KR20230007130A - Server for optical noncontact certification and login using qr code and its method - Google Patents

Server for optical noncontact certification and login using qr code and its method Download PDF

Info

Publication number
KR20230007130A
KR20230007130A KR1020210087989A KR20210087989A KR20230007130A KR 20230007130 A KR20230007130 A KR 20230007130A KR 1020210087989 A KR1020210087989 A KR 1020210087989A KR 20210087989 A KR20210087989 A KR 20210087989A KR 20230007130 A KR20230007130 A KR 20230007130A
Authority
KR
South Korea
Prior art keywords
server
authentication
code
login
master device
Prior art date
Application number
KR1020210087989A
Other languages
Korean (ko)
Inventor
이병천
Original Assignee
중부대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 중부대학교 산학협력단 filed Critical 중부대학교 산학협력단
Priority to KR1020210087989A priority Critical patent/KR20230007130A/en
Publication of KR20230007130A publication Critical patent/KR20230007130A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/06009Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking
    • G06K19/06037Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking multi-dimensional coding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

The present invention provides a server for optical contactless authentication and login using QR codes, which uses an authentication means stored in one master device to display a QR cord generated by calculating one-time authentication information on a screen of the master device and has a third device without an authentication means use a camera to scan the QR code of the master device and optically receives the one-time authentication information, wherein the third device transmits the one-time authentication information to a server for use in authentication and login. The server for optical contactless authentication and login using QR codes according to the present invention comprises: a wired and wireless communication unit which receives, from a third device having no authentication means, one-time authentication information which is generated using an authentication means stored in a master device and displayed in a screen of the master device as a QR code and transmitted from the master device to the third device when a scanner connected to the third device scans the QR code; and a central control unit which when the third device is accessed, controls a QR login page to be displayed on a screen of the third device, verifies the one-time authentication information received through the third device, and when the one-time authentication information is verified, allows the third device to log in.

Description

QR코드를 이용한 광학적 비접촉 인증 및 로그인용 서버 및 그 방법{SERVER FOR OPTICAL NONCONTACT CERTIFICATION AND LOGIN USING QR CODE AND ITS METHOD} Server for optical non-contact authentication and login using QR code and its method {SERVER FOR OPTICAL NONCONTACT CERTIFICATION AND LOGIN USING QR CODE AND ITS METHOD}

본 발명은 인증 및 로그인을 위해 QR코드를 사용하는 기술에 관한 것으로 하나의 안전하게 관리되는 기기에 저장된 인증수단을 이용하여 다른 기기에서는 인증수단을 가지고 있지 않음에도 불구하고 서버에 인증 및 로그인을 할 수 있는 QR코드를 이용한 광학적 비접촉 인증 및 로그인용 서버 및 그 방법에 관한 것이다. The present invention relates to a technology using a QR code for authentication and login, and it is possible to authenticate and log in to a server by using an authentication means stored in one safely managed device even though other devices do not have authentication means. It relates to a server for optical non-contact authentication and login using a QR code and a method therefor.

오늘날 인터넷의 발달에 힘입어 다양한 종류의 온라인 서비스가 제공되고 있다. 대부분의 온라인 서비스 시스템들은 인터넷을 통해 해당 시스템에 접근하는 클라이언트 컴퓨터장치가 해당 온라인 서비스를 이용할 자격을 가지는지 여부를 인증하고 있다.Thanks to the development of the Internet, various types of online services are provided today. Most online service systems authenticate whether a client computer device accessing the corresponding system through the Internet has the right to use the corresponding online service.

가장 보편적으로 사용되는 사용자 인증방법은 사용자 아이디와 비밀번호를 이용한 인증으로서, 사용자가 온라인 서비스 시스템에 회원으로 가입할 때 사용자 아이디와 비밀번호를 등록하고, 추후 해당 사용자가 해당 시스템에 접근하면 사용자 아이디와 비밀번호를 입력받아 그 사용자의 본인 여부를 검증한다. 이 사용자 아이디와 비밀번호를 로그인 계정 정보라 한다.The most commonly used user authentication method is authentication using a user ID and password. When a user registers as a member of an online service system, the user ID and password are registered, and when the user accesses the system later, the user ID and password are used. and verifies the identity of the user. This user ID and password are called login account information.

그러나, 이러한 로그인 계정 정보를 이용한 인증방법은 인증 정보(사용자 아이디와 비밀번호)가 도용되거나 해킹되기 쉬우며, 인증 정보가 노출될 경우 악의적인 접근 시도를 차단할 수 없는 문제점이 있다.However, authentication methods using such login account information have problems in that authentication information (user ID and password) is easily stolen or hacked, and malicious access attempts cannot be blocked when authentication information is exposed.

또한, 인터넷뱅킹, 전자정부, 각종 페이 등의 대규모 서비스에서 사용자에게 인증서를 발급하고 개인키를 이용한 전자서명을 로그인 및 거래행위 인증에 사용하고 있다. 그러나 이러한 방법은 사용자가 가정이나 직장에서의 PC, 노트북, 휴대폰 등과 같이 여러 기기를 이용하여 서비스를 이용해야 하는 경우 개인키 등의 인증수단을 여러 기기에 복제하여 저장하고 사용해야 하는 단점이 있다. 그리고 PC방 등에서와 같이 공공장소의 컴퓨터를 사용하는 경우 인증수단을 복제, 저장하여 사용하게 되면 각종 악성코드로 인해 인증수단을 탈취당할 위험이 있다.In addition, in large-scale services such as Internet banking, e-government, and various payments, certificates are issued to users and digital signatures using private keys are used for login and transaction authentication. However, this method has a disadvantage in that, when a user needs to use a service using multiple devices such as a PC, laptop, mobile phone, etc. at home or work, authentication means such as a private key must be copied, stored, and used in multiple devices. In addition, when a computer in a public place is used, such as in a PC room, when an authentication means is copied, stored, and used, there is a risk of the authentication means being stolen due to various malicious codes.

뿐만 아니라 보안 USB 등의 이동형 저장수단에 개인키를 저장하고 여러 기기를 사용할 때마다 이러한 이동형 저장수단을 연결하여 사용하는 것은 매우 불편한바, 클라우드에 개인키를 위탁 저장하여 사용하는 방법은 개인키 관리에 편리함이 있지만 개인키를 사용하는 시점에 해당 기기를 사용하는 사용자의 인증이 매우 중요하며, 안전한 컴퓨팅 환경을 가정해야 하고, 여전히 각종 악성코드로 인해 사용자 인증을 탈취당할 위험이 있다. In addition, it is very inconvenient to store a private key in a portable storage medium such as a secure USB and connect and use such a portable storage medium whenever using multiple devices. However, authentication of the user using the device is very important at the time of using the private key, and a safe computing environment must be assumed, and there is still a risk of user authentication being stolen by various malicious codes.

공개특허 10-2018-0122843호 QR 코드 진본여부 검증 방법 및 시스템Publication No. 10-2018-0122843 QR code authenticity verification method and system 등록특허 10-1205863호 QR 코드와 모바일 OTP를 이용한 온라인 계좌이체시스템 및 방법Registered Patent No. 10-1205863 Online account transfer system and method using QR code and mobile OTP 등록특허 10-1589706호 로그인과 이벤트 응모를 위한 QR 코드 기반의 본인 인증 방법Registered Patent No. 10-1589706 QR code-based authentication method for login and event application

사용자가 안전하게 관리하는 휴대폰과 같은 하나의 마스터 기기에 저장된 인증수단을 이용하여 다른 기기에서의 인증에 사용한다면 안전성과 편의성을 크게 향상시킬 수 있다.If an authentication means stored in one master device, such as a mobile phone that is safely managed by a user, is used for authentication in another device, safety and convenience can be greatly improved.

