KR20170124953A - 암호화된 otp를 모바일폰에서 지문 등을 이용하여 복호화하여 사용자 인증을 자동화하는 방법과 그 시스템 - Google Patents

암호화된 otp를 모바일폰에서 지문 등을 이용하여 복호화하여 사용자 인증을 자동화하는 방법과 그 시스템 Download PDF

Info

Publication number
KR20170124953A
KR20170124953A KR1020170003100A KR20170003100A KR20170124953A KR 20170124953 A KR20170124953 A KR 20170124953A KR 1020170003100 A KR1020170003100 A KR 1020170003100A KR 20170003100 A KR20170003100 A KR 20170003100A KR 20170124953 A KR20170124953 A KR 20170124953A
Authority
KR
South Korea
Prior art keywords
user
time password
user terminal
fingerprint
user authentication
Prior art date
Application number
KR1020170003100A
Other languages
English (en)
Inventor
이종일
Original Assignee
주식회사 벨소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 벨소프트 filed Critical 주식회사 벨소프트
Priority to KR1020170003100A priority Critical patent/KR20170124953A/ko
Publication of KR20170124953A publication Critical patent/KR20170124953A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)

Abstract

전화번호만을 이용한 간편 로그인이 수행될 때, 사용자가 OTP를 입력하지 않고, 앱과 서버간의 자동 백그라운드 검증만으로 사용자 인증이 완료되는 암호화된 OTP를 모바일폰에서 지문, PIN 번호 입력 또는 패턴 인증을 이용하여 복호화하여 사용자 인증을 자동화하는 방법과 그 시스템이 개시되어 있다.

