KR20190142459A - P2p 인증을 위한 거래연동 otp 발생기 - Google Patents

P2p 인증을 위한 거래연동 otp 발생기 Download PDF

Info

Publication number
KR20190142459A
KR20190142459A KR1020180068550A KR20180068550A KR20190142459A KR 20190142459 A KR20190142459 A KR 20190142459A KR 1020180068550 A KR1020180068550 A KR 1020180068550A KR 20180068550 A KR20180068550 A KR 20180068550A KR 20190142459 A KR20190142459 A KR 20190142459A
Authority
KR
South Korea
Prior art keywords
transaction
user
user terminal
otp
private key
Prior art date
Application number
KR1020180068550A
Other languages
English (en)
Inventor
황순영
Original Assignee
황순영
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 황순영 filed Critical 황순영
Priority to KR1020180068550A priority Critical patent/KR20190142459A/ko
Publication of KR20190142459A publication Critical patent/KR20190142459A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/405Establishing or using transaction specific rules

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 P2P 인증을 위한 거래연동 OTP 발생기에 관한 것이다.
본 발명은 비대칭키 기반의 공개키 및 상기 공개키와 쌍을 이루는 정상 개인키를 개인 비밀번호로 암호화한 변형 개인키가 저장된 저장부, 사용자 단말과의 통신을 지원하는 통신부, 상기 사용자 단말로부터 전송받은 거래정보의 적어도 일부인 핵심거래정보를 디스플레이하는 디스플레이부, 상기 핵심거래정보를 확인한 사용자의 승인명령을 입력받는 사용자명령 입력부 및 상기 개인 비밀번호로 상기 변형 개인키를 복호화하여 상기 정상 개인키를 회복하고, 상기 승인명령이 입력되는 경우, 상기 거래정보를 상기 정상 개인키로 암호화하여 OTP를 생성하고, 생성된 OTP가 상기 사용자 단말로 전송되도록 제어하는 제어부를 포함한다.
본 발명에 따르면, 정당한 권원이 없는 제3자에 의해 사용자 단말 또는 서버가 해킹당하여도 거래 비밀번호가 변조되거나 유출되지 않기 때문에, 사용자 및 거래정보 인증의 보안성이 크게 향상된다.