따라서 본 발명은 하나의 마스터 기기에서 저장된 인증수단을 이용하여 일회용 인증정보를 계산하여 생성되는 QR 코드를 마스터 기기의 화면에 표시하고, 인증수단을 가지고 있지 않은 제3 기기에서 카메라를 이용하여 마스터 기기의 QR 코드를 스캔함으로써 일회용 인증정보를 광학적으로 전달받고, 제3 기기는 이러한 일회용 인증정보를 서버에 전송함으로써 인증 및 로그인에 사용할 수 있는 QR코드를 이용한 광학적 비접촉 인증 및 로그인용 서버 및 그 방법을 제공함에 목적이 있다.Therefore, in the present invention, a QR code generated by calculating one-time authentication information using an authentication means stored in one master device is displayed on the screen of the master device, and a third device that does not have an authentication means uses a camera to display the master device. A server and method for optical non-contact authentication and login using a QR code that can be used for authentication and login by optically receiving one-time authentication information by scanning the QR code and transmitting the one-time authentication information to the server by the third device. It is intended to provide

본 발명에 따르면, 인증수단을 가진 마스터 기기가 서버에 접속하여 로그인에 성공하면, 인증수단을 이용하여 일회용 인증정보를 계산하고, 일회용 인증정보를 포함한 QR 코드를 생성하여 마스터 기기의 화면에 표시하고, 인증수단을 가지지 않은 제3 기기가 서버에 접속하면, 서버는 QR 코드 스캐너를 화면에 표시하고 외부에서 제시되는 QR 코드를 읽어와서 로그인에 사용하는 QR 코드 로그인 페이지를 표시하도록 제어하고, 제3 기기가 유효한 일회용 인증정보 - 이것은 사용자의 행위에 의해 마스터 기기에서 생성하여 QR코드를 통해 제3 기기로 전송된 정보임 - 를 서버에게 전송하면, 서버는 일회용 인증정보의 유효성을 검증하고 제3 기기의 인증 및 로그인을 허용하는 기능을 가진다. According to the present invention, when a master device having an authentication means connects to the server and logs in successfully, the one-time authentication information is calculated using the authentication means, a QR code including the one-time authentication information is generated, and displayed on the screen of the master device. , When a third device without an authentication means accesses the server, the server displays a QR code scanner on the screen, reads a QR code presented from the outside, and displays a QR code login page used for login. When the device transmits valid one-time authentication information - this is information generated by the master device by the user's action and transmitted to the third device through a QR code - to the server, the server verifies the validity of the one-time authentication information and It has the ability to allow authentication and login of

본 발명에 따른 QR 코드를 이용한 광학적 비접촉 인증 및 로그인용 서버는, 인증수단을 가지지 않은 제3 기기로부터 일회용 인증정보 - 상기 일회용 인증정보는 마스터 기기에 저장된 인증수단을 이용하여 생성되고, QR 코드 형태로 상기 마스터 기기의 화면에 표시되되, 상기 제3 기기에 연결된 스캐너로 상기 QR 코드를 스캔함으로써 상기 마스터 기기로부터 상기 제3 기기로 전송되는 정보임 - 를 수신하는 유무선 통신부; 및 상기 제3 기기가 접속하면, 상기 제3 기기의 화면에 QR 로그인 페이지를 표시하도록 제어하고, 상기 제3 기기를 통해 수신된 상기 일회용 인증정보를 검증하고, 상기 일회용 인증정보가 검증되면, 상기 제3 기기의 로그인을 허용하는 중앙제어부를 포함한다.The server for optical non-contact authentication and login using a QR code according to the present invention is one-time authentication information from a third device that does not have an authentication means - the one-time authentication information is generated using an authentication means stored in a master device, and is in the form of a QR code a wired/wireless communication unit for receiving information displayed on the screen of the master device as information transmitted from the master device to the third device by scanning the QR code with a scanner connected to the third device; and when the third device accesses, control to display a QR login page on the screen of the third device, verify the one-time authentication information received through the third device, and when the one-time authentication information is verified, the and a central control unit allowing login of a third device.

바람직하게는, 상기 일회용 인증정보는 적어도 현재시각과 개인용 식별자에 대하여 개인키를 이용하여 생성되는 전자서명이고, 상기 서버는 상기 제3 기기를 통해 수신된 상기 전자서명 내 개인용 식별자에 해당하는 인증서를 내부 저장소에 저장된 DB로부터 검색하여 상기 전자서명을 검증할 수 있다. Preferably, the one-time authentication information is a digital signature generated by using a private key for at least a current time and a personal identifier, and the server generates a certificate corresponding to the personal identifier in the digital signature received through the third device. The digital signature can be verified by searching from a DB stored in the internal storage.

바람직하게는, 상기 일회용 인증정보는 적어도 현재시각과 비밀토큰을 이용하여 생성되는 쌍토큰 인증값이고, 상기 서버는 상기 쌍토큰 인증값과 함께 전송되는 공개토큰과 내부의 서버 비밀키를 이용하여 비밀토큰을 계산하여 상기 쌍토큰 인증값을 검증할 수 있다.Preferably, the one-time authentication information is a pair token authentication value generated using at least a current time and a secret token, and the server uses a public token transmitted together with the pair token authentication value and an internal server secret key to The pair token authentication value can be verified by calculating the token.

바람직하게는, 상기 일회용 인증정보는 적어도 현재시각과 개인용 식별자 그리고 공유비밀키 - 상기 공유비밀키는 상기 마스터 기기와 상기 서버가 사전에 공유하는 OTP용 비밀키임 - 를 이용하여 생성되는 OTP 인증값이고, 상기 서버는 상기 OTP 인증값 내 개인용 식별자를 이용하여 내부 저장소에 보관된 상기 개인용 식별자에 대응하는 공유비밀키를 검색하여 상기 OTP 인증값을 검증할 수 있다.Preferably, the one-time authentication information is an OTP authentication value generated using at least a current time, a personal identifier, and a shared secret key, wherein the shared secret key is a secret key for OTP shared in advance by the master device and the server. , The server may verify the OTP authentication value by searching for a shared secret key corresponding to the personal identifier stored in an internal storage using the personal identifier in the OTP authentication value.

또한, 본 발명에 따른 QR 코드를 이용한 광학적 비접촉 인증 및 로그인 방법은, 인증수단을 가지지 않은 제3 기기가 서버로 접속하면, 상기 서버는 상기 제3 기기의 화면에 QR 로그인 페이지를 표시하도록 제어하는 단계; 인증수단을 가진 마스터 기기를 동작시켜 상기 마스터 기기가 보유한 인증수단을 이용하여 일회용 인증정보를 계산하고, 상기 일회용 인증정보가 QR 코드 형태로 상기 마스터 기기의 화면에 표시하도록 제어하는 단계; 상기 서버가 상기 제3 기기로부터 일회용 인증정보 - 상기 일회용 인증정보는 마스터 기기에 저장된 인증수단을 이용하여 생성되고, QR 코드 형태로 상기 마스터 기기의 화면에 표시되되, 상기 제3 기기에 연결된 스캐너로 상기 QR 코드를 스캔함으로써 상기 마스터 기기로부터 상기 제3 기기로 전송되는 정보임 - 를 수신하는 단계; 상기 서버가 상기 제3 기기를 통해 수신된 상기 일회용 인증정보를 검증하는 단계; 및 상기 서버가 상기 일회용 인증정보가 검증되면, 상기 제3 기기의 로그인을 허용하는 단계를 포함한다.In addition, in the optical non-contact authentication and login method using a QR code according to the present invention, when a third device without an authentication means accesses the server, the server controls to display a QR login page on the screen of the third device step; Operating a master device having an authentication means to calculate one-time authentication information using an authentication means possessed by the master device, and controlling the one-time authentication information to be displayed on the screen of the master device in the form of a QR code; The server provides one-time authentication information from the third device - The one-time authentication information is generated using an authentication means stored in the master device and displayed on the screen of the master device in the form of a QR code, and is displayed on a scanner connected to the third device. Receiving information transmitted from the master device to the third device by scanning the QR code; verifying, by the server, the one-time authentication information received through the third device; and allowing the third device to log in if the one-time authentication information is verified by the server.

