KR20230124434A - 전자 장치의 사용자 인증 방법 및 이를 수행하는 전자 장치 - Google Patents

전자 장치의 사용자 인증 방법 및 이를 수행하는 전자 장치 Download PDF

Info

Publication number
KR20230124434A
KR20230124434A KR1020220021783A KR20220021783A KR20230124434A KR 20230124434 A KR20230124434 A KR 20230124434A KR 1020220021783 A KR1020220021783 A KR 1020220021783A KR 20220021783 A KR20220021783 A KR 20220021783A KR 20230124434 A KR20230124434 A KR 20230124434A
Authority
KR
South Korea
Prior art keywords
encryption key
electronic device
storage area
user
authentication
Prior art date
Application number
KR1020220021783A
Other languages
English (en)
Inventor
고봉석
Original Assignee
아이오드 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아이오드 주식회사 filed Critical 아이오드 주식회사
Priority to KR1020220021783A priority Critical patent/KR20230124434A/ko
Publication of KR20230124434A publication Critical patent/KR20230124434A/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

전자 장치의 사용자 인증 방법 및 이를 수행하는 전자 장치가 제공된다. 전자 장치의 사용자 인증 방법은, 사용자로부터 전자 장치의 암호화 명령과, 서로 다른 제1 암호 키 및 제2 암호 키를 제공받는 단계, 상기 제2 암호 키를 보안 저장 영역에 저장하는 단계, 상기 제1 암호 키와 제2 암호 키를 조합하여 제3 암호 키를 생성하고, 생성된 제3 암호 키를 이용하여 인증 정보를 생성하는 단계, 사용자로부터 인증 요청과 암호 입력을 제공받는 단계, 및 상기 제2 암호 키를 상기 암호 입력과 조합하여 생성된 암호 키와 상기 인증 정보를 이용하여 상기 인증 요청을 검사하는 단계를 포함한다.