Description

P2P 인증을 위한 거래연동 OTP 발생기{Transaction-linked OTP Tokens for P2P Authentication}
본 발명은 가상화폐와 같은 P2P 플랫폼에서의 거래 인증을 위해 해시함수(hash algorithm)와 공개키(PKI)방식과 함께 사용자의 안전한 본인인증과 거래 기록의 무결성을 보장하기 위해 거래연동 OTP를 활용함으로써 해킹에 의한 도용 및 변조를 방지하는 기술에 관한 것이다. 보다 구체적으로, 본 발명은 정당한 권원이 없는 제3자에 의해 사용자 단말이 악성코드에 감염되거나 해킹당하여도 제3자의 거래변조와 도용이 불가능하게 하기 위해 거래 내역과 연동한 OTP(One Time Password, 일회용 비밀번호)를 발생시키는 OTP 발생기에 관한 것으로서, OTP를 생성하기 위한 개인번호(Personal Identity Number, PIN)가 유출되지 않도록 하고, 사용자 인증 요청시마다 OTP를 동적으로 변경시켜 제3자에 의한 재사용을 불가능하게 하고, 제3자가 이 OTP를 사전에 예측할 수 없도록 함은 물론, OTP 발생기가 분실 또는 복제되어도 권원이 없는 제3자가 사용할 수 없도록 함으로써 인증의 보안성을 크게 강화시킬 수 있는 기술에 관한 것이다. 또한 OTP 발생기와 사용자 단말 간에 NFC나 BLE 통신을 이용하여 소통하기 때문에 사용자가 거래내역이나 개인번호(PIN)를 OTP 발생기에 직접 입력하지 않아도 되며 개인번호(PIN)로 사용자가 기억할 수 있는 짧은 숫자(예, 4자리 수)만으로도 안전하기 때문에 사용자의 편리성이 크게 개선되는 효과가 있다.
일반적으로 사용되는 본인 확인 또는 거래 인증 방법으로 해시함수와 PKI방식을 활용한 MAC(메세지 인증 코드; Message Authentication Code)이나 인증서, 일회용 비밀번호(OTP)를 혼용하여 사용하고 있기 때문에 권원이 없는 제3자가 사용할 수 없다고 의제하고 있으나 현실적으로는 메모리 해킹 등으로 권원이 없는 제3자가 도용한 사례가 속출하고 있다. 이는 사용자 단말이 악성코드에 감염되어 있는 경우 사용자 고유의 비밀키나 ID, PIN, 지문, 홍채 등 사용자를 인정할 수 있는 단서들을 해커가 그대로 사용함으로서 매우 쉽게 해커가 사용자 행세를 할 수 있기 때문이다. 오늘날의 해킹 기술은 주인 모르게 사용자 단말을 원격조종할 수 있는 수준이기 때문에 사용자 단말에 입력된 사용자의 정보를 그대로 활용하여 해커가 주인 행세를 하게 되면 해커가 보내 온 정보는 그대로 해당 사용자가 보내 온 것으로 인정될 수밖에 없기 때문에 사용자를 특정하는 모든 보안 정보(지문, 홍채, 정맥, QR코드,OTP, SMS. CAPTCHA .. 등)는 오히려 해커를 도와주는 기능으로 전락해 버린다. 그러므로 사용자 단말이 감염되지 않도록 하기 위한 조치가 중요하여 각종보안패치(방화벽, 백신, 키보드 보안패치 등)를 다운받아 사용하기는 하지만 이들 보안 패치는 항상 신종 바이러스에 의해 뚫리기 때문에 사용자는 늘 보안패치를 업그레이드하고 다운받는 수고를 해야 한다. 그럼에도 불구하고 사용자는 인터넷 서핑이나 이메일, 검색 등을 하기 때문에 이 과정에서 유입되는 악성코드를 피할 방법이 없다. 수상한 이메일을 개봉하지 않거나 의심스런 사이트를 방문하지 말고 의심스런 앱을 다운 받지 말아야 하지만 사용자는 어떤 이메일이 수상한 것인지 어떤 사이트가 위험한 것인지 어떤 앱이 의심스러운 것인지를 알 수 없다. 더구나 공격자는 더욱 신뢰로운 형태로 피싱을 하고 이메일을 보내고 때로는 실제로 운영하는 쇼핑몰 사이트를 만들어 운영하면서 악성코드를 유포시키기 때문에 사용자의 주의로는 사용자 단말의 오염을 막을 수 없는 것이 현실이다.
그러므로 오늘날 필요한 인증기술은 사용자를 특정하고 사용자 고유의 비밀키를 만들고 인증하는 기술과는 별도로 사용자가 진짜 사용자인지를 확인할 수 있는 본인인증 기술이 요구된다. 특히 사용자 단말의 오염을 예방할 온전한 방법이 없기 때문에 사용자 단말이 오염된 상태에서도 권원이 없는 제3자의 도용을 피할 수 있는 방법이 절실하다.
본 발명은 사용자의 ID,PIN,거래정보 등을 시드 값으로 활용하여 일회용 비밀번호(OTP)를 생성하는 방식으로 사용자가 전송하는 정보의 위변조를 방지함과 동시에 OTP를 사용자 단말과 단절된(disconnected) 별도의 매체 즉, 별도의 하드웨어 장치인 OTP발생기에서 생성토록 함으로서 감염된 사용자 단말의 악성코드가 OTP를 사용하여도 해커의 이익이 될 수 없다. 예를 들어 현재의 OTP는 거래정보와 무관하기 때문에 해커는 사용자가 입력한 OTP를 그대로 사용하면서 거래내역(특히 이체계좌)을 변조하여 전송할 수 있기 때문에 도용이 가능한 것이다. 이 때문에 최근 거래연동 OTP를 사용하고는 있으나 사용자가 직접 자신의 OTP발생기에서 발생시킨 것이 아닌 웹이나 서버에서 거래연동 OTP를 계산하기 때문에 사용자 단말이 감염된 경우 시드 값 자체가 변조될 수 있기 때문에 이 또한 도용을 방지 할 수 없다.