Description

암호화된 OTP를 모바일폰에서 지문 등을 이용하여 복호화하여 사용자 인증을 자동화하는 방법과 그 시스템{Method and system for automating user authentication with decrypting encrypted OTP using fingerprint in mobile phone}
본 발명은 사용자 인증 및 그 시스템에 관한 것으로서, 더욱 상세하게는 암호화된 OTP를 지문, PIN 번호 입력 및 패턴 중 어느 하나를 이용하여 복호화하고, 이를 자동으로 사용자 인증하는 방법과 그 시스템에 관한 것이다.
종래의 사용자 인증을 위한 1회용 비밀번호 처리방법은 SMS 전송, 하드웨어 또는 소프트웨어를 이용한 1회용 비밀번호 생성기방식, 앱푸시 방식의 1회용 비밀번호 확인 및 입력방식 등이 있다.
SMS 전송 방식은 가장 익숙한 방법이지만 안드로이드 계열의 스마트폰에서는 스미싱 위험 때문에 보안성이 취약하며, 또한 건당 10원 이상의 발송비가 발생되어 경제적 효율성도 떨어지는 문제점이 있어 왔다.
하드웨어 방식의 1회용 비밀번호 생성기를 이용한 사용자 인증 방식은 종래에 은행 등 로그인 및 이체 거래시에 사용자 인증수단으로 사용되고 있으나, 사용자가 별도의 1회용 비밀번호 생성기를 휴대해야 하는 불편함과 구매비용 때문에 은행 이외의 일반적인 로그인 및 거래 인증으로 사용하는 데 한계가 있다.
소프트웨어 방식의 1회용 비밀번호 생성기는 게임사이트의 ID 로그인의 추가인증수단으로 활용되고 있는바, 별도의 하드웨어 구매 및 휴대는 필요 없지만, 1회용 비밀번호 생성기 앱을 사용자가 수동으로 구동시켜야 확인 가능하므로 사용자 경험(User Experience) 측면에서 불편하기 때문에 일반적으로 사용되기에는 문제가 있다.
또한, 앱 푸시 방식의 1회용 비밀번호 확인 및 입력방식은 1회용 비밀번호 생성기(HW 또는 S/W)의 문제점을 개선하고, SMS 전송방식의 문제점을 개선했기 때문에 경제성과 보안성이 나은 방식이지만, 사용자가 1회용 비밀번호를 확인하고 입력하는 데 시간이 15초 이상 소요되는 등 시간의 소비와 사용자의 입력 등의 불편함이 여전히 존재하고 있는 실정이다.
본 발명은 앱 푸시 방식으로 전송된 1회용 비밀번호, 즉, OTP 인증 방식을 사용자가 확인하고 입력하여 검증하는 방식 대신에, 앱 푸시 방식으로 OTP가 전송되면, 지문, PIN 번호, 패턴 입력 등으로 사용자 인증을 한 뒤, 자동으로 앱과 서버 간의 통신으로 자동으로 인증이 완료되는 방법 및 그 시스템을 제공하는데 있다.
상기 기술적 과제를 해결하기 위한 본 발명의 일 실시예에 따라, 암호화된 1회용 비밀번호를 지문을 이용하여 복호화하여 사용자 인증을 자동화하는 방법은 사용자 입력에 기초하여, 사용자 단말이 전화번호를 사용자인증서버로 송신하여 로그인을 요청하는 단계; 상기 사용자인증서버가 1회용 비밀번호(OTP)를 생성하는 단계; 상기 사용자인증서버가 상기 생성된 1회용 비밀번호를 암호화하는 단계; 상기 사용자인증서버가 상기 암호화된 1회용 비밀번호를 상기 사용자 단말에 앱 푸시하는 단계; 상기 사용자 단말이 지문 인증, PIN 번호 입력 또는 패턴 인증 인터페이스를 제공하는 단계; 사용자의 지문, PIN 번호 또는 패턴 입력에 기초하여, 상기 사용자 단말이 상기 암호화된 1회용 비밀번호를 복호화하는 단계; 상기 복호화된 1회용 비밀번호의 사용자 입력 없이, 상기 사용자 단말이 상기 복호화된 1회용 비밀번호를 상기 사용자인증서버에 송신하는 단계; 상기 사용자인증서버가 상기 생성된 1회용 비밀번호와 상기 사용자 단말로부터 수신한 1회용 비밀번호의 일치 여부를 검증하는 단계; 상기 1회용 비밀번호들의 일치 여부가 검증된 경우, 상기 사용자인증서버는 로그인서버에 사용자 인증 완료를 통보하는 단계; 및 상기 로그인서버가 상기 사용자 단말의 로그인을 허용하는 단계를 포함한다.
상기 기술적 과제를 해결하기 위한 본 발명의 다른 실시예에 따라, 암호화된 1회용 비밀번호를 지문을 이용하여 복호화하여 사용자 인증을 자동화하는 시스템은 사용자 입력에 기초하여, 전화번호를 사용자인증서버로 송신하여 로그인을 요청하는 사용자 단말; 상기 전화번호를 사용자 단말로부터 수신하는 수신부, 1회용 비밀번호(OTP)를 생성하는 비밀번호 생성부, 상기 생성된 1회용 비밀번호를 암호화하는 제어부, 및 상기 암호화된 1회용 비밀번호를 상기 사용자 단말에 앱 푸시하는 송신부를 포함하는 사용자 인증서버; 및 로그인 서버를 포함하고, 상기 사용자 단말이 지문 인증, PIN 번호 입력 또는 패턴 인증 인터페이스를 제공하고, 사용자의 지문, PIN 번호 또는 패턴 입력에 기초하여, 상기 암호화된 1회용 비밀번호를 복호화하여, 상기 복호화된 1회용 비밀번호의 사용자 입력 없이, 상기 복호화된 1회용 비밀번호를 상기 사용자인증서버에 송신하고, 상기 사용자인증서버가 상기 생성된 1회용 비밀번호와 상기 사용자 단말로부터 수신한 1회용 비밀번호의 일치 여부를 검증하고, 상기 1회용 비밀번호들의 일치 여부가 검증된 경우, 로그인서버에 사용자 인증 완료를 통보하고, 상기 로그인서버가 상기 사용자 단말의 로그인을 허용한다.