Description

전자 장치의 사용자 인증 방법 및 이를 수행하는 전자 장치{USER AUTHENTICIATION METHOD OF ELECTRONIC DEVICE AND ELECTRONIC DEVICE PERFORMING THE SAME}
본 발명은 전자 장치의 사용자 인증 방법 및 이를 수행하는 전자 장치에 관한 것으로, 더욱 구체적으로는 사용자가 설정한 제1 암호 키와 제2 암호 키를 이용하여 사용자 인증을 수행함으로써 간편한 인증 과정을 제공하면서도 사용 권한 및 저장된 데이터의 보안성을 향상시킬 수 있는 전자 장치의 사용자 인증 방법 및 이를 수행하는 전자 장치를 제공하는 것이다.
전자 기술의 발달과 함께 다양한 유형의 전자 제품들이 개발 및 보급되고 있다. 이러한 전자 장치들은 이를 이용하는 사용자 별로 사용자화되어 있고, 보안이 필요한 데이터들을 저장하는 경우가 많아 사용자 인증 과정을 요구할 수 있다.
현재 가장 일반적으로 이용되는 사용자 인증 수단은 비밀번호를 이용하는 것이다. 비밀번호는 무작위 대입 방식의 공격(brute-force attack)에 취약한데, 무작위 대입 공격의 특성 상 비밀번호의 길이 및 복잡도가 짧아질수록 보안성의 강도는 약해질 수밖에 없다. 다만 보안성을 위해 비밀번호를 길게 생성하는 경우, 사용자 인증 과정은 이에 비례하게 불편함이 증가함으로써 사용자 경험(UX)에 좋지 않은 영향을 미칠 수 있다.
따라서, 전자 장치의 보안성을 유지하면서 사용자 인증의 편의성을 도모할 수 있는 인증 방법 및 이를 이용하는 전자 장치가 요구되고 있다.
본 발명이 해결하고자 하는 기술적 과제는 사용자가 설정한 서로 다른 두 개의 암호 키를 이용하여 인증 정보를 생성함으로써 사용자 인증의 보안성을 획득하고, 인증을 요청하는 사용자로부터는 하나의 암호 키 만을 입력받고 제공된 요청을 사용자 인증의 편리성을 얻을 수 있는 사용자 인증 방법 및 이를 수행하는 전자 장치를 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상술한 기술적 과제를 해결하기 위한 본 발명의 몇몇 실시예에 따른 전자 장치를 이용한 사용자 인증 방법은, 사용자로부터 전자 장치의 암호화 명령과, 서로 다른 제1 암호 키 및 제2 암호 키를 제공받는 단계, 상기 제2 암호 키를 보안 저장 영역에 저장하는 단계, 상기 제1 암호 키와 제2 암호 키를 조합하여 제3 암호 키를 생성하고, 생성된 제3 암호 키를 이용하여 인증 정보를 생성하는 단계, 사용자로부터 인증 요청과 암호 입력을 제공받는 단계, 및 상기 제2 암호 키를 상기 암호 입력과 조합하여 생성된 암호 키와 상기 인증 정보를 이용하여 상기 인증 요청을 검사하는 단계를 포함한다.
본 발명의 몇몇 실시예에서, 상기 보안 저장 영역은 상기 전자 장치 내부의 요청에 의해서만 액세스될 수 있고, 상기 전자 장치 외부의 액세스 요청은 거부될 수 있다.
본 발명의 몇몇 실시예에서, 상기 제2 암호 키를 저장 영역에 저장하는 단계는, 상기 제2 암호 키를 상기 전자 장치의 고유 아이디(UID)로 암호화하여 상기 보안 저장 영역에 저장하는 단계를 포함할 수 있다.
본 발명의 몇몇 실시예에서, 상기 저장 영역으로부터 로드된 상기 제2 암호 키를 상기 암호 입력과 조합하여 생성된 암호 키와 상기 인증 정보를 이용하여 상기 인증 요청을 검사하는 단계는, 상기 저장 영역으로부터 암호화된 제2 암호 키를 로드하고, 상기 전자 장치의 고유 아이디로 상기 암호화된 제2 암호 키를 복호화하는 단계를 포함할 수 있다.
본 발명의 몇몇 실시예에서, 상기 제3 암호 키는 상기 제1 암호 키와 상기 제2 암호 키를 조합한 문자열로부터 생성된 해시를 포함할 수 있다.
상술한 기술적 과제를 해결하기 위한 본 발명의 다른 몇몇 실시예에 따른 사용자 인증을 수행하는 전자 장치는, 프로세서, 보안 저장 영역을 포함하는 스토리지 장치, 및 상기 프로세서에 의해 실행 가능한 명령어들을 저장하는 메모리를 포함하고, 상기 명령어들은 상기 프로세서에 의해 실행되어, 사용자로부터 전자 장치의 암호화 명령과, 서로 다른 제1 암호 키 및 제2 암호 키를 제공받는 단계, 상기 제2 암호 키를 저장 영역에 저장하는 단계, 상기 제1 암호 키와 제2 암호 키를 조합하여 제3 암호 키를 생성하는 단계, 상기 제3 암호 키를 암호화하여 인증 키를 포함하는 인증 정보를 생성하고 상기 저장 영역에 저장하는 단계, 사용자로부터 인증 요청과 암호 입력을 제공받는 단계, 상기 저장 영역으로부터 로드된 상기 제2 암호 키를 상기 암호 입력과 조합하여 생성된 암호 키와 상기 인증 정보를 이용하여 상기 인증 요청을 검사하는 단계를 포함하는 동작을 실행한다.
본 발명의 실시예에 따른 전자 장치의 사용자 인증 방법 및 사용자 인증을 수행하는 전자 장치는 사용자로부터 제1 암호 키와 제2 암호 키를 제공받고, 이를 조합하여 생성된 제3 암호 키를 이용하여 인증 정보를 생성하고, 사용자 인증을 수행한다. 사용자는 기억하거나 입력하기 쉬운 제1 암호 키를 이용하여 사용자 인증 요청을 제공하고, 전자 장치는 제1 암호 키와 제2 암호 키를 조합하여 해시 함수를 이용하여 생성한 제3 암호 키를 이용하여 사용자 인증을 수행함으로써 편의성과 보안성이 동시에 향상될 수 있다.