한편 블록체인 기술이 발전하면서 가상화폐 플랫폼과 같이 별도의 인증자(TTP;Trusted 3rd Party)가 없는 P2P 기반의 거래인증 방식으로 해시값을 개인키로 암호화 한 메시지 인증방식(H-MAC: Hashed Message Authentication Code)을 사용하고 있는데 사용자의 비밀키가 32바이트 이상으로 매우 길기 때문에 어떤 사용자도 자신의 비밀키를 기억할 수 없기에 자신의 단말기에 저장하여 사용하고 있다. 따라서 사용자 단말이 감염되면 도용되는 똑같은 현상이 발생하고 있으며 자신의 비밀키를 잃어버린 경우 플랫폼에서의 거래가 불가능해지기 때문에 자신의 자산(가상화폐)을 영원히 찾을 수 없는 문제까지 발생하고 있다.
대한민국 등록특허공보 제10-1494838호(등록일자: 2015년 02월 12일, 명칭: 거래연동 오티피를 이용한 계좌 이체 방법 및 시스템) 대한민국 공개특허공보 제10-2012-0093598호(공개일자: 2012년 08월 23일, 명칭: 이체정보로 생성되는 OTP를 활용한 계좌이체시스템 및 방법) 대한민국 등록특허공보 제10-0883154호(등록일자: 2009년 02월 04일, 명칭: 오티피 발생 프로그램이 내장된 휴대폰과 이를 이용한 시간동기방식 오티피 생성/인증 시스템)
본 발명은 정당한 권원이 없는 제3자에 의해 사용자 단말 또는 서버가 해킹당하여도 거래 내용의 변조가 불가능하게 함으로써, 사용자 인증의 보안성과 거래 내용의 무결성을 크게 향상시키는 것을 기술적 과제로 한다.
또한, 본 발명은 사용자 인증 요청시마다 거래 비밀번호(OTP)를 동적으로 변경시켜 제3자에 의한 재사용을 불가능하게 하고, 제3자가 이 거래 비밀번호(OTP)를 사전에 예측할 수 없도록 함으로써, 사용자 및 거래 내용에 관한 인증의 보안성을 크게 강화시키는 것을 기술적 과제로 한다.
또한, 본 발명은 PKI방식을 사용함으로서 프랫폼 참여자나 운영자 조차도 도용이 불가능하고, 별도의 인증기관을 필요로 하지 않는다.
이러한 기술적 과제를 해결하기 위한 본 발명에 따른 거래연동 OTP 발생기는 비대칭키 기반의 공개키 및 상기 공개키와 쌍을 이루는 정상 개인키를 개인 비밀번호로 암호화한 변형 개인키가 저장된 저장부, 사용자 단말과의 통신을 지원하는 통신부, 상기 사용자 단말로부터 전송받은 거래정보의 적어도 일부인 핵심거래정보를 디스플레이하는 디스플레이부, 상기 핵심거래정보를 확인한 사용자의 승인명령을 입력받는 사용자명령 입력부 및 상기 개인 비밀번호로 상기 변형 개인키를 복호화하여 상기 정상 개인키를 회복하고, 상기 승인명령이 입력되는 경우, 상기 거래정보를 상기 정상 개인키로 암호화하여 OTP를 생성하고, 생성된 OTP가 상기 사용자 단말로 전송되도록 제어하는 제어부를 포함한다.
본 발명에 따른 거래연동 OTP 발생기에 있어서, 상기 사용자 단말은 상기 거래연동 OTP 발생기와 단절된(disconnected) 독립적인 장치인 것을 특징으로 한다.
본 발명에 따른 거래연동 OTP 발생기에 있어서, 상기 개인 비밀번호는 상기 사용자에 의해 상기 사용자 단말에 입력되어 상기 사용자 단말로부터 전송받은 정보인 것을 특징으로 한다.
본 발명에 따른 거래연동 OTP 발생기에 있어서, 상기 핵심거래정보는 수취인명을 포함하는 것을 특징으로 한다.
본 발명에 따르면, 정당한 권원이 없는 제3자에 의해 사용자 단말 또는 서버가 해킹당하여도 거래 비밀번호가 변조되거나 유출되지 않기 때문에, 사용자 및 거래정보 인증의 보안성이 크게 향상되는 효과가 있다.
또한, 거래 비밀번호가 입력된 거래 정보와 매칭되어 있기 때문에 해당 거래 비밀번호를 제3자가 그대로 사용하여도 도용이 되지 않으며 도용을 위해 악성코드가 거래 내용(예: 이체계좌번호 또는 이름)을 바꿔치기 하면 사용자가 육안으로 확인할 수 있기 때문에 성공할 수 없다.
또한 PKI방식을 사용하므로 별도의 인증기관이 필요 없으며 플랫폼 참여자 누구나 공개키로 본인확인과 거래정보를 확인할 수 있기 때문에 P2P 인증이 가능하다.
도 1은 본 발명의 일 실시 예에 따른 P2P 인증을 위한 거래연동 OTP 발생기를 나타낸 도면이고,
도 2는 본 발명의 일 실시 예에 따른 P2P 인증을 위한 거래연동 OTP 발생기를 이용한 거래 방법이 수행되는 예시적인 시스템 구성을 나타낸 도면이고,