본 발명에 의한 경우, 1회용 비밀번호(OTP)가 사용자 단말에 전송되더라도 사용자가 이를 확인하고 입력할 필요 없이 지문 만으로 자동으로 인증이 되므로 시간 절약 효과가 뛰어나며, 또한 확인 및 입력의 필요가 없어 사용자 편의성이 증대된다.
도 1은 본 발명의 일 실시예에 따른 OTP에 의한 사용자 인증을 자동화하는 방법에 관한 흐름도를 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 간편 로그인 화면 예를 나타내는 도면이다.
도 3a 내지 도 3c는 본 발명의 일 실시예에 따른 인증 인터페이스의 예들을 나타내는 도면이다.
도 4는 본 발명의 일 실시예에 따른 OTP에 의한 사용자 인증을 자동화하는 시스템에 관한 블록 다이어그램을 나타내는 도면이다.
첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 1회용 비밀번호에 의한 사용자 인증을 자동화하는 방법에 관한 흐름도를 나타내는 도면이다.
도 1을 참조하면, 단계 110에서, 사용자 단말은 사용자 입력에 기초하여 로그인을 위한 전화번호를 사용자인증서버로 송신한다. 사용자는 사용자 단말을 통하여 로그인이 필요한 서비스 웹 또는 앱에서 단말기 번호, 예를 들어, 휴대폰 번호(이하에서는, '전화번호'라고 일괄하여 칭하기로 한다)를 입력하고, 사용자 단말은 입력받은 전화번호를 사용자인증서버로 송신한다. 일반적으로, 사용자는 인터넷 사이트에 로그인하기 위해서는 웹사이트 또는 앱에서 아이디 및 비밀번호를 입력하여 로그인서버로 전송하고, 로그인서버에서 이를 확인한 후 로그인 절차가 진행된다. 본 발명의 일 실시예에 있어서, 로그인서버가 제공하는 로그인 화면에는 아이디 및 비밀번호를 입력하여 로그인할 수 있는 인터페이스 및 전화번호만을 입력하여 간편 로그인할 수 있는 인터페이스를 제공할 수 있다.
본 발명에 있어서, 간편 로그인이란 용어는 사용자가 전화번호만을 입력하여 로그인 절차를 수행하는 절차를 의미한다. 본 발명에 있어서, 사용자 단말은 퍼스널 컴퓨터일 수도 있으며, 또한, 스마트폰일 수도 있다. 간편 로그인 방법이 수행되기 위해서는, 컴퓨터에는 간편 로그인과 관련된 모듈이 설치되어 있고, 스마트폰에는 간편 로그인 방법과 관련된 어플리케이션이 설치되어 있을 수 있다.
도 2는 본 발명의 일 실시예에 따른 간편 로그인 화면 예를 나타내는 도면이다.
도 2를 참조하면, 로그인 인터페이스(200)에는 간편 로그인 또는 전화번호 로그인 항목(211), 기존의 아이디 로그인 항목(212)이 구비된다. 사용자의 선택에 의하여 간편 로그인 또는 아이디 로그인이 진행될 수 있다. 도 2는 간편 로그인이 선택된 도면을 나타낸다. 도 2에서 사용자는 전화번호 항목(221)에 전화번호를 입력하고 로그인 버튼(130)을 통하여 로그인을 요청한다.
사용자가 전화번호를 입력하고, 로그인을 요청하는 경우, 서비스 웹 또는 앱은 전화번호를 사용자인증서버로 송신한다.
단계 120에서, 사용자인증서버는 전화번호를 수신하고, 수신한 전화번호를 사용자인증 서버의 이용자 데이터베이스에 저장되어 있는 가입자 정보와 비교 및 확인한다. 가입자 정보는 전화번호를 포함하는 가입자 정보를 미리 수신하여 이용자 데이터베이스로 저장한다. 이용자 데이터베이스는 암호화되어 있어야 한다. 이용자 데이터베이스를 암호화하는 방법은 AES 256-bit 암호화 기술, CBC 암호화 기술, PKCS5 암호화 기술 및/또는 SHA-256 암호화 기술이 이용될 수 있다. 만약, 전화번호를 이용하여 가입자가 확인되지 않는 경우에는, 사용자인증서버는 사용자 단말에 본인 인증 요청을 한다. 본인 인증은 사용자 단말 또는 이메일을 이용하여 수행될 수 있다.
단계 130에서, 가입자가 확인된 경우, 사용자인증서버는 1회용 비밀번호를 생성한다. 예를 들어, 1회용 비밀번호는 OTP(일회용 패스워드, One Time Password)를 이용하는 것이 바람직하다. OTP는 무작위로 생성되는 난수의 일회용 패스워드를 이용하는 사용자 인증 방식이다. 보안을 강화하기 위하여 도입한 시스템으로, 로그인 할 때마다 일회성 패스워드를 생성하여 동일한 패스워드가 반복해서 사용됨으로 발생하는 보안상의 취약점을 극복하기 위해 도입되었다. OTP는 일 예일 뿐, 여기에 제한되는 것은 아니며, 1회용 비밀번호 생성 방법에 제한이 있는 것은 아니다. 다만 이하에서는, 1회용 비밀번호는 OTP로 총칭하기로 한다.
단계 140에서, 사용자인증서버는 암호화 키를 이용하여 생성된 OTP를 암호화하고, 암호화된 OTP를 사용자 단말로 송신한다.