바람직하게는, 상기 일회용 인증정보는 적어도 현재시각과 개인용 식별자에 대하여 개인키를 이용하여 생성되는 전자서명이다.Preferably, the one-time authentication information is an electronic signature generated by using a private key for at least a current time and a personal identifier.

바람직하게는, 상기 일회용 인증정보는 적어도 현재시각과 비밀토큰을 이용하여 생성되는 쌍토큰 인증값이다.Preferably, the one-time authentication information is a pair token authentication value generated using at least a current time and a secret token.

바람직하게는, 상기 일회용 인증정보는 적어도 현재시각과 개인용 식별자 그리고 공유비밀키 - 상기 공유비밀키는 상기 마스터 기기와 상기 서버가 사전에 공유하는 OTP용 비밀키임 - 를 이용하여 생성되는 OTP 인증값이다.Preferably, the one-time authentication information is an OTP authentication value generated using at least a current time, a personal identifier, and a shared secret key, wherein the shared secret key is a secret key for OTP shared by the master device and the server in advance. .

본 발명에 따르면, 인증수단을 개별 기기마다 저장하지 않고도 인증이 가능하고, 하나의 마스터 기기에서만 인증수단을 관리하기 때문에 보다 안전하게 관리할 수 있으며, 웹캠과 같이 카메라를 갖춘 컴퓨터라면 모두 적용 가능하다. According to the present invention, authentication is possible without storing the authentication means for each individual device, and since the authentication means is managed only by one master device, it can be managed more safely, and any computer equipped with a camera, such as a webcam, can be applied.

또한 본 발명에 따르면, 근접 광학적 통신을 이용하여 일회용 인증정보를 전달하므로 키 로그가 남지 않아 키 로거 공격으로부터 안전하고, 시각 기반 일회용 인증을 사용하므로 다른 시각에서의 재전송 공격에 안전하며, TLS 암호화 채널 내에서 일회용 인증값을 전달하기 때문에 네트워크 도청 공격에 안전하다.In addition, according to the present invention, since one-time authentication information is transmitted using proximity optical communication, it is safe from key logger attacks because no key log is left, and it is safe from retransmission attacks at other times because it uses time-based one-time authentication, and TLS encryption channel It is safe from network eavesdropping attacks because it transmits a one-time authentication value within.

도 1은 본 발명의 일실시예에 따른 QR 코드 로그인 전체 구상도,
도 2는 본 발명의 일실시예에 따른 사용자 단말기에서의 인증서 발급 절차도,
도 3은 본 발명의 제1 실시예에 따른 사용자 인증서 등록을 위한 서버 로그인 및 준비 절차도,
도 4는 본 발명의 제2 실시예에 따른 쌍토큰 발급을 위한 서버 로그인 및 준비 절차도,
도 5는 본 발명의 제3 실시예에 따른 OTP용 공유비밀키 발급을 위한 서버 로그인 및 준비 절차도,
도 6은 본 발명의 제1 실시예에 따른 QR 코드를 이용한 전자서명 로그인 절차도,
도 7은 본 발명의 제2 실시예에 따른 QR 코드를 이용한 쌍토큰 로그인 절차도,
도 8은 본 발명의 제3 실시예에 따른 QR 코드를 이용한 OTP 로그인 절차도, 및
도 9는 본 발명의 일실시예에 따른 QR 코드 예시도이다.1 is a schematic diagram of the entire QR code login according to an embodiment of the present invention;
2 is a certificate issuance procedure in a user terminal according to an embodiment of the present invention;
3 is a server login and preparation procedure for user certificate registration according to the first embodiment of the present invention;
4 is a server login and preparation procedure for issuing twin tokens according to the second embodiment of the present invention;
5 is a server login and preparation procedure for issuing a shared secret key for OTP according to a third embodiment of the present invention;
6 is a digital signature login procedure using a QR code according to a first embodiment of the present invention;
7 is a pair token login procedure using a QR code according to a second embodiment of the present invention;
8 is an OTP login procedure diagram using a QR code according to a third embodiment of the present invention, and
9 is an exemplary diagram of a QR code according to an embodiment of the present invention.

본 발명의 상세한 설명에 앞서, 본 발명은 다양한 변경을 도모할 수 있고, 여러 가지 실시 예를 가질 수 있는바, 아래에서 설명되고 도면에 도시된 예시들은 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Prior to the detailed description of the present invention, the present invention may make various changes and may have various embodiments, and the examples described below and shown in the drawings are not intended to limit the present invention to specific embodiments. No, it should be understood to include all changes, equivalents or substitutes included in the spirit and scope of the present invention.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.It is understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, but other elements may exist in the middle. It should be. On the other hand, when an element is referred to as “directly connected” or “directly connected” to another element, it should be understood that no other element exists in the middle.

본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도는 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Terms used in this specification are only used to describe specific embodiments, and are not intended to limit the present invention. Singular expressions include plural expressions unless the context clearly dictates otherwise. In this specification, terms such as "include" or "have" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, but one or more other features It should be understood that it does not preclude the possibility of the presence or addition of numbers, steps, operations, components, parts, or combinations thereof.

또한, 명세서에 기재된 "...부", "...유닛", "...모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.In addition, terms such as "...unit", "...unit", and "...module" described in the specification mean a unit that processes at least one function or operation, which is hardware, software, or hardware and It can be implemented as a combination of software.

또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.In addition, in the description with reference to the accompanying drawings, the same reference numerals are given to the same components regardless of reference numerals, and overlapping descriptions thereof will be omitted. In describing the present invention, if it is determined that a detailed description of related known technologies may unnecessarily obscure the subject matter of the present invention, the detailed description will be omitted.

도 1은 본 발명의 일실시예에 따른 QR 코드 로그인 전체 구상도이다.1 is a conceptual diagram of the entire QR code login according to an embodiment of the present invention.

사용자가 인증수단을 가지고 있지 않은 제3 기기(130)를 통해 서버(140)에 접속하면(S110), 해당 서버(140)는 제3 기기(130)에 QR 로그인 페이지를 표시하고, 스캐너 동작을 준비한다(S120). 여기서 제3 기기(130)는 인증수단을 가지고 있지 않다는 점에 특징이 있으며, 예컨대 공용 장소에 놓인 공용 PC일 수 있으나, 반드시 공용 PC 만을 의미하는 것은 아니다.When the user accesses the server 140 through the third device 130 that does not have an authentication means (S110), the server 140 displays a QR login page on the third device 130 and performs a scanner operation. Prepare (S120). Here, the third device 130 is characterized in that it does not have an authentication means, and may be, for example, a public PC placed in a common place, but does not necessarily mean only a public PC.

사용자가 인증수단이 저장된 마스터 기기(110)에서 인증앱을 실행하면 마스터 기기(110)는 보유하고 있는 인증수단을 이용하여 일회용 인증정보를 계산하고 이를 포함한 QR 코드를 생성하여 마스터 기기(110)의 화면에 QR 코드를 표시한다(S130). 이후 마스터 기기(110)의 화면에 표시된 QR 코드를 제3 기기(130)의 스캐너(120)가 스캔하면, 스캐너(120)는 일회용 인증정보를 제3 기기(130)로 전송한다(S140). 여기서 스캐너(120)는 웹캠으로 구현될 수 있고, 제3 기기(130)와 유무선 방식으로 결합될 수 있다. When the user runs the authentication app on the master device 110 in which the authentication means is stored, the master device 110 calculates one-time authentication information using the authentication means it possesses, generates a QR code including it, and generates a QR code for the master device 110. A QR code is displayed on the screen (S130). Then, when the scanner 120 of the third device 130 scans the QR code displayed on the screen of the master device 110, the scanner 120 transmits one-time authentication information to the third device 130 (S140). Here, the scanner 120 may be implemented as a webcam and may be coupled with the third device 130 in a wired or wireless manner.