도 3은 본 발명의 일 실시 예에 따른 P2P 인증을 위한 거래연동 OTP 발생기의 동작을 예시적으로 설명하기 위한 도면이다.
본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태들로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.
본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에서 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시 형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 벗어나지 않은 채, 제1 구성 요소는 제2 구성 요소로 명명될 수 있고 유사하게 제2구성 요소는 제1구성 요소로도 명명될 수 있다.
어떤 구성 요소가 다른 구성 요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성 요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성 요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성 요소가 다른 구성 요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는 중간에 다른 구성 요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성 요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 본 명세서에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 나타낸다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하에서는, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다.
도 1은 본 발명의 일 실시 예에 따른 P2P 인증을 위한 거래연동 OTP 발생기를 나타낸 도면이고, 도 2는 본 발명의 일 실시 예에 따른 P2P 인증을 위한 거래연동 OTP 발생기를 이용한 거래 방법이 수행되는 예시적인 시스템 구성을 나타낸 도면이다.
도 1 및 도 2를 참조하면, 본 발명의 일 실시 예에 따른 P2P 인증을 위한 거래연동 OTP 발생기(1)는 저장부(10), 통신부(20), 디스플레이부(30), 사용자명령 입력부(40) 및 제어부(50)를 포함한다. 이하의 설명에서, 거래는 2인 이상의 당사자 간에 수행되며 당자자에 대한 인증이 필요한 임의의 형태의 거래일 수 있다. 설명의 편의상, 거래가 은행이체거래인 경우를 예로 들어 설명하지만, 이는 하나의 예시일 뿐이며, 거래가 이에 한정되지는 않는다.
저장부(10)에는 PKI(Public Key Infrastructure) 암호화 알고리즘, 비대칭키 기반, 즉, PKI 기반의 공개키 및 이 공개키와 쌍(pair)을 이루는 정상 개인키를 개인 비밀번호로 암호화한 변형 개인키가 저장되어 있다.
종래 기술에 따르면, OTP발생기에 정상 개인키가 저장되어 있었기 때문에, 정당한 사용자가 OTP발생기를 분실하거나 복제 당하는 경우, OTP를 도용당할 위험이 있었다.
그러나 본 발명에 따르면, OTP 발생기에 정상 개인키가 아닌 변형 개인기가 저장되어 있기 때문에, 정당한 사용자가 OTP 발생기를 분실하거나 복제 당하여도, OTP를 도용당할 위험이 원천적으로 방지된다. 즉, OTP 발생기를 분실하거나 복제 당하여도 정당한 권원이 없는 제3자는 해당 OTP 발생기의 개인 비밀번호를 모르기 때문에 이를 사용할 수가 없다. 보다 구체적으로, OTP 발생기에 사용자의 개인키가 보관되어 있지만 OTP 발생기를 훼손하지 않고는 개인키를 알아내기 어려우며 고도의 기술로 알아낸다고 하여도 해당 개인키는 종래 기술과 같이 정상 개인키가 아니고 개인 비밀번호로 변형된 변형 개인키로 보관되어 있기 때문에 정당한 권원이 없는 제3자는 OTP 발생기를 사용할 수가 없다. 개인 비밀번호는 마치 신용카드 비밀번호 등과 같이, 예를 들어, 4자리의 간단한 숫자이기 때문에 사용자는 쉽게 기억할 수 있으며 오로지 사용자의 기억으로만 보관되기 때문에 사용자가 고의로 발설하지 않는 한 제3자가 알아 낼 방법이 없다.
통신부(20)는 사용자 단말(2)과의 통신을 지원하는 기능을 수행한다. 예를 들어, 통신부(20)는 NFC(Near Field Communication) 또는 BLE(Bluetooth Low Energy) 방식의 통신모듈일 수 있으나, 통신부(20)가 이에 한정되지는 않는다.