먼저, 사용자 단말에서 암호화 또는 로그인 관련 어플리케이션을 통하여 소정의 암호화 알고리즘을 이용하여 개인키(private key) 및 공개키(public key)를 생성한다. 구체적으로, 사용자 단말은 RSA(Rivest Shamir Adleman) 암호화/복호화 알고리즘을 이용하여, 개인키 및 공개키를 생성한다. 그 후, 사용자 단말은 생성된 공개키는 사용자인증서버로 전송한다.
사용자 단말은 단말 정보와 이용자가 설정한 비밀번호를 조합하여 AES(Advanced Encryption Standard) 암호화의 비밀키로 생성 후 생성된 개인키를 AES 암호화 알고리즘으로 암호화한 후 파일로 보관한다. 단말 정보는 단말기 번호(MDN: Mobile Directory Number), 국제단말기인증번호(IMEI, International Mobile Equipment Identity), 국제이동가입자식별번호 (IMSI, International Mobile Subscriber Identity) 및 단말 내 와이파이 맥 어드레스(WiFi Mac Address) 중 적어도 하나를 포함할 수 있다.
사용자인증서버는 생성된 OTP를 사용자인증서버에 저장된 전화번호에 대응하는 공개키 정보로 RSA암호화 알고리즘을 이용하여 암호화한다.
그 후, 사용자인증서버는 암호화된 OTP를 사용자 단말에 전송한다. 생성된 OTP는 앱 푸쉬 서비스를 통하여 푸시 메시지로 전송될 수 있다.
단계 150에서, 사용자 단말은 푸시 메시지를 수신하는 경우, 본 발명에 따른 인증 앱 또는 인증 SDK 모듈을 구동시킨다.
단계 160에서, 인증 앱 또는 인증 SDK 모듈이 구동된 사용자 단말은 지문 인증, 개인 비밀번호(이하, PIN 번호) 입력 또는 패턴 인증 인터페이스를 제공한다. 본 발명에 있어서는, OTP를 수신하여 사용자 단말이 이를 표시하고, 표시된 OTP를 보고, 사용자가 이를 입력하여 사용자 인증하는 대신에, 지문인증, PIN 번호 입력 또는 패턴 인증이 수행되도록 한다. 지문인증 및 패턴 인증은 사용자 단말의 OS 레벨에서 동작하는 공개 API를 이용한다. 예를 들어, 지문인증 및 패턴 인증은 안드로이드폰인 경우에는 안드로이드, 아이폰인 경우에는 IOS가 제공한다. PIN 번호는 인증 앱 또는 인증 SDK 모듈에 미리 설정되어 있어야 한다.
지문 인증, PIN 번호 입력 또는 패턴 인증은 사용자 단말 기종 및 사용자 기호에 따라 어느 하나가 선택 가능하다. 예를 들어, 사용자 단말이 스마트폰이 아닌 경우에는 지문 인증 및 패턴 인증이 불가능할 수 있는데, 이 경우에는 PIN 번호 입력이 선택되고, 또는 사용자 자신이 선호하는 인증을 선택할 수도 있다.
도 3a 내지 도 3c는 본 발명의 일 실시예에 따른 인증 인터페이스의 예들을 나타내는 도면이다.
단계 170에서, 사용자 단말은 사용자의 지문 입력, PIN 번호 입력 또는 패턴 입력 신호를 수신하고, 기저장된 지문, PIN 번호, 패턴과 일치하는 경우 수신한 암호화된 OTP를 복호화한다.
사용자 단말은 AES 비밀키 정보를 이용하여 암호화된 RSA 개인키 정보를 복호화한다. 그 후, rm사용자 단말은 복호화된 RSA 개인키 정보를 사용하여, RSA 암호화 알고리즘으로 암호화된 OTP 정보를 복호화한다. 이 경우, 기기 내 단말 정보와 이용자 패스워드를 조합한 암호화 알고리즘으로 다른 단말 정보로는 암호화된 개인키를 복호화할 수 없어, 사용자인증서버에서 생성되어 암호화된 비밀번호를 외부 해킹으로부터 보호할 수 있다. 또한, 단말 정보 변경 시 복호화가 불가능함에 따라, 단말 변경 시에는 새로 인증을 통하여 암호화된 개인키를 새로 생성하여야 한다.
단계 180에서, 사용자 단말은 복호화된 OTP를 사용자에게 표시하지 않고, 바로 사용자인증서버로 송신한다.
단계 160 내지 180은 사용자의 비밀번호의 육안 확인 및 입력을 생략된 것으로, 즉, 사용자인증서버와 인증 앱 간의 백그라운드에서의 검증을 이루는 것이 된다. 이 경우, 종래의 사용자가 비밀번호를 확인하여 입력하는 방식보다 사용 절차와 비밀번호 검증시간이 단축되어 시간 및 사용자 입력 절차 등의 편리성을 확보할 수 있게 된다.
단계 190에서, 사용자인증서버는 OTP 인증을 검증한다. 즉, 사용자인증서버는 송신한 OTP와 수신한 OTP가 일치한 지를 검증한다.
단계 1100에서, 검증이 완료된 경우, 사용자인증서버는 로그인서버에 사용자 인증 완료 통보를 한다.
단계 1110에서, 로그인서버는 인증 완료 신호를 수신하는 경우, 사용자 단말의 로그인을 허용한다.
본 발명에 있어서, 사용자 단말과 사용자인증서버 또는 로그인서버와의 통신은 256bit 이상 SSL 암호화 통신 암호화 방식이 이용되고, 사용자인증서버 또는 로그인서버와 기존 시스템의 연동 암호화 방식은 256-bit SSL, CBC. AES 128-bit 암호화 방식이 이용될 수 있다.