이후 제3 기기(130)가 일회용 인증정보를 서버(140)에 전송하면(S150), 서버(140)는 수신된 일회용 인증정보를 검증하고(S160), 이것이 유효하면 서버(140)는 제3 기기(130)의 로그인을 허용한다.Then, when the third device 130 transmits the one-time authentication information to the server 140 (S150), the server 140 verifies the received one-time authentication information (S160). Allow device 130 to log in.

본 발명에 따르면, 사용자 인증수단이 제3 기기에는 없고, 마스터 기기에 저장되어 있다는 점에 특징이 있다. 또한 본 발명에 따르면, 인증수단은 인증서 및 개인키, 쌍 토큰, 공유비밀키 등일 수 있고, 일회용 인증정보는 개인키를 이용한 전자서명, 쌍 토큰을 이용한 일회용 인증, OTP를 이용한 일회용 인증 등일 수 있다.According to the present invention, there is no user authentication means in the third device and is characterized in that it is stored in the master device. In addition, according to the present invention, the authentication means may be a certificate, a private key, a paired token, a shared secret key, etc., and the one-time authentication information may be a digital signature using a private key, one-time authentication using a paired token, or one-time authentication using OTP. .

여기서, 마스터 기기(110), 제3 기기(130), 서버(140)는 주기억부, 보조기억부, 중앙처리부, 유저 인터페이스, 유무선 데이터 통신부 등을 포함한다.Here, the master device 110, the third device 130, and the server 140 include a main storage unit, an auxiliary storage unit, a central processing unit, a user interface, a wired/wireless data communication unit, and the like.

도 2는 본 발명의 일실시예에 따른 사용자 단말기에서의 인증서 발급 절차도이다.2 is a diagram of a certificate issuance procedure in a user terminal according to an embodiment of the present invention.

본 발명의 일실시예에 따르면, QR 코드 로그인을 위한 준비 절차를 통해 마스터 기기(110)에 인증서를 발급받아 저장한다.According to one embodiment of the present invention, a certificate is issued and stored in the master device 110 through a preparation procedure for QR code login.

구체적으로, 마스터 기기(110)에서 인증서의 발급을 위해 한쌍의 개인키와 공개키를 생성하여 저장하고(S210), 마스터 기기(110)가 인증기관(210)에 공개키를 전송하고 인증서의 발급을 요청하면(S220), 인증기관(210)은 인증서를 발급하여 내부에 저장하고(S230), 마스터 기기(110)에 발급된 인증서를 전송한다(S240). 마스터 기기(110)는 수신된 인증서를 내부 저장소(예: 보조기억부)에 저장한다. Specifically, in order to issue a certificate in the master device 110, a pair of private and public keys are generated and stored (S210), and the master device 110 transmits the public key to the certification authority 210 and issues the certificate. When requested (S220), the certification authority 210 issues a certificate and stores it therein (S230), and transmits the issued certificate to the master device 110 (S240). The master device 110 stores the received certificate in an internal storage (eg, auxiliary storage).

도 3은 본 발명의 제1 실시예에 따른 사용자 인증서 등록을 위한 서버 로그인 및 준비 절차도로서, 사용자 인증서 등록을 위한 서버 로그인 및 준비 절차는 다음과 같다. 3 is a server login and preparation procedure for user certificate registration according to the first embodiment of the present invention. The server login and preparation procedure for user certificate registration is as follows.

마스터 기기(110)가 내부 저장소에 저장된 인증서와 개인키를 이용하여 전자서명을 생성하고(S310), 서버(140)에 로그인하기 위하여 전자서명과 인증서를 전송하면(S320), 서버(140)는 전자서명과 인증서를 검증하고, 이들이 유효한 경우 인증서를 등록, 및 저장한 후(S330), 서버(140)는 마스터 기기(110)에 인증서를 등록하였다는 등록확인 메시지를 전송한다(S340).When the master device 110 generates a digital signature using the certificate and private key stored in the internal storage (S310) and transmits the digital signature and certificate to log in to the server 140 (S320), the server 140 After verifying the digital signature and certificate, and registering and storing the certificate if they are valid (S330), the server 140 transmits a registration confirmation message indicating that the certificate has been registered to the master device 110 (S340).

여기서, 도 2의 인증기관(210)과 도 3의 서버(140)는 상호 별개의 구성일 수도 있고, 동일한 구성일 수도 있다.Here, the certification authority 210 of FIG. 2 and the server 140 of FIG. 3 may have separate configurations or may have the same configuration.

도 4는 본 발명의 제2 실시예에 따른 쌍토큰 발급을 위한 서버 로그인 및 준비 절차도로서, 쌍토큰 발급을 위한 서버 로그인 및 준비 절차는 다음과 같다.4 is a server login and preparation procedure for issuing twin tokens according to the second embodiment of the present invention. The server login and preparation procedure for issuing twin tokens is as follows.

마스터 기기(110)가 내부 저장소에 저장된 인증서 및 개인키를 이용하여 전자서명을 생성하고(S410), 서버(140)에 로그인하기 위해 전자서명을 전송하면(S420), 서버(140)는 사용자 계정에 등록된 인증서를 가져와서 전자서명을 검증하고(S430), 서버(140)는 공개토큰(Tp)과 비밀토큰(Ts)의 쌍토큰(PT: Paired Token)을 발급하고 발급된 쌍토큰(PT)을 암호화하여 마스터 기기(110)에 전송한다(S440). 여기서, 서버(140)는 서버 비밀키(K)를 이용하여 공개토큰(Tp)과 비밀토큰(Ts)을 수학식 1 및 수학식 2와 같이 생성한다. 서버(140)는 서버 비밀키(K)를 이용하여 공개토큰(Tp)을 서명하고, 공개토큰(Tp)의 유효성은 단지 서버 비밀키(K)를 아는 서버(140)에 의해서만 검증 가능하다. 서버(140)는 유효기간에 관한 정보 없이 공개토큰(Tp)을 한번 더 반복적으로 서명함으로써 비밀토큰(Ts)을 생성하고, 단지 서버(140)만이 생성할 수 있다.When the master device 110 generates a digital signature using the certificate and private key stored in the internal storage (S410) and transmits the digital signature to log in to the server 140 (S420), the server 140 provides a user account The certificate registered in is imported to verify the digital signature (S430), and the server 140 issues a paired token (PT) of a public token (Tp) and a secret token (Ts) and issues the issued paired token (PT). ) is encrypted and transmitted to the master device 110 (S440). Here, the server 140 generates a public token (Tp) and a secret token (Ts) as shown in Equations 1 and 2 using the server secret key K. The server 140 signs the public token Tp using the server secret key K, and the validity of the public token Tp can be verified only by the server 140 knowing the server secret key K. The server 140 generates the secret token Ts by repeatedly signing the public token Tp one more time without information about the validity period, and only the server 140 can generate it.

Figure pat00001
Figure pat00001

Figure pat00002
Figure pat00002

여기서, GJWT(K, UserInfo)는 JWT 발행 과정을 수식으로 표현한 추상적 표기법이다. Here, G JWT (K, UserInfo) is an abstract notation expressing the JWT issuance process as a formula.