예를 들어, 사용자 단말(2)은 거래연동 OTP 발생기(1)와 단절된(disconnected) 독립적인 장치인 것이 바람직하다. 이에 따르면, 정당한 권원이 없는 제3자에 의해 사용자 단말(2) 또는 서버(3)가 해킹당하여도 거래 비밀번호가 변조되거나 유출되지 않기 때문에, 사용자 및 거래정보 인증의 보안성이 크게 향상된다. 즉, 사용자의 개인키를 사용자 단말(2)에 보관하지 않고 별도의 매체, 즉, 평상시 통신이 단절된(disconnected) 매체인 OTP 발생기에 보관하여 사용함으로써 도용을 예방할 수 있다. 만일 사용자가 OTP 발생기를 분실한 경우에는 새로운 OTP 발생기를 발급받아 사용하면 된다. 또한 사용자가 OTP 발생기를 분실하거나 복제당하여도 정당한 권원이 없는 제3자는 해당 OTP 발생기의 개인 비밀번호를 모르기 때문에 OTP 발생기를 사용할 수가 없다.
디스플레이부(30)는 사용자 단말(2)로부터 전송받은 거래정보의 적어도 일부인 핵심거래정보를 디스플레이함으로써, 사용자에게 현재 진행중인 거래 과정이 자신이 요청한 내용으로 정상 진행되고 있는지 확인하는 절차를 제공한다.
예를 들어, 핵심거래정보는 수취인명을 포함할 수 있다. 본 발명의 일 실시 예에 따른 거래연동 OTP 발생기(1)가 거래를 위한 OTP를 발생하기에 앞서, 정당한 사용자가 자신이 요청한 거래와 관련한 정보를 디스플레이부(30)를 통해 표시되는 핵심거래정보를 통해 확인하는 절차를 개입시킴으로써, 정당한 권원이 없는 제3자에 의한 도용을 방지할 수 있다.
사용자명령 입력부(40)는 디스플레이부(30)를 통해 표시되는 핵심거래정보를 확인한 사용자의 승인명령을 입력받는 수단이다. 예를 들어, 사용자명령 입력부(40)는 누름버튼의 형태로 구비될 수 있으나, 이에 한정되지는 않는다.
제어부(50)는, 1) 저장부(10)에 저장되어 있는 변형 개인키를 개인 비밀번호로 복호화하여 정상 개인키를 회복하고, 2) 사용자명령 입력부(40)를 통해 사용자의 승인명령이 입력되는 경우, 사용자 단말(2)로부터 전송받은 거래정보를 정상 개인키로 암호화하여 OTP를 생성하고, 3) 생성된 OTP가 사용자 단말(2)로 전송되도록 제어하는 기능을 수행한다.
예를 들어, 개인 비밀번호는 사용자에 의해 사용자 단말(2)에 입력되어 사용자 단말(2)로부터 전송받은 정보일 수 있다.
또한, 예를 들어, 개인 비밀번호는 사용자 단말(2)과 거래연동 OTP 발생기(1)에 저장되지 않도록 구성될 수 있다. 이와 같이 구성하면, 1) 정당한 권원이 없는 제3자가 사용자 단말(2), 거래연동 OTP 발생기(1)를 해킹하여도 개인 비밀번호를 획득할 수 없고, 2) 정당한 권원이 없는 제3자가 거래연동 OTP 발생기(1)를 해킹하여 변형 개인키를 알아냈다 하여도, 개인 비밀번호를 모르기 때문에 변형 개인키를 정상 개인키로 변환할 수 없어 유효한 OTP를 생성할 수 없다.
이하에서는 본 발명의 일 실시 예에 따른 거래연동 OTP 발생기(1)의 예시적인 동작을 사용자 단말(2), 서버(3)와 연계시켜 설명한다.
도 3은 본 발명의 일 실시 예에 따른 P2P 인증을 위한 거래연동 OTP 발생기(1)의 동작을 예시적으로 설명하기 위한 도면이다.
도 3을 추가로 참조하면, 단계 S110에서는, 특정 거래를 원하는 사용자가 사용자 단말(2)에 회원정보를 입력하는 과정이 수행된다. 예를 들어, 사용자 단말(2)이 모바일 단말인 경우 사용자는 전용 어플리케이션이 제공하는 사용자 인터페이스 화면을 통해 회원정보 입력을 포함하여 거래를 위한 제반 절차 진행을 위한 정보 입력 및 명령을 입력할 수 있으며, 회원정보는 사용자의 아이디(ID), 패스워드(PW)를 포함할 수 있다.
단계 S120에서는, 사용자 단말(2)이 서버(3)로 사용자가 입력한 회원정보를 전송하여 접속승인을 요청하는 과정이 수행된다.
단계 S130에서는, 사용자 단말(2)이 거래연동 OTP 발생기(1)로 개인 비밀번호를 전송하는 과정이 수행된다. 예를 들어, 개인 비밀번호는 사용자가 단계 S110에서 회원정보로 입력한 패스워드이거나, 이와는 별도로 사용자가 입력한 정보일 수 있다.
단계 S140에서는, 거래연동 OTP 발생기(1)가 변형 개인키를 개인 비밀번호로 복호화하여 정상 개인키를 회복하는 과정이 수행된다.
단계 S150에서는, 서버(3)가 사용자 단말(2)로부터의 접속승인 요청에 응답하여 데이터베이스를 검색하여 회원정보를 확인하는 과정이 수행된다.
단계 S160에서는, 정당 회원으로 확인된 경우, 서버(3)가 사용자 단말(2)의 접속을 승인하는 과정이 수행된다.
단계 S170에서는, 접속 승인을 받은 사용자가 사용자 단말(2)을 통해 거래내역을 입력하는 과정이 수행된다. 예를 들어, 거래가 은행이체거래인 경우, 거래내역은 이체계좌번호, 금액에 대한 정보를 포함할 수 있다.
