저장 매체에 저장하는 것을 특징으로 하는 사용자 인증 시스템.
  4. 제 1항에 있어서, 상기 세션키 암호용 키는 사용자 인증정보를 보호하기 위해 사용하는 상기 세션키를 보호하기 위한 대칭키인 것을 특징으로 하는 사용자 인증 시스템.
  5. 제 3항에 있어서, 상기 인증 정보 생성부는,
    상기 등록된 사용자가 인증을 위해 상기 사용자 ID를 입력하면, 상기 외부 저장 매체로부터 상기 난수와 상기 사용자 ID를 독출하고, 상기 독출한 난수와 상기 독출한 사용자 ID를 상기 일방향 해쉬함수에 입력하여 상기 세션키 암호용 키를 생성하는 것을 특징으로 하는 사용자 인증 시스템.
  6. 제 5항에 있어서, 상기 인증 정보 생성부는,
    상기 입력된 사용자 ID를 이용하여 상기 사용자의 제2 인증정보 레코드를 생성하고, 상기 제2 인증 정보 레코드를 상기 생성된 세션키로 암호화함으로써 상기 암호화된 제2 인증 정보 레코드를 생성하는 것을 특징으로 하는 사용자 인증 시스템.
  7. 제 6항에 있어서, 상기 인증 정보 생성부는,
    상기 외부 저장매체로부터 암호화된 세션키를 독출하고, 상기 독출한 암호화된 세션키를 상기 생성된 세션키 암호용 키로 복호화함으로써 세션키를 생성하는 것을 특징으로 하는 사용자 인증 시스템.
  8. 제 7항에 있어서, 상기 인증 정보 생성부는,
    상기 외부 저장매체로부터 상기 제1 암호화된 인증 정보 레코드를 독출하고, 상기 독출한 제1 암호화된 인증 정보 레코드를 상기 세션키로 복호화함으로써 제1 복호화된 인증 정보 레코드를 생성하는 것을 특징으로 하는 사용자 인증 시스템.
  9. 제 8항에 있어서, 상기 인증 정보 생성부는,
    상기 암호화된 제2 인증정보 레코드를 상기 생성된 세션키로 복호화함으로써 상기 제2 복호화된 인증 정보 레코드를 생성하는 것을 특징으로 하는 사용자 인증 시스템.
  10. 제 9항에 있어서, 상기 인증 정보 생성부는,
    상기 제1 복호화된 인증 정보 레코드와 상기 제2 복호화된 인증 정보 레코드가 동일하면 사용자 인증에 성공한 것으로 결정하고, 상기 제1 복호화된 인증 정보 레코드와 상기 제2 복호화된 인증 정보 레코드가 다르면 상기 사용자 인증에 실패한 것으로 결정하는 것을 특징으로 하는 사용자 인증 시스템.
  11. 제 3항에 있어서, 상기 인증 정보 생성부는,
    사용자 인증 성공 후,
    상기 의사난수 생성기를 통해 상기 난수를 생성하고,
    상기 사용자 ID와 상기 난수를 상기 일방향 해쉬함수에 적용함으로써 새로운 세션키 암호용 키를 생성하고,
    상기 사용자 인증정보를 암호화하기 위한 세션키를 상기 의사난수 생성기를 통해 생성하고,
    변경된 날짜, 상기 사용자 인증정보의 재사용 공격을 방어하기 위한 변경된 비표를 조합함으로써 상기 제1 사용자 인증 정보 레코드를 변경하고,
    상기 세션키 암호용 키와 상기 세션키의 노출을 방지하기 위해 상기 세션키를 상기 세션키 암호용 키로 암호화하고,
    상기 변경된 사용자 인증정보의 노출을 방지하기 위해 상기 생성된 세션키로 상기 변경된 제1 사용자 인증 정보 레코드를 암호화하고,
    상기 생성된 난수, 상기 세션키 암호용 키로 암호화된 세션키, 상기 암호화된 변경된 제1 사용자 인증 정보 레코드를 상기 외부 저장 매체에 상기 송신부를 통해 저장하는 것을 특징으로 하는 사용자 인증 시스템.
  12. 사용자 인증 시스템을 통해 사용자 인증을 수행하는 방법에 있어서,
    사용자 등록을 위해 입력된 사용자 ID(Identification)를 수신하는 단계와;
    상기 수신된 사용자 ID(Identification)를 암호화하고, 상기 암호화된 사용자 ID를 상기 입력된 사용자 ID를 인증하기 위한 인증정보 파일로서 생성하는 단계와;
    상기 생성된 인증정보 파일을 외부 저장매체에 저장하는 단계를 포함하는 사용자 인증 시스템의 사용자 인증 방법.
  13. 제 12항에 있어서, 상기 외부 저장 매체는,
    USB(universal serial bus) 메모리, 이동 단말기, 클라우드 서버 중에서 어느 하나인 것을 특징으로 하는 사용자 인증 시스템의 사용자 인증 방법.
  14. 제 12항에 있어서, 상기 인증정보 파일을 생성하는 단계는,,
    상기 사용자에 의해 입력된 사용자 ID가 수신되면 의사난수 생성기를 통해서 난수를 생성하는 단계와;
    상기 사용자 ID와 상기 생성된 난수를 조합한 문자열에 일방향 해쉬함수를 적용함으로써 세션키 암호용 키를 생성하고는 단계와;
    상기 의사난수 생성기를 사용하여 사용자 인증정보를 보호하기 위한 세션키를 생성하는 단계와;
    상기 입력된 사용자 ID, 사용자 인증 정보 등록 날짜, 사용자 인증정보의 재사용 공격을 방어하기 위한 비표를 조합함으로써 제1 인증정보 레코드를 생성하는 단계와;
    상기 생성된 세션키 암호용 키로 상기 생성된 세션키를 암호화하는 단계와;