마스터 기기(110)는 수신된 공개토큰과 비밀토큰의 쌍토큰(PT)을 복호화하여 복구하고, 내부 저장소(미도시)에 저장한다(S450). 본 발명의 다른 실시예에 따르면, 마스터 기기(110)가 인증서와 개인키를 구비하지 않은 경우 전통적인 방법대로 사용자 아이디, 패스워드를 서버에 전송하여 로그인하고 서버는 마스터 기기에 쌍토큰을 발급할 수도 있다. The master device 110 decrypts and restores the received pair token (PT) of the public token and secret token, and stores it in an internal storage (not shown) (S450). According to another embodiment of the present invention, if the master device 110 does not have a certificate and a private key, log in by sending a user ID and password to the server in the traditional way, and the server may issue a pair of tokens to the master device. .

도 5는 본 발명의 제3 실시예에 따른 OTP용 공유비밀키 발급을 위한 서버 로그인 및 준비 절차도로서, OTP용 공유비밀키 발급을 위한 서버 로그인 및 준비 절차는 다음과 같다.5 is a server login and preparation procedure for issuing a shared secret key for OTP according to a third embodiment of the present invention. The server login and preparation procedure for issuing a shared secret key for OTP is as follows.

마스터 기기(110)는 내부 저장소에 저장된 인증서 및 개인키를 이용하여 전자서명을 생성하고(S510), 서버(140)에 로그인하기 위해 전자서명을 전송하면(S520), 서버(140)는 사용자 계정에 등록된 인증서를 가져와서 전자서명을 검증하고, OTP용 공유비밀키 sk를 발급하여 저장한다(S530).When the master device 110 generates a digital signature using the certificate and private key stored in the internal storage (S510) and transmits the digital signature to log in to the server 140 (S520), the server 140 performs a user account The certificate registered in is imported, the digital signature is verified, and the shared secret key sk for OTP is issued and stored (S530).

이후 서버(140)가 마스터 기기(110)에 OTP용 공유비밀키 sk를 전송하면(S540), 마스터 기기(110)는 OTP용 공유비밀키 sk를 내부 저장소에 저장한다(S550).Then, when the server 140 transmits the shared secret key sk for OTP to the master device 110 (S540), the master device 110 stores the shared secret key sk for OTP in the internal storage (S550).

마스터 기기(110)는 위와 같은 방식들로 QR 코드로 로그인하기 위한 준비를 마칠 수 있다. 이제 인증수단을 가진 마스터 기기(110)에서 QR 코드를 이용하여 로그인 하는 방식들에 대하여 설명하기로 한다.The master device 110 may complete preparations for logging in with the QR code in the above manner. Now, methods for logging in using a QR code in the master device 110 having an authentication means will be described.

도 6은 본 발명의 제1 실시예에 따른 QR 코드를 이용한 전자서명 로그인 절차도로서, QR 코드를 이용한 전자서명 로그인 절차는 다음과 같다.6 is a digital signature login procedure using a QR code according to a first embodiment of the present invention. The electronic signature login procedure using a QR code is as follows.

본 발명의 일실시예에 따르면, 사용자가 인증수단이 없는 제3 기기(130)를 통해 서버(140)에 접속하면(S610), 해당 서버(140)는 제3 기기(130)에 QR 로그인 페이지를 표시하고, 스캐너 동작을 준비한다(S620). According to one embodiment of the present invention, when a user accesses the server 140 through the third device 130 having no authentication means (S610), the server 140 sends a QR login page to the third device 130. is displayed, and the scanner operation is prepared (S620).

본 발명의 일실시예에 따르면, 사용자가 인증수단이 저장된 마스터 기기(110)에서 인증앱을 실행하면 마스터 기기(110)는 현재시각 기반 전자서명을 생성하고, 전자서명을 포함한 QR 코드를 생성하여 마스터 기기(110)의 화면에 QR 코드를 표시한다(S630). 여기서, 전자서명(s)은 수학식 3과 같이 생성할 수 있고, QR 코드는 <ID, t, r, s>를 포함할 수 있다. 여기서 ID는 사용자 정보, t는 현재시각, r은 임의의 난수, s는 전자서명을 나타낸다.According to one embodiment of the present invention, when the user runs the authentication app on the master device 110 in which the authentication means is stored, the master device 110 generates a current time-based electronic signature and generates a QR code including the electronic signature A QR code is displayed on the screen of the master device 110 (S630). Here, the digital signature (s) can be generated as shown in Equation 3, and the QR code can include <ID, t, r, s>. Here, ID is user information, t is the current time, r is a random number, and s is a digital signature.

Figure pat00003
Figure pat00003

한편, 본 발명의 다른 실시예에 따르면, 마스터 기기(110)가 서버(140)에 접속하면, 서버(140)의 제어에 따라 마스터 기기(110)가 현재시각 기반 전자서명을 생성하고, 전자서명을 포함한 QR 코드를 생성하여 마스터 기기(110)의 화면에 QR 코드를 표시할 수 있다.Meanwhile, according to another embodiment of the present invention, when the master device 110 accesses the server 140, the master device 110 generates a current time-based electronic signature under the control of the server 140, and It is possible to display the QR code on the screen of the master device 110 by generating a QR code including.

이후 제3 기기(130)에 부착된 스캐너(120)가 마스터 기기(110)의 화면에 표시된 QR 코드를 스캔하면, 스캐너(120)는 시각 기반 전자서명을 포함한 QR 코드를 제3 기기(130)로 전송하고(S640) 제3 기기(130)는 <ID, t, r, s>를 복구한다(S640). 여기서 스캐너(120)는 웹캠으로 구현될 수 있고, 제3 기기(130)와 유무선 방식으로 결합될 수 있다. Then, when the scanner 120 attached to the third device 130 scans the QR code displayed on the screen of the master device 110, the scanner 120 sends the QR code including the time-based electronic signature to the third device 130. (S640) and the third device 130 recovers <ID, t, r, s> (S640). Here, the scanner 120 may be implemented as a webcam and may be coupled with the third device 130 in a wired or wireless manner.

이후 제3 기기(130)가 마스터 기기(110)로부터 수신한 현재시각 기반 전자서명을 포함한 <ID, t, r, s> 정보를 서버(140)에게 전송하면(S650), 서버(140)는 수신된 정보 내 ID에 해당하는 인증서를 내부 저장소에 저장된 DB로부터 검색하여, 검색된 인증서로 전자서명(s)를 검증하여 유효성을 확인하고(S660), 수신한 시각 t가 서버의 현재 시각과 허용 범위 내에 있으면, 서버(140)는 제3 기기(130)의 로그인을 허용한다(S670).Then, when the third device 130 transmits the <ID, t, r, s> information including the current time-based digital signature received from the master device 110 to the server 140 (S650), the server 140 The certificate corresponding to the ID in the received information is retrieved from the DB stored in the internal storage, and the digital signature (s) is verified with the retrieved certificate to confirm validity (S660), and the received time t is the current time of the server and the allowable range If it is within, the server 140 allows the third device 130 to log in (S670).

도 7은 본 발명의 제2 실시예에 따른 QR 코드를 이용한 쌍토큰 로그인 절차도로서, QR 코드를 이용한 쌍토큰 로그인 절차는 다음과 같다.7 is a pair token login procedure using a QR code according to a second embodiment of the present invention. The pair token login procedure using a QR code is as follows.

사용자가 인증수단이 없는 제3 기기(130)를 통해 서버(140)에 접속하면(S710), 해당 서버(140)는 제3 기기(130)에 QR 로그인 페이지를 표시하고, 스캐너 동작을 준비한다(S720). When the user accesses the server 140 through the third device 130 having no authentication means (S710), the server 140 displays a QR login page on the third device 130 and prepares for a scanner operation. (S720).