도 4는 본 발명의 일 실시예에 따른 비밀번호에 의한 사용자 인증을 자동화하는 시스템에 관한 블록 다이어그램을 나타내는 도면이다.
도 4를 참조하면, 사용자 인증 자동화 시스템(400)은 사용자 단말(410), 사용자인증서버(420) 및 로그인서버(430)를 포함하고, 사용자 단말(410)은 수신부(411), 송신부(412), 제어부(413), 앱구동부(414) 및 인증부(415)를 포함하고, 사용자인증서버(420)는 수신부(421), 송신부(422), 제어부(423), OTP생성부(424) 및 데이터베이스(425)를 포함한다.
사용자 단말(410)과 사용자인증서버(420) 또는 로그인서버(430)와의 통신은 256bit 이상 SSL 암호화 통신 암호화 방식이 이용되고, 사용자인증서버(420) 또는 로그인서버(430)와 기존 시스템(미도시)의 연동 암호화 방식은 256-bit SSL, CBC. AES 128-bit 암호화 방식이 이용될 수 있다.
사용자 단말의 송신부(412)는 사용자 입력에 기초하여 로그인을 위한 전화번호를 사용자인증서버(420)로 송신한다. 사용자는 사용자 단말(410)을 통하여 로그인이 필요한 서비스 웹 또는 앱에서 전화번호를 입력하고, 사용자 단말의 송신부(411)는 입력받은 전화번호를 사용자인증서버(420)로 송신한다. 일반적으로, 사용자는 인터넷 사이트에 로그인하기 위해서는 웹사이트 또는 앱에서 아이디 및 비밀번호를 입력하여 로그인서버(430)로 전송하고, 로그인서버(430)에서 이를 확인한 후 로그인 절차가 진행된다. 본 발명의 일 실시예에 있어서, 로그인서버(430)가 제공하는 로그인 화면에는 아이디 및 비밀번호를 입력하여 로그인할 수 있는 인터페이스 및 전화번호만을 입력하여 간편 로그인할 수 있는 인터페이스를 제공할 수 있다.
본 발명에 있어서, 간편 로그인이란 용어는 사용자가 전화번호만을 입력하여 로그인 절차를 수행하는 절차를 의미한다. 본 발명에 있어서, 사용자 단말(410)은 퍼스널 컴퓨터일 수도 있으며, 또한, 스마트폰일 수도 있다. 간편 로그인 방법이 수행되기 위해서는, 컴퓨터에는 간편 로그인과 관련된 모듈이 설치되어 있고, 스마트폰에는 간편 로그인 방법과 관련된 어플리케이션이 설치되어 있을 수 있다.
사용자가 전화번호를 입력하고, 로그인을 요청하는 경우, 서비스 웹 또는 앱은 전화번호를 사용자인증서버(420)로 송신한다.
사용자인증서버의 수신부(421)는 전화번호를 수신하고, 수신한 전화번호를 사용자인증 서버의 데이터베이스(425)에 저장되어 있는 가입자 정보와 비교 및 확인한다. 가입자 정보는 전화번호를 포함하는 가입자 정보를 미리 수신하여 이용자 데이터베이스로 저장한다. 데이터베이스(425)는 암호화되어 있어야 한다. 데이터베이스(425)를 암호화하는 방법은 AES 256-bit 암호화 기술, CBC 암호화 기술, PKCS5 암호화 기술 및/또는 SHA-256 암호화 기술이 이용될 수 있다. 만약, 전화번호를 이용하여 가입자가 확인되지 않는 경우에는, 사용자인증서버(420)는 사용자 단말에 본인 인증 요청을 한다. 본인 인증은 사용자 단말 또는 이메일을 이용하여 수행될 수 있다.
가입자가 확인된 경우, 사용자인증서버의 OTP생성부(424)는 1회용 비밀번호를 생성한다. 예를 들어, 비밀번호는 OTP(일회용 패스워드, One Time Password)를 이용하는 것이 바람직하다. OTP는 무작위로 생성되는 난수의 일회용 패스워드를 이용하는 사용자 인증 방식이다. 보안을 강화하기 위하여 도입한 시스템으로, 로그인 할 때마다 일회성 패스워드를 생성하여 동일한 패스워드가 반복해서 사용됨으로 발생하는 보안상의 취약점을 극복하기 위해 도입되었다. OTP는 일 예일 뿐, 여기에 제한되는 것은 아니며, 비밀번호 생성 방법에 제한이 있는 것은 아니다.
사용자인증서버의 제어부(423)는 암호화 키를 이용하여 생성된 OTP를 암호화하고, 암호화된 OTP를 사용자 단말로 송신한다.
사용자 단말의 제어부(413)에서 암호화 또는 로그인 관련 어플리케이션을 통하여 소정의 암호화 알고리즘을 이용하여 개인키(private key) 및 공개키(public key)를 생성한다. 구체적으로, 사용자 단말의 제어부(413)는 RSA(Rivest Shamir Adleman) 암호화/복호화 알고리즘을 이용하여, 개인키 및 공개키를 생성한다. 그 후, 사용자 단말의 송신부(412)는 생성된 공개키는 사용자인증서버(420)로 전송한다.