    상기 제1 인증 정보 레코드를 상기 생성된 세션키로 암호화하는 단계와;
    상기 생성된 세션키로 암호화된 제1 인증정보 레코드와 상기 입력된 사용자 ID를 조합하고, 상기 조합된 값을 상기 사용자 인증 시스템의 내부 저장 매체에 저장하는 단계와;
    상기 생성된 난수와, 상기 생성된 세션키 암호용 키로 암호화된 세션키, 상기 저장된 조합된 값을 조합함으로써 생성된 결과를 상기 사용자 인증 시스템의 제1 인증 정보 파일로서 상기 외부 저장 매체에 저장하는 단계를 포함하는 것을 특징으로 하는 사용자 인증 시스템의 사용자 인증 방법.
  15. 제 12항에 있어서, 상기 세션키 암호용 키는 사용자 인증정보를 보호하기 위해 사용하는 상기 세션키를 보호하기 위한 대칭키인 것을 특징으로 하는 사용자 인증 시스템의 사용자 인증 방법.
  16. 제 14항에 있어서,
    상기 등록된 사용자가 인증을 위해 상기 사용자 ID를 입력하면, 상기 외부 저장 매체로부터 상기 난수와 상기 사용자 ID를 독출하고, 상기 독출한 난수와 상기 독출한 사용자 ID를 상기 일방향 해쉬함수에 입력하여 상기 세션키 암호용 키를 생성하는 단계를 더 포함하는 것을 특징으로 하는 사용자 인증 시스템의 사용자 인증 방법.
  17. 제 16항에 있어서,
    상기 입력된 사용자 ID를 이용하여 상기 사용자의 제2 인증정보 레코드를 생성하고, 상기 제2 인증 정보 레코드를 상기 생성된 세션키로 암호화함으로써 상기 암호화된 제2 인증 정보 레코드를 생성하는 단게를 더 포함하는 것을 특징으로 하는 사용자 인증 시스템의 사용자 인증 방법.
  18. 제 17항에 있어서,
    상기 외부 저장매체로부터 암호화된 세션키를 독출하고, 상기 독출한 암호화된 세션키를 상기 생성된 세션키 암호용 키로 복호화함으로써 세션키를 생성하는 단계를 더 포함하는 것을 특징으로 하는 사용자 인증 시스템의 사용자 인증 방법.
  19. 제 18항에 있어서,
    상기 외부 저장매체로부터 상기 제1 암호화된 인증 정보 레코드를 독출하고, 상기 독출한 제1 암호화된 인증 정보 레코드를 상기 세션키로 복호화함으로써 제1 복호화된 인증 정보 레코드를 생성하는 단계를 더 포함하는 것을 특징으로 하는 사용자 인증 시스템의 사용자 인증 방법.
  20. 제 19항에 있어서,
    상기 암호화된 제2 인증정보 레코드를 상기 생성된 세션키로 복호화함으로써 상기 제2 복호화된 인증 정보 레코드를 생성하는 단계를 더 포함하는 것을 특징으로 하는 사용자 인증 시스템의 사용자 인증 방법.
  21. 제 20항에 있어서,
    상기 제1 복호화된 인증 정보 레코드와 상기 제2 복호화된 인증 정보 레코드가 동일하면 사용자 인증에 성공한 것으로 결정하고, 상기 제1 복호화된 인증 정보 레코드와 상기 제2 복호화된 인증 정보 레코드가 다르면 상기 사용자 인증에 실패한 것으로 결정하는 단계를 더 포함하는 것을 특징으로 하는 사용자 인증 시스템의 사용자 인증 방법.
  22. 제 24항에 있어서,
    사용자 인증 성공 후,
    상기 의사난수 생성기를 통해 상기 난수를 생성하는 단계와;
    상기 사용자 ID와 상기 난수를 상기 일방향 해쉬함수에 적용함으로써 새로운 세션키 암호용 키를 생성하는 단계와;
    상기 사용자 인증정보를 암호화하기 위한 세션키를 상기 의사난수 생성기를 통해 생성하는 단계와;
    변경된 날짜, 상기 사용자 인증정보의 재사용 공격을 방어하기 위한 변경된 비표를 조합함으로써 상기 제1 사용자 인증 정보 레코드를 변경하는 단계와;
    상기 세션키 암호용 키와 상기 세션키의 노출을 방지하기 위해 상기 세션키를 상기 세션키 암호용 키로 암호화하는 단계와;
    상기 변경된 사용자 인증정보의 노출을 방지하기 위해 상기 생성된 세션키로 상기 변경된 제1 사용자 인증 정보 레코드를 암호화하는 단계와;
    상기 생성된 난수, 상기 세션키 암호용 키로 암호화된 세션키, 상기 암호화된 변경된 제1 사용자 인증 정보 레코드를 상기 외부 저장 매체에 상기 송신부를 통해 저장하는 단계를 더 포함하는 것을 특징으로 하는 사용자 인증 시스템의 사용자 인증 방법.
KR1020160014381A 2016-02-04 2016-02-04 사용자 인증 시스템 및 그 방법 KR20170092992A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160014381A KR20170092992A (ko) 2016-02-04 2016-02-04 사용자 인증 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160014381A KR20170092992A (ko) 2016-02-04 2016-02-04 사용자 인증 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR20170092992A true KR20170092992A (ko) 2017-08-14