사용자가 인증수단으로서 쌍토큰을 구비한 마스터 기기(110)에서 인증앱을 실행하면 마스터 기기(110)는 쌍토큰 일회용 인증값(authPT)을 포함한 QR 코드를 생성하여 마스터 기기(110)의 화면에 쌍토큰 일회용 인증값(authPT)을 포함한 QR 코드를 표시한다(S730). 여기서, 쌍토큰 일회용 인증값(authPT)은 수학식 4와 같이 계산되고, QR 코드는 <Tp, t, authPT>를 포함할 수 있다.When the user executes the authentication app on the master device 110 having the pair token as an authentication means, the master device 110 generates a QR code including the pair token one-time authentication value (auth PT ) and displays the screen of the master device 110. A QR code including the pair token one-time authentication value (auth PT ) is displayed (S730). Here, the pair token one-time authentication value (auth PT ) is calculated as in Equation 4, and the QR code may include <Tp, t, auth PT >.

Figure pat00004
Figure pat00004

이후 마스터 기기(110)의 화면에 표시된 QR 코드를 스캐너(120)가 스캔하면, 스캐너(120)는 <Tp, t, authPT>를 포함한 QR 코드를 제3 기기(130)로 전송하고(S740), 제3 기기(130)는 <Tp, t, authPT>를 복구한다. 여기서 스캐너(120)는 웹캠으로 구현될 수 있고, 제3 기기(130)와 유무선 방식으로 결합될 수 있다. Then, when the scanner 120 scans the QR code displayed on the screen of the master device 110, the scanner 120 transmits the QR code including <Tp, t, auth PT > to the third device 130 (S740 ), the third device 130 recovers <Tp, t, auth PT >. Here, the scanner 120 may be implemented as a webcam and may be coupled with the third device 130 in a wired or wireless manner.

계속해서, 제3 기기(130)가 QR 코드로부터 <Tp, t, authPT>를 획득하여 이것을 서버(140)에 전송하면(S750), 서버(140)는 수신된 공개토큰(Tp)으로부터 사용자를 확인하고, 서버(140)가 보관 중인 서버 비밀키(K)를 이용하여 비밀토큰(Ts)을 계산하고, 비밀토큰(Ts)을 이용하여 쌍토큰 일회용 인증값(authPT)을 검증하여 유효성을 확인하고(S760), 수신한 현재시각(t)이 서버(140)의 현재시각과 허용범위 내에 있으면, 서버(140)는 제3 기기(130)의 로그인을 허용한다(S770).Continuing, when the third device 130 obtains <Tp, t, auth PT > from the QR code and transmits it to the server 140 (S750), the server 140 obtains the user from the received public token (Tp). , calculates a secret token (Ts) using the server secret key (K) stored by the server 140, and verifies the pair-token one-time authentication value (auth PT ) using the secret token (Ts) to validate validity. is confirmed (S760), and if the received current time (t) is within the current time and tolerance range of the server 140, the server 140 allows the third device 130 to log in (S770).

도 8은 본 발명의 제3 실시예에 따른 QR 코드를 이용한 OTP 로그인 절차도로서, QR 코드를 이용한 OTP 로그인 절차는 다음과 같다.8 is an OTP login procedure diagram using a QR code according to a third embodiment of the present invention. The OTP login procedure using a QR code is as follows.

사용자가 인증수단이 없는 제3 기기(130)를 통해 서버(140)에 접속하면(S810), 해당 서버(140)는 제3 기기(130)에 QR 로그인 페이지를 표시하고, 스캐너 동작을 준비한다(S820). When the user accesses the server 140 through the third device 130 having no authentication means (S810), the server 140 displays a QR login page on the third device 130 and prepares for a scanner operation. (S820).

사용자가 인증수단이 저장된 마스터 기기(110)에서 인증앱을 실행하면 마스터 기기(110)는 공유비밀키(sk)를 이용하여 생성되는 OTP 인증값(authsk)을 계산하고 <ID, t, authsk>를 포함한 QR 코드를 생성하여 마스터 기기(110)의 화면에 표시한다(S830). 여기서, 공유비밀키(sk)를 이용하여 생성되는 OTP 인증값(authsk)은 수학식 5와 같이 계산되고, QR 코드는 <ID, t, authsk>를 포함할 수 있다.When the user runs the authentication app on the master device 110 where the authentication means is stored, the master device 110 calculates the OTP authentication value (auth sk ) generated using the shared secret key (sk) and <ID, t, auth A QR code including sk > is generated and displayed on the screen of the master device 110 (S830). Here, the OTP authentication value (auth sk ) generated using the shared secret key (sk) is calculated as in Equation 5, and the QR code may include <ID, t, auth sk >.

Figure pat00005
Figure pat00005

스캐너(120)가 마스터 기기(110)의 화면에 표시된 QR 코드를 스캔하면, 스캐너(120)는 QR 코드를 제3 기기(130)로 전송하고(S840), 제3 기기(130)는 <ID, t, authsk>를 복구한다. 여기서 스캐너(120)는 웹캠으로 구현될 수 있고, 제3 기기(130)와 유무선 방식으로 결합될 수 있다. When the scanner 120 scans the QR code displayed on the screen of the master device 110, the scanner 120 transmits the QR code to the third device 130 (S840), and the third device 130 sends <ID , t, auth sk > restore. Here, the scanner 120 may be implemented as a webcam and may be coupled with the third device 130 in a wired or wireless manner.

이후 제3 기기(130)가 QR 코드를 통해 수신한 <ID, t, authsk>를 서버(140)에 전송하면(S850), 서버(140)는 수신된 ID(개인용 식별자)에 해당하는 공유비밀키(sk)를 내부 저장소로부터 독출하고, 공유비밀키(sk)를 이용하는 수학식 5를 이용하여 OTP 인증값(authsk)을 검증하고(S860), OTP 인증값(authsk)이 유효한 경우 서버(140)는 제3 기기(130)의 로그인을 허용한다(S870).Then, when the third device 130 transmits <ID, t, auth sk > received through the QR code to the server 140 (S850), the server 140 shares the received ID (personal identifier) When the secret key (sk) is read from the internal storage, the OTP authentication value (auth sk ) is verified using Equation 5 using the shared secret key (sk) (S860), and the OTP authentication value (auth sk ) is valid The server 140 allows the third device 130 to log in (S870).

도 9는 본 발명의 일실시예에 따른 QR 코드 예시도이다.9 is an exemplary diagram of a QR code according to an embodiment of the present invention.

본 발명의 일실시예에 따른 QR 코드 내 전자서명(sig)은 <username, 현재시각, 난수>에 대하여 사용자의 개인키로 서명한 값이다. 한편, 서버(140)에는 사용자의 인증서가 저장되어 있으며 서버(140)는 전자서명(sig)이 유효한지 검증한다. 서버(140)는 전자서명에 사용되었던 마스터 기기(110)의 현재시각과 서버(140)의 현재시각을 비교하여 허용되는 범위 내의 시간인지를 검증함으로써 공격자에 의한 재전송 공격을 방지한다. 그리고 전자서명(sig)이 유효해도 전자서명에 사용되었던 마스터 기기(110)의 현재시각과 서버(140)의 현재시각의 시간 차이가 dt이상으로 크면 로그인 요청을 거부하고 다시 로그인을 시도하도록 요구한다.The digital signature (sig) in the QR code according to an embodiment of the present invention is a value signed with the user's private key for <username, current time, random number>. Meanwhile, the user's certificate is stored in the server 140, and the server 140 verifies whether the digital signature (sig) is valid. The server 140 compares the current time of the master device 110 used for the digital signature with the current time of the server 140 and verifies whether the time is within an allowable range, thereby preventing a retransmission attack by an attacker. And even if the digital signature (sig) is valid, if the time difference between the current time of the master device 110 and the current time of the server 140 used for the digital signature is greater than dt, the login request is rejected and the login request is requested to try again. .

위 3가지 실시예의 특징에 대하여 비교하면 다음과 같다.A comparison of the characteristics of the above three embodiments is as follows.