사용자 단말의 제어부(413)는 단말 정보와 이용자의 비밀번호를 조합하여 AES(Advanced Encryption Standard) 암호화의 비밀키로 생성 후 생성된 개인키를 AES 암호화 알고리즘으로 암호화한 후 파일로 보관한다. 단말 정보는 단말기 번호(MDN: Mobile Directory Number), 국제단말기인증번호(IMEI, International Mobile Equipment Identity), 국제이동가입자식별번호 (IMSI, International Mobile Subscriber Identity) 및 단말 내 와이파이 맥 어드레스(WiFi Mac Address) 중 적어도 하나를 포함할 수 있다.
사용자인증서버의 제어부(423)는 생성된 OTP를 사용자인증서버(420)에 저장된 전화번호에 대응하는 공개키 정보로 RSA암호화 알고리즘을 이용하여 암호화한다.
그 후, 사용자인증서버의 송신부(422)는 생성되고 암호화된 OTP를 사용자 단말에 전송한다. 생성된 OTP는 앱 푸쉬 서비스를 통하여 푸시 메시지로 전송될 수 있다.
사용자 단말의 수신부(411)가 푸시 메시지를 수신하는 경우, 앱구동부(414)는 인증 앱 또는 인증 SDK 모듈을 구동시킨다.
인증 앱 또는 인증 SDK 모듈이 구동된 사용자 단말의 인증부(415)는 지문 인증, PIN 번호 입력 또는 패턴 인증 인터페이스를 제공한다. 본 발명에 있어서는, OTP를 수신하여 사용자가 이를 입력하여 사용자 인증하는 대신에, 지문인증, PIN 번호 입력 또는 패턴 인증이 수행되도록 한다. 지문인증 및 패턴 인증은 사용자 단말의 OS 레벨에서 동작하는 공개 API를 이용한다. 예를 들어, 지문인증은 안드로이드폰인 경우에는 안드로이드, 아이폰인 경우에는 IOS가 제공한다. PIN 번호 입력은 인증 앱 또는 인증 SDK 모듈에서 제공된다.
지문 인증, PIN 번호 입력 또는 패턴 인증은 사용자 단말(410) 기종 및 사용자 기호에 따라 어느 하나가 선택 가능하다. 예를 들어, 사용자 단말(410)이 스마트폰이 아닌 경우에는 지문 인증 및 패턴 인증이 불가능할 수 있는데, 이 경우에는 PIN 번호 입력이 선택되고, 또는 사용자 자신이 선호하는 인증을 선택할 수도 있다.
사용자 단말의 인증부(415)를 통하여 사용자의 지문 입력 신호, PIN 번호 입력 신호 또는 패턴 입력 신호를 수신하고, 기저장된 지문, PIN 번호 또는 패턴과 일치하는 경우 사용자 단말의 제어부(413)는 수신한 암호화된 OTP를 복호화한다.
사용자 단말의 제어부(413)는 복호화된 OTP를 사용자에게 표시하지 않고, 바로 사용자 단말의 송신부(412)를 통하여 사용자인증서버(420)로 송신한다.
사용자 단말의 제어부(413)는 AES 비밀키 정보를 이용하여 암호화된 RSA 개인키 정보를 복호화한다. 그 후, 사용자 단말의 제어부(413)는 복호화된 RSA 개인키 정보를 사용하여, RSA 암호화 알고리즘으로 암호화된 OTP 정보를 복호화한다. 이 경우, 기기 내 단말 정보와 이용자 패스워드를 조합한 암호화 알고리즘으로 다른 단말 정보로는 암호화된 개인키를 복호화할 수 없어, 사용자인증서버(420)에서 생성되어 암호화된 비밀번호를 외부 해킹으로부터 보호할 수 있다. 또한, 단말 정보 변경 시 복호화가 불가능함에 따라, 단말 변경 시에는 새로 인증을 통하여 암호화된 개인키를 새로 생성하여야 한다.
지문 인증, PIN 번호 입력 또는 패턴 인증을 이용하는 경우에는, 사용자의 비밀번호의 육안 확인 및 입력을 생략된 것으로, 즉, 사용자인증서버(420)와 사용자 단말의 앱구동부(414)에 의하여 구동된 인증 앱 간의 백그라운드에서의 검증을 이루는 것이 된다. 이 경우, 종래의 사용자가 OTP가 표시되고, 이를 사용자가 확인하여 재차 OTP를 입력하는 방식보다 사용 절차와 비밀번호 검증시간이 단축되어 시간 및 사용자 입력 절차 등의 편리성을 확보할 수 있게 된다.
사용자인증서버의 제어부(423)는 OTP 인증을 검증한다. 즉, 사용자인증서버의 제어부(423)는 송신한 OTP와 수신한 OTP가 일치한 지를 검증한다.
검증이 완료된 경우, 사용자인증서버의 송신부(422)는 로그인서버(430)에게 사용자 인증 완료 통보를 한다.
로그인서버(430)는 인증 완료 신호를 수신하는 경우, 사용자 단말(410)의 로그인을 허용한다.
이상 설명한 바와 같은 암호화된 1회용 비밀번호를 지문을 이용하여 복호화하여 사용자 인증을 자동화하는 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 매체를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고, 상기 디스크 관리 방법을 구현하기 위한 기능적인(function) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
사용자 인증 자동화 시스템...400
사용자 단말...410
수신부...411 송신부...412 제어부...413
앱구동부...414 인증부...415
사용자인증서버...420
수신부...421 송신부...422 제어부...423
OTP생성부...414 데이터베이스...425
로그인서버...430