Family

ID=60142141

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160014381A KR20170092992A (ko) 2016-02-04 2016-02-04 사용자 인증 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR20170092992A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200024426A (ko) * 2018-08-28 2020-03-09 주식회사 이와이엘 사용자 패턴인증과 양자난수를 조합한 사용자 인증 시스템 및 방법
KR102332037B1 (ko) * 2020-09-22 2021-12-01 배재대학교 산학협력단 Scada 제어망에서 강화된 운용자 인증 시스템 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200024426A (ko) * 2018-08-28 2020-03-09 주식회사 이와이엘 사용자 패턴인증과 양자난수를 조합한 사용자 인증 시스템 및 방법
KR102332037B1 (ko) * 2020-09-22 2021-12-01 배재대학교 산학협력단 Scada 제어망에서 강화된 운용자 인증 시스템 및 방법

Similar Documents

Publication Publication Date Title
Chang et al. Untraceable dynamic‐identity‐based remote user authentication scheme with verifiable password update
US10382427B2 (en) Single sign on with multiple authentication factors
ES2645289T3 (es) Autenticación de transacciones seguras
US9038196B2 (en) Method for authenticating a user requesting a transaction with a service provider
CN101507233B (zh) 用于提供对于应用程序和基于互联网的服务的可信单点登录访问的方法和设备
US8132020B2 (en) System and method for user authentication with exposed and hidden keys
US7020773B1 (en) Strong mutual authentication of devices
CN104798083B (zh) 用于验证访问请求的方法和系统
US20080148057A1 (en) Security token
KR100548638B1 (ko) 스마트카드를 이용한 원 타임 패스워드 생성 및 인증방법그리고 이를 위한 스마트카드
CA2879910C (en) Terminal identity verification and service authentication method, system and terminal
WO2019226115A1 (en) Method and apparatus for user authentication
KR102012262B1 (ko) 키 관리 방법 및 fido 소프트웨어 인증장치
DK2414983T3 (en) Secure computer system
Alaca et al. Comparative analysis and framework evaluating web single sign-on systems
Khan et al. Offline OTP based solution for secure internet banking access
KR100785894B1 (ko) 휴대폰을 이용한 전자서명 수행 시스템 및 방법
KR101616795B1 (ko) Pki 기반의 개인키 파일 관리 방법 및 그 시스템
KR20170092992A (ko) 사용자 인증 시스템 및 그 방법
KR101271464B1 (ko) 이중 인증 시스템의 비밀키 암호화 방법
US8621231B2 (en) Method and server for accessing an electronic safe via a plurality of entities
KR101668366B1 (ko) 이동저장매체를 활용한 패스워드 기반 사용자 인증 방법 및 장치
Li et al. Digital Signature Technology of Mobile Phone Verification Code based on Biometrics
Kamal et al. A Framework for Identity Management on Mobile Devices for mGovernance Application
Corella et al. A comprehensive approach to cryptographic and biometric authentication from a mobile perspective

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application