QR 전자서명 로그인QR digital signature login QR 쌍토큰 로그인QR twin token login QR OTP 로그인QR OTP login 일회성 재전송 불가No one-time redelivery 시각 기반 전자서명 인증Visual-based digital signature authentication 시각 기반 쌍토큰 인증Visual-based twin token authentication 시각 기반 OTP 인증Visual-based OTP authentication 여러 사이트 적용 가능성Multiple site applicability YesYes NoNo NoNo 상태성status 상태형/무상태형state/stateless 무상태형stateless type 상태형conditional 계산량amount of calculation High(전자서명 검증)High (electronic signature verification) Low(해시값 검증)Low (hash value verification) Low(해시값 검증)Low (hash value verification)

제1 실시예에서는 하나의 인증서를 여러 사이트(서버)에 등록하여 사용하는 것이 허용된다면 하나의 인증서와 개인키를 여러 사이트(서버)에의 전자서명 인증에 사용이 가능하다는 장점이 있다. 만일 마스터 기기가 서버에게 접속요청시마다 인증서를 매번 제공하도록 운영된다면 서버는 내부저장소에서 사용자의 인증서를 읽어올 필요가 없어서 무상태형 서비스로 제공할 수도 있다.In the first embodiment, there is an advantage in that a single certificate and a private key can be used for digital signature authentication on multiple sites (servers) if registering and using one certificate on multiple sites (servers) is permitted. If the master device is operated to provide the server with a certificate every time it requests access, the server does not need to read the user's certificate from the internal storage, so it can be provided as a stateless service.

제2 실시예의 쌍토큰은 서버 비밀키 K를 이용하여 발급하므로 하나의 서버에서만 사용이 가능하다. 서버는 서버 비밀키 K를 이용하여 공개토큰으로부터 비밀토큰을 계산할 수 있으므로 발급한 토큰을 내부저장소에 저장하거나 필요시 내부저장소에서 읽어오는 등의 기능이 필요없어 무상태형 서비스를 제공할 수 있다.Since the pair tokens of the second embodiment are issued using the server secret key K, they can be used only in one server. Since the server can calculate the secret token from the public token using the server secret key K, it can provide a stateless service without the need for functions such as storing the issued token in the internal storage or reading it from the internal storage when necessary.

제3 실시예의 OTP 인증은 클라이언트의 인증 요청시 서버는 내부저장소로부터 비밀공유키(sk)를 읽어내야 하므로 상태형 서비스이다.The OTP authentication of the third embodiment is a stateful service because the server needs to read the secret shared key (sk) from the internal storage when the client requests authentication.

한편 본 발명의 실시예에서 표현한 마스터 기기(110)는 인증수단을 가질 수 있는 기기로, 휴대폰, 스마트폰(smart phone), 노트북 컴퓨터(laptop computer), 디지털방송용 단말기, PDA(personal digital assistants), PMP(portable multimedia player), 네비게이션, 슬레이트 PC(slate PC), 태블릿 PC(tablet PC), 울트라북(ultrabook), 웨어러블 디바이스(wearable device, 예를 들어, 워치형 단말기 (smartwatch), 글래스형 단말기 (smart glass), HMD(head mounted display)) 등이 포함될 수 있다. On the other hand, the master device 110 expressed in the embodiment of the present invention is a device capable of having an authentication means, such as a mobile phone, a smart phone, a laptop computer, a digital broadcasting terminal, a PDA (personal digital assistants), PMP (portable multimedia player), navigation, slate PC (slate PC), tablet PC (tablet PC), ultrabook (ultrabook), wearable device (for example, watch type terminal (smartwatch), glass type terminal ( smart glass), head mounted display (HMD), etc. may be included.

본 명세서에서 설명되는 실시 예와 첨부된 도면은 본 발명에 포함되는 기술적 사상의 일부를 예시적으로 설명하는 것에 불과하다. 따라서, 본 명세서에 개시된 실시 예는 본 발명의 기술적 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이므로, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아님은 자명하다. 본 발명의 명세서 및 도면에 포함된 기술적 사상의 범위 내에서 당업자가 용이하게 유추할 수 있는 변형 예와 구체적인 실시 예는 모두 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The embodiments described in this specification and the accompanying drawings merely illustrate some of the technical ideas included in the present invention by way of example. Therefore, since the embodiments disclosed in this specification are not intended to limit the technical idea of the present invention but to explain it, it is obvious that the scope of the technical idea of the present invention is not limited by these embodiments. All modified examples and specific examples that can be easily inferred by those skilled in the art within the scope of the technical idea included in the specification and drawings of the present invention should be construed as being included in the scope of the present invention.

110: 마스터 기기
120: 스캐너
130: 제3 기기
140: 서버110: master device
120: scanner
130: third device
140: server

Claims (8)