단계 S180에서는, 사용자 단말(2)이 사용자에 의해 입력된 거래내역정보를 서버(3)로 전송하면서 거래를 요청하는 과정이 수행된다.
단계 S190에서는, 사용자 단말(2)로부터 거래를 요청받은 서버(3)가 거래내역정보를 확인하는 과정이 수행된다. 거래가 은행이체거래인 경우, 서버(3)는 사용자 단말(2)로부터 전송받은 거래내역정보에 포함되어 있는 이체계좌의 계좌주의 실명을 확인할 수 있다.
단계 S200에서는, 이체계좌의 계좌주의 실명이 확인된경우, 서버(3)는 사용자 단말(2)로 이체계좌의 계좌주의 실명, 즉, 수취인명, 이체계좌번호, 금액을 포함하는 정보를 전송하면서 거래정보 확인을 요청하는 과정이 수행된다.
단계 S210에서는, 사용자 단말(2)이 거래확인정보, 예를 들어, 수취인명, 이체계좌번호, 이체금액을 포함하는 정보를 표시하면서 사용자에게 확인을 요청하는 과정이 수행된다.
단계 S220에서는, 사용자가 사용자 단말(2)에 표시되는 거래확인정보를 확인하고, 이상이 없는 경우 거래확인을 선택하는 과정이 수행된다.
단계 S230에서는, 사용자 단말(2)이 거래연동 OTP 발생기(1)로 거래정보를 전송하는 과정이 수행된다. 예를 들어, 사용자 단말(2)이 거래연동 OTP 발생기(1)로 전송하는 거래정보는 계좌번호, 수취인명, 금액에 대한 정보를 포함할 수 있고, 계좌번호는 수취인의 계좌번호 이외에, 송금인의 계좌번호도 포함할 수 있다.
단계 S240에서는, 거래연동 OTP 발생기(1)에 구비된 디스플레이부(30)에 핵심거래정보가 표시되는 과정이 수행된다. 핵심거래정보는 사용자 단말(2)로부터 전송받은 거래정보의 적어도 일부이며, 이러한 핵심거래정보를 디스플레이함으로써, 사용자에게 현재 진행중인 거래 과정이 자신이 요청한 내용으로 정상 진행되고 있는지 확인하는 절차가 제공된다. 예를 들어, 핵심거래정보는 수취인명을 포함할 수 있다. 본 발명의 일 실시 예에 따른 거래연동 OTP 발생기(1)가 거래를 위한 OTP를 발생하기에 앞서, 정당한 사용자가 자신이 요청한 거래와 관련한 정보를 디스플레이부(30)를 통해 표시되는 핵심거래정보를 통해 확인하는 절차를 개입시킴으로써, 정당한 권원이 없는 제3자에 의한 도용을 방지할 수 있다.
단계 S250에서는, 거래연동 OTP 발생기(1)의 디스플레이부(30)를 통해 표시되는 핵심거래정보에 이상이 없는 것을 확인한 사용자가 사용자명령 입력부(40)를 통해 사용자 승인명령을 입력하는 과정이 수행된다.
단계 S260에서는, 거래연동 OTP 발생기(1)가 사용자 단말(2)로부터 전송받은 거래정보를 정상 개인키로 암호화하여 OTP를 생성하는 과정이 수행된다.
거래연동 OTP 발생기(1)가 생성한 OTP는 단계 S270을 통해 사용자 단말(2)로 전송되고, 단계 S280에서는, 사용자 단말(2)이 전송받은 OTP를 서버(3)로 전달한다.
단계 S290에서는, 서버(3)가 전송받은 OTP를 자체 저장된 공개키로 복호화하여 인증을 수행하는 과정이 수행된다. 서버(3)에는 거래연동 OTP 발생기(1)에 저장된 것과 동일한 공개키, PKI 암호화 알고리즘이 저장되어 있다. 여기서, 공개키는 정상 개인키와 쌍을 이루는 키이다.
이상에서 상세히 설명한 바와 같이, 본 발명에 따른 거래연동 OTP 발생기(1)는 사용자 단말(2)과 NFC 또는 BLE 통신 등을 지원하고, PKI 암호 알고리즘과 공개키와 변형된 개인키를 내장하여 사용자 단말(2)로부터 전송된 거래정보를 시드 값(seed value)으로 사용하여 일회용 거래번호(OTP)를 생성하여 사용자 단말(2)에 전송함으로써 악성코드에 감염된 사용자 단말(2)에서 거래정보를 변조함으로써 도용이 일어나는 일이 불가능하도록 한다.
또한, 본 발명에 따른 거래연동 OTP 발생기(1)가 사용자 단말(2)과 통신하는 순간 악성코드의 감염가능성을 막기위해 공개키와 개인키를 ROM(Read Only Memory)에 저장하되 개인키는 개인 비밀번호로 암호화하여 변형 개인키의 형태로 저장한다. 또한 OTP가 생성되어 사용자 단말(2)로 전송되는 즉시, 거래연동 OTP 발생기(1)와 사용자 단말(2) 간의 통신을 차단하여 외부로부터 프로그램(악성코드)의 진입을 원천적으로 차단한다.
또한, 본 발명에 따른 거래연동 OTP 발생기(1)는 사용자 단말(2)로부터 전송된 정보 중 사용자가 확인해야 할 중요한 핵심거래정보(예: 이체계좌번호 또는 수취인명)를 디스플레이하여 사용자의 육안으로 올바른 거래정보가 입력되었음을 확인토록 함으로서 악성 코드에 의한 거짓 정보를 차단할 수 있도록 한다.
1: 거래연동 OTP 발생기
2: 사용자 단말
3: 서버
10: 저장부
20: 통신부
30: 디스플레이부
40: 사용자명령 입력부
50: 제어부