Claims (2)

  1. 사용자 단말이 RSA 암호화 알고리즘을 이용하여 개인키 및 공개키를 생성하는 단계;
    상기 사용자 단말이 생성된 공개키를 사용자인증서버로 송신하는 단계;
    사용자 입력에 기초하여, 사용자 단말이 전화번호를 상기 사용자인증서버로 송신하여 로그인을 요청하는 단계;
    상기 사용자인증서버가 1회용 비밀번호(OTP)를 생성하는 단계;
    상기 사용자인증서버가 상기 수신한 공개키로 상기 생성된 1회용 비밀번호를 암호화하는 단계;
    상기 사용자인증서버가 상기 암호화된 1회용 비밀번호를 상기 사용자 단말에 앱 푸시하는 단계;
    상기 사용자 단말이 지문 인증 또는 패턴 인증 인터페이스를 제공하는 단계;
    사용자의 지문 또는 패턴 입력에 기초하여, 상기 사용자의 지문 또는 패턴 입력이 기저장된 사용자의 지문 또는 패턴과 일치하는 경우, 상기 사용자 단말이 상기 개인키를 이용하여 상기 암호화된 1회용 비밀번호를 복호화하는 단계;
    상기 사용자 단말은 상기 복호화된 1회용 비밀번호를 표시하지 않고, 상기 복호화된 1회용 비밀번호의 사용자 입력의 수신 없이, 상기 사용자 단말이 상기 복호화된 1회용 비밀번호를 상기 사용자인증서버에 송신하는 단계;
    상기 사용자인증서버가 상기 생성된 1회용 비밀번호와 상기 사용자 단말로부터 수신한 1회용 비밀번호의 일치 여부를 검증하는 단계;
    상기 1회용 비밀번호들의 일치 여부가 검증된 경우, 상기 사용자인증서버는 로그인서버에 사용자 인증 완료를 통보하는 단계; 및
    상기 로그인서버가 상기 사용자 단말의 로그인을 허용하는 단계를 포함하는 것을 특징으로 하는 암호화된 1회용 비밀번호를 지문을 이용하여 복호화하여 사용자 인증을 자동화하는 방법.
  2. RSA 암호화 알고리즘을 이용하여 개인키 및 공개키를 생성하고, 상기 생성된 공개키를 사용자인증서버로 송신하고, 사용자 입력에 기초하여, 전화번호를 사용자 인증서버로 송신하여 로그인을 요청하는 사용자 단말;
    상기 전화번호를 사용자 단말로부터 수신하는 수신부,
    1회용 비밀번호(OTP)를 생성하는 비밀번호 생성부,
    상기 생성된 1회용 비밀번호를 상기 수신한 공개키를 이용하여 암호화하는 제어부, 및
    상기 암호화된 1회용 비밀번호를 상기 사용자 단말에 앱 푸시하는 송신부를 포함하는 사용자 인증서버; 및
    로그인 서버를 포함하고,
    상기 사용자 단말이 지문 인증 또는 패턴 인증 인터페이스를 제공하고, 사용자의 지문 또는 패턴 입력에 기초하여, 상기 사용자의 지문 또는 패턴 입력이 기저장된 사용자의 지문 또는 패턴과 일치하는 경우, 상기 개인키를 이용하여 상기 암호화된 1회용 비밀번호를 복호화하여, 상기 복호화된 1회용 비밀번호를 표시하지 않고, 상기 복호화된 1회용 비밀번호의 사용자 입력의 수신 없이, 상기 복호화된 1회용 비밀번호를 상기 사용자인증서버에 송신하고,
    상기 사용자인증서버가 상기 생성된 1회용 비밀번호와 상기 사용자 단말로부터 수신한 1회용 비밀번호의 일치 여부를 검증하고, 상기 1회용 비밀번호들의 일치 여부가 검증된 경우, 로그인서버에 사용자 인증 완료를 통보하고,
    상기 로그인서버가 상기 사용자 단말의 로그인을 허용하는 것을 특징으로 하는 암호화된 1회용 비밀번호를 지문을 이용하여 복호화하여 사용자 인증을 자동화하는 시스템.
KR1020170003100A 2017-01-09 2017-01-09 암호화된 otp를 모바일폰에서 지문 등을 이용하여 복호화하여 사용자 인증을 자동화하는 방법과 그 시스템 KR20170124953A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170003100A KR20170124953A (ko) 2017-01-09 2017-01-09 암호화된 otp를 모바일폰에서 지문 등을 이용하여 복호화하여 사용자 인증을 자동화하는 방법과 그 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170003100A KR20170124953A (ko) 2017-01-09 2017-01-09 암호화된 otp를 모바일폰에서 지문 등을 이용하여 복호화하여 사용자 인증을 자동화하는 방법과 그 시스템