인증수단을 가지지 않은 제3 기기로부터 일회용 인증정보 - 상기 일회용 인증정보는 마스터 기기에 저장된 인증수단을 이용하여 생성되고, QR 코드 형태로 상기 마스터 기기의 화면에 표시되되, 상기 제3 기기에 연결된 스캐너로 상기 QR 코드를 스캔함으로써 상기 마스터 기기로부터 상기 제3 기기로 전송되는 정보임 - 를 수신하는 유무선 통신부; 및
상기 제3 기기가 접속하면, 상기 제3 기기의 화면에 QR 로그인 페이지를 표시하도록 제어하고, 상기 제3 기기를 통해 수신된 상기 일회용 인증정보를 검증하고, 상기 일회용 인증정보가 검증되면, 상기 제3 기기의 로그인을 허용하는 중앙제어부
를 포함하는 QR 코드를 이용한 광학적 비접촉 인증 및 로그인용 서버.
One-time authentication information from a third device that does not have an authentication means - The one-time authentication information is generated using an authentication means stored in the master device and displayed on the screen of the master device in the form of a QR code, and a scanner connected to the third device A wired/wireless communication unit for receiving information transmitted from the master device to the third device by scanning the QR code with ; and
When the third device accesses, control to display a QR login page on the screen of the third device, verify the one-time authentication information received through the third device, and when the one-time authentication information is verified, the third device 3 Central control unit allowing device login
A server for optical non-contact authentication and login using a QR code including a.
 청구항 1에 있어서,
상기 일회용 인증정보는 적어도 현재시각과 개인용 식별자에 대하여 개인키를 이용하여 생성되는 전자서명이고, 상기 서버는 상기 제3 기기를 통해 수신된 상기 전자서명 내 개인용 식별자에 해당하는 인증서를 내부 저장소에 저장된 DB로부터 검색하여 상기 전자서명을 검증하는 것을 특징으로 하는 QR 코드를 이용한 광학적 비접촉 인증 및 로그인용 서버.
The method of claim 1,
The one-time authentication information is a digital signature generated using a private key for at least a current time and a personal identifier, and the server stores the certificate corresponding to the personal identifier in the digital signature received through the third device in an internal storage. A server for optical non-contact authentication and login using a QR code, characterized in that for verifying the electronic signature by searching from the DB.
 청구항 1에 있어서,
상기 일회용 인증정보는 적어도 현재시각과 비밀토큰을 이용하여 생성되는 쌍토큰 인증값이고, 상기 서버는 상기 쌍토큰 인증값과 함께 전송되는 공개토큰과 내부의 서버 비밀키를 이용하여 비밀토큰을 계산하여 상기 쌍토큰 인증값을 검증하는 것을 특징으로 하는 QR 코드를 이용한 광학적 비접촉 인증 및 로그인용 서버.
The method of claim 1,
The one-time authentication information is a pair token authentication value generated using at least the current time and a secret token, and the server calculates a secret token using a public token transmitted with the pair token authentication value and an internal server secret key. A server for optical non-contact authentication and login using a QR code, characterized in that for verifying the pair token authentication value.
 청구항 1에 있어서,
상기 일회용 인증정보는 적어도 현재시각과 개인용 식별자 그리고 공유비밀키 - 상기 공유비밀키는 상기 마스터 기기와 상기 서버가 사전에 공유하는 OTP용 비밀키임 - 를 이용하여 생성되는 OTP 인증값이고, 상기 서버는 상기 OTP 인증값 내 개인용 식별자를 이용하여 내부 저장소에 보관된 상기 개인용 식별자에 대응하는 공유비밀키를 검색하여 상기 OTP 인증값을 검증하는 것을 특징으로 하는 QR 코드를 이용한 광학적 비접촉 인증 및 로그인용 서버.
The method of claim 1,
The one-time authentication information is an OTP authentication value generated using at least a current time, a personal identifier, and a shared secret key, wherein the shared secret key is a secret key for OTP shared in advance by the master device and the server, and the server Using the personal identifier in the OTP authentication value to search for a shared secret key corresponding to the personal identifier stored in the internal storage to verify the OTP authentication value Server for optical non-contact authentication and login using a QR code.
 인증수단을 가지지 않은 제3 기기가 서버로 접속하면, 상기 서버는 상기 제3 기기의 화면에 QR 로그인 페이지를 표시하도록 제어하는 단계;
인증수단을 가진 마스터 기기를 동작시켜 상기 마스터 기기가 보유한 인증수단을 이용하여 일회용 인증정보를 계산하고, 상기 일회용 인증정보가 QR 코드 형태로 상기 마스터 기기의 화면에 표시하도록 제어하는 단계;
상기 서버가 상기 제3 기기로부터 일회용 인증정보 - 상기 일회용 인증정보는 마스터 기기에 저장된 인증수단을 이용하여 생성되고, QR 코드 형태로 상기 마스터 기기의 화면에 표시되되, 상기 제3 기기에 연결된 스캐너로 상기 QR 코드를 스캔함으로써 상기 마스터 기기로부터 상기 제3 기기로 전송되는 정보임 - 를 수신하는 단계;
상기 서버가 상기 제3 기기를 통해 수신된 상기 일회용 인증정보를 검증하는 단계; 및
상기 서버가 상기 일회용 인증정보가 검증되면, 상기 제3 기기의 로그인을 허용하는 단계
를 포함하는 QR 코드를 이용한 광학적 비접촉 인증 및 로그인 방법.
controlling the server to display a QR login page on the screen of the third device when a third device having no authentication means accesses the server;
Operating a master device having an authentication means to calculate one-time authentication information using an authentication means possessed by the master device, and controlling the one-time authentication information to be displayed on the screen of the master device in the form of a QR code;
The server provides one-time authentication information from the third device - The one-time authentication information is generated using an authentication means stored in the master device and displayed on the screen of the master device in the form of a QR code, and is displayed on a scanner connected to the third device. Receiving information transmitted from the master device to the third device by scanning the QR code;
verifying, by the server, the one-time authentication information received through the third device; and
allowing the third device to log in when the one-time authentication information is verified by the server
Optical non-contact authentication and login method using a QR code comprising a.
 청구항 5에 있어서,
상기 일회용 인증정보는 적어도 현재시각과 개인용 식별자에 대하여 개인키를 이용하여 생성되는 전자서명인 것을 특징으로 하는 QR 코드를 이용한 광학적 비접촉 인증 및 로그인 방법.
The method of claim 5,
The one-time authentication information is an optical non-contact authentication and login method using a QR code, characterized in that the electronic signature generated using a private key for at least the current time and personal identifier.
 청구항 5에 있어서,
상기 일회용 인증정보는 적어도 현재시각과 비밀토큰을 이용하여 생성되는 쌍토큰 인증값인 것을 특징으로 하는 QR 코드를 이용한 광학적 비접촉 인증 및 로그인 방법.
The method of claim 5,
The one-time authentication information is an optical non-contact authentication and login method using a QR code, characterized in that the pair token authentication value generated using at least the current time and a secret token.
 청구항 5에 있어서,
상기 일회용 인증정보는 적어도 현재시각과 개인용 식별자 그리고 공유비밀키 - 상기 공유비밀키는 상기 마스터 기기와 상기 서버가 사전에 공유하는 OTP용 비밀키임 - 를 이용하여 생성되는 OTP 인증값인 것을 특징으로 하는 QR 코드를 이용한 광학적 비접촉 인증 및 로그인 방법.The method of claim 5,
Characterized in that the one-time authentication information is an OTP authentication value generated using at least the current time, a personal identifier, and a shared secret key, wherein the shared secret key is a secret key for OTP shared in advance by the master device and the server. Optical non-contact authentication and login method using QR code.
KR1020210087989A 2021-07-05 2021-07-05 Server for optical noncontact certification and login using qr code and its method KR20230007130A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210087989A KR20230007130A (en) 2021-07-05 2021-07-05 Server for optical noncontact certification and login using qr code and its method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210087989A KR20230007130A (en) 2021-07-05 2021-07-05 Server for optical noncontact certification and login using qr code and its method

Publications (1)

Publication Number Publication Date
KR20230007130A true KR20230007130A (en) 2023-01-12

Family

ID=84923814

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210087989A KR20230007130A (en) 2021-07-05 2021-07-05 Server for optical noncontact certification and login using qr code and its method

Country Status (1)

Country Link
KR (1) KR20230007130A (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101205863B1 (en) 2011-02-15 2012-12-03 동서대학교산학협력단 System and Method For Transferring Money Using OTP And QR-code
KR101589706B1 (en) 2015-08-03 2016-02-05 주식회사 엘제이스트 Method for autentication using qr codes for entering the event
KR20180122843A (en) 2017-05-04 2018-11-14 라온시큐어(주) Methods and system for verifying authenticity of qr code

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101205863B1 (en) 2011-02-15 2012-12-03 동서대학교산학협력단 System and Method For Transferring Money Using OTP And QR-code
KR101589706B1 (en) 2015-08-03 2016-02-05 주식회사 엘제이스트 Method for autentication using qr codes for entering the event
KR20180122843A (en) 2017-05-04 2018-11-14 라온시큐어(주) Methods and system for verifying authenticity of qr code

Similar Documents

Publication Publication Date Title
KR102509688B1 (en) Method and apparatus for verifying digital identity, device and storage medium
KR101883156B1 (en) System and method for authentication, user terminal, authentication server and service server for executing the same
US9185096B2 (en) Identity verification
US8621216B2 (en) Method, system and device for synchronizing between server and mobile device
US9830447B2 (en) Method and system for verifying an access request
US20120272307A1 (en) Multi-Factor Authentication Using A Smartcard
KR20180117715A (en) Method and system for user authentication with improved security
KR20150038157A (en) Method and system of login authentication
CN112425114A (en) Password manager protected by public-private key pair
KR20210095093A (en) Method for providing authentification service by using decentralized identity and server using the same
KR102012262B1 (en) Key management method and fido authenticator software authenticator
KR101659847B1 (en) Method for two channel authentication using smart phone
US20080313720A1 (en) System, Device and Method for Conducting Secure Economic Transactions
KR102252731B1 (en) Key management method and apparatus for software authenticator
KR20210095061A (en) Method for providing authentification service by using decentralized identity and server using the same
KR101616795B1 (en) Method for manage private key file of public key infrastructure and system thereof
KR20130078842A (en) Recording medium, server for 2-factor authentication use of image code and one time password
KR20180039037A (en) Cross authentication method and system between online service server and client
KR20230007130A (en) Server for optical noncontact certification and login using qr code and its method
KR101835718B1 (en) Mobile authentication method using near field communication technology
JP4895288B2 (en) Authentication system and authentication method
KR102657533B1 (en) System and method for providing token-based single sign on authentication using qr code
KR20180037169A (en) User authentication method and system using one time password
KR102542840B1 (en) Method and system for providing finance authentication service based on open api
WO2022070406A1 (en) Control method, information processing device, information processing system, and control program

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E601 Decision to refuse application