Claims (4)

  1. 거래연동 OTP 발생기로서,
    비대칭키 기반의 공개키 및 상기 공개키와 쌍을 이루는 정상 개인키를 개인 비밀번호로 암호화한 변형 개인키가 저장된 저장부;
    사용자 단말과의 통신을 지원하는 통신부;
    상기 사용자 단말로부터 전송받은 거래정보의 적어도 일부인 핵심거래정보를 디스플레이하는 디스플레이부;
    상기 핵심거래정보를 확인한 사용자의 승인명령을 입력받는 사용자명령 입력부; 및
    상기 개인 비밀번호로 상기 변형 개인키를 복호화하여 상기 정상 개인키를 회복하고, 상기 승인명령이 입력되는 경우, 상기 거래정보를 상기 정상 개인키로 암호화하여 OTP를 생성하고, 생성된 OTP가 상기 사용자 단말로 전송되도록 제어하는 제어부를 포함하는, 거래연동 OTP 발생기.
  2. 제1항에 있어서,
    상기 사용자 단말은 상기 거래연동 OTP 발생기와 단절된(disconnected) 독립적인 장치인 것을 특징으로 하는, 거래연동 OTP 발생기.
  3. 제1항에 있어서,
    상기 개인 비밀번호는 상기 사용자에 의해 상기 사용자 단말에 입력되어 상기 사용자 단말로부터 전송받은 정보인 것을 특징으로 하는, 거래연동 OTP 발생기.
  4. 제1항에 있어서,
    상기 핵심거래정보는 수취인명을 포함하는 것을 특징으로 하는, 거래연동 OTP 발생기.
KR1020180068550A 2018-06-15 2018-06-15 P2p 인증을 위한 거래연동 otp 발생기 KR20190142459A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180068550A KR20190142459A (ko) 2018-06-15 2018-06-15 P2p 인증을 위한 거래연동 otp 발생기