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020160054516 Division 2016-05-03

Publications (1)

Publication Number Publication Date
KR20170124953A true KR20170124953A (ko) 2017-11-13

Family

ID=60386094

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170003100A KR20170124953A (ko) 2017-01-09 2017-01-09 암호화된 otp를 모바일폰에서 지문 등을 이용하여 복호화하여 사용자 인증을 자동화하는 방법과 그 시스템

Country Status (1)

Country Link
KR (1) KR20170124953A (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190066470A (ko) * 2017-12-05 2019-06-13 주식회사 코스콤 일회성 패스워드를 생성하고 검증하는 방법과 그 장치
CN110110514A (zh) * 2019-05-13 2019-08-09 Oppo广东移动通信有限公司 应用加密方法及相关装置
CN111935710A (zh) * 2020-09-24 2020-11-13 广州市玄武无线科技股份有限公司 移动端的应用程序登录方法、装置及电子设备
US10951609B2 (en) 2018-11-05 2021-03-16 International Business Machines Corporation System to effectively validate the authentication of OTP usage
KR20210074533A (ko) * 2019-12-12 2021-06-22 웰니스인텔리전스(주) 사용자 정보를 기반으로 육아 서비스 추천이 가능한 육아 정보 플랫폼 서버 및 그 동작 방법
KR20210093539A (ko) 2020-01-20 2021-07-28 주식회사 장원커뮤니케이션 온라인 시험시스템 및 이를 이용한 온라인 시험방법

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190066470A (ko) * 2017-12-05 2019-06-13 주식회사 코스콤 일회성 패스워드를 생성하고 검증하는 방법과 그 장치
US10951609B2 (en) 2018-11-05 2021-03-16 International Business Machines Corporation System to effectively validate the authentication of OTP usage
CN110110514A (zh) * 2019-05-13 2019-08-09 Oppo广东移动通信有限公司 应用加密方法及相关装置
KR20210074533A (ko) * 2019-12-12 2021-06-22 웰니스인텔리전스(주) 사용자 정보를 기반으로 육아 서비스 추천이 가능한 육아 정보 플랫폼 서버 및 그 동작 방법
US11830591B2 (en) 2019-12-12 2023-11-28 WellnessIntelligence Inc. Child care information platform server for recommending information regarding child care based on user information and the operating method thereof
KR20210093539A (ko) 2020-01-20 2021-07-28 주식회사 장원커뮤니케이션 온라인 시험시스템 및 이를 이용한 온라인 시험방법
CN111935710A (zh) * 2020-09-24 2020-11-13 广州市玄武无线科技股份有限公司 移动端的应用程序登录方法、装置及电子设备
CN111935710B (zh) * 2020-09-24 2021-02-05 广州市玄武无线科技股份有限公司 移动端的应用程序登录方法、装置及电子设备

Similar Documents

Publication Publication Date Title
US10348715B2 (en) Computer-implemented systems and methods of device based, internet-centric, authentication
US9800562B2 (en) Credential recovery
US11501294B2 (en) Method and device for providing and obtaining graphic code information, and terminal
JP6399382B2 (ja) 認証システム
KR20170124953A (ko) 암호화된 otp를 모바일폰에서 지문 등을 이용하여 복호화하여 사용자 인증을 자동화하는 방법과 그 시스템
US9621344B2 (en) Method and system for recovering a security credential
KR101210260B1 (ko) 통합센터를 이용한 유심칩기반 모바일 오티피 인증장치 및 인증방법
CN107733652B (zh) 用于共享交通工具的开锁方法和系统及车锁
CN108667784B (zh) 互联网身份证核验信息保护的系统和方法
WO2017050152A1 (zh) 用于移动设备的密码安全系统及其密码安全输入方法
KR20130031435A (ko) 휴대용 단말의 암호화 키 생성 및 관리 방법 및 그 장치
CN115150180A (zh) 存储设备管理方法、存储设备、管理设备及存储介质
KR101570773B1 (ko) 모바일 기기를 사용한 인터넷 서비스의 클라우드 인증 방법
KR101358375B1 (ko) 스미싱 방지를 위한 문자메시지 보안 시스템 및 방법
KR102171377B1 (ko) 로그인 제어 방법
KR101172876B1 (ko) 사용자 단말기와 서버 간의 상호 인증 방법 및 시스템
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
KR20170041463A (ko) 보안 토큰을 효율적으로 사용하기 위한 서명 키 생성방법
KR101329789B1 (ko) 모바일 디바이스의 데이터베이스 암호화 방법
KR20160082426A (ko) 사용자 단말기, 이를 위한 웨어러블 단말기 지원 방법과 어플리케이션 및 인증 서버
US20150302506A1 (en) Method for Securing an Order or Purchase Operation Means of a Client Device
CN108184230B (zh) 一种软sim实现加密的系统及方法
KR102445379B1 (ko) 서버 장치의 동작 방법, 단말의 동작 방법 및 서버 장치
KR101725939B1 (ko) 사용자 인증 방법 및 이를 실행하는 시스템
KR20130041033A (ko) 휴대용 단말의 암호화 키 생성 및 관리 방법 및 그 장치

Legal Events

Date Code Title Description
A107 Divisional application of patent