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180068550A KR20190142459A (ko) 2018-06-15 2018-06-15 P2p 인증을 위한 거래연동 otp 발생기

Publications (1)

Publication Number Publication Date
KR20190142459A true KR20190142459A (ko) 2019-12-27

Family

ID=69062699

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180068550A KR20190142459A (ko) 2018-06-15 2018-06-15 P2p 인증을 위한 거래연동 otp 발생기

Country Status (1)

Country Link
KR (1) KR20190142459A (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100883154B1 (ko) 2008-07-04 2009-02-10 주식회사 미래테크놀로지 오티피 발생 프로그램이 내장된 휴대폰과 이를 이용한 시간동기방식 오티피 생성/인증 시스템
KR20120093598A (ko) 2011-02-15 2012-08-23 동서대학교산학협력단 이체정보로 생성되는 otp를 활용한 계좌이체시스템 및 방법
KR101494838B1 (ko) 2014-06-17 2015-02-25 유한회사 실릭스 거래연동 오티피를 이용한 계좌 이체 방법 및 시스템

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100883154B1 (ko) 2008-07-04 2009-02-10 주식회사 미래테크놀로지 오티피 발생 프로그램이 내장된 휴대폰과 이를 이용한 시간동기방식 오티피 생성/인증 시스템
KR20120093598A (ko) 2011-02-15 2012-08-23 동서대학교산학협력단 이체정보로 생성되는 otp를 활용한 계좌이체시스템 및 방법
KR101494838B1 (ko) 2014-06-17 2015-02-25 유한회사 실릭스 거래연동 오티피를 이용한 계좌 이체 방법 및 시스템

Similar Documents

Publication Publication Date Title
US10609014B2 (en) Un-password: risk aware end-to-end multi-factor authentication via dynamic pairing
US10929524B2 (en) Method and system for verifying an access request
US20180144114A1 (en) Securing Blockchain Transactions Against Cyberattacks
US9160732B2 (en) System and methods for online authentication
EP2401838B1 (en) System and methods for online authentication
US9338163B2 (en) Method using a single authentication device to authenticate a user to a service provider among a plurality of service providers and device for performing such a method
KR101718948B1 (ko) 일회용 난수를 이용하여 인증하는 통합 인증 시스템
KR20080059617A (ko) 사용자 인증 방법 및 디바이스
WO2019226115A1 (en) Method and apparatus for user authentication
US8806216B2 (en) Implementation process for the use of cryptographic data of a user stored in a data base
KR20180119178A (ko) 인증체인 기반 fido 및 인증서 등록 방법 및 장치
AU2015202661B2 (en) System and methods for online authentication
CZ307787B6 (cs) Způsob vytváření autorizovaného elektronického podpisu oprávněné osoby a zařízení k provádění tohoto způsobu
Nishimura et al. Secure authentication key sharing between personal mobile devices based on owner identity
KR20190142459A (ko) P2p 인증을 위한 거래연동 otp 발생기
JP4578352B2 (ja) 通信媒介装置、データ提供装置およびデータ提供システム
KR20150089960A (ko) 본인인증방법 및 이를 위한 디지털 시스템, 인증 시스템
KR101584219B1 (ko) 본인인증방법 및 이를 위한 디지털 시스템, 인증 시스템
AU2015202677A1 (en) System and methods for online authentication

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right