또한, 제2 암호 키가 전자 장치의 고유 아이디를 이용하여 암호화됨으로써, 서로 다른 전자 장치에 있어서 동일한 제2 암호 키를 입력한 경우에 보안 저장 영역에 저장된 결과 값은 장치마다 다르며, 제2 암호 키를 보안 저장 영역으로부터 로드하여 복호화하기 필요한 암호 키 또한 전자 장치마다 다르게 설정될 수 있다. 이를 통해 전자 장치를 미러링하더라도 제2 암호 키를 복호화하기 위한 키가 전자 장치들마다 다르게 되므로, 무작위 대입 방식의 공격에 대한 보안성을 향상시킬 수 있다.
본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 청구범위의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 몇몇 실시예에 따른 사용자 인증을 수행하는 전자 장치의 블록도이다.
도 2는 본 발명의 몇몇 실시예에 따른 전자 장치의 사용자 인증 방법을 설명하기 위한 순서도이다.
도 3 및 4는 본 발명의 몇몇 실시예에 따른 전자 장치의 사용자 인증 과정을 설명하기 위한 블록도이다.
도 5는 본 발명의 다른 몇몇 실시예에 따른 전자 장치의 사용자 인증 과정을 설명하기 위한 순서도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
하나의 구성 요소가 다른 구성 요소와 "연결된(connected to)" 또는 "커플링된(coupled to)" 이라고 지칭되는 것은, 다른 구성 요소와 직접 연결 또는 커플링된 경우 또는 중간에 다른 구성 요소를 개재한 경우를 모두 포함한다. 반면, 하나의 구성 요소가 다른 구성 요소와 "직접 연결된(directly connected to)" 또는 "직접 커플링된(directly coupled to)"으로 지칭되는 것은 중간에 다른 구성 요소를 개재하지 않은 것을 나타낸다. "및/또는"은 언급된 아이템들의 각각 및 하나 이상의 모든 조합을 포함한다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성 요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성 요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
비록 제1, 제2 등이 다양한 구성 요소들을 서술하기 위해서 사용되나, 이들 구성 요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성 요소를 다른 구성 요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성 요소는 본 발명의 기술적 사상 내에서 제2 구성 요소 일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
도 1은 본 발명의 몇몇 실시예에 따른 사용자 인증을 수행하는 전자 장치를 설명하기 위한 도면이다.
도 1을 참조하면, 본 발명의 몇몇 실시예에 따른 사용자 인증을 수행하는 전자 장치(100)는 프로세서(110), 메모리(120), 인터페이스(130) 및 스토리지 장치(140)를 포함할 수 있다.
사용자 인증을 수행하는 전자 장치(100)는 장치의 사용 및 데이터의 액세스를 위한 수단으로 사용자 인증을 수행하는 전자 장치를 포함할 수 있다. 이러한 전자 장치는 예를 들어 PC(Personal Computer), 노트북 PC(notebook PC), 서버 컴퓨터 등의 컴퓨팅 장치를 포함할 수 있으나 이에 제한되지 않으며, 스마트폰(smart phone), 태블릿 PC(tablet PC) 등을 포함할 수도 있다.
또한, 전자 장치(100)는 상술한 장치 외에도, 사용자의 PC, 스마트 폰의 단말에 연결하고, 단말을 통해 암호 키의 인증 및 데이터의 입출력을 수행할 수 있는 전자 장치를 포함할 수 있다. 이러한 전자 장치의 일 예로서 외장 스토리지 장치, USB 메모리 등을 포함할 수 있으나 이에 제한되는 것은 아니다.
프로세서(110)는 전자 장치(100)의 동작을 제어할 수 있다. 구체적으로, 프로세서(110)는 인터페이스(130)를 통해 획득한 제1 암호 키와 제2 암호 키를 이용하여 제3 암호 키를 생성하고, 이를 이용한 일련의 사용자 인증 과정을 제어할 수 있다.
메모리(120)는 프로세서(110)와 통신 가능하게 연결될 수 있다. 메모리(120)는 프로세서(110)에 의해 처리되는 데이터를 일시적으로 저장하는 한편, 프로세서(110)에 의해 실행 가능한 명령어들을 저장할 수 있다.
인터페이스(130)는 사용자 인증을 수행하는 전자 장치(100)에 대한 사용자의 입력을 제공받을 수 있다. 예를 들어 전자 장치(100)가 PC, 노트북 PC인 경우 인터페이스(130)는 사용자의 암호 키 입력을 제공받기 위한 키보드를 포함할 수 있으며, 전자 장치(100)가 스마트 폰, 타블렛 PC인 경우 인터페이스(130)는 사용자의 터치 입력을 수신할 수 있는 터치스크린 장치를 포함할 수 있다.
만약 전자 장치(100)가 외장 스토리지 장치, USB 메모리와 같이 컴퓨팅 장치에 연결하여 사용하는 전자 장치인 경우, 인터페이스(130)는 컴퓨팅 장치와 연결되어 통신 기능을 수행할 수 있는 통신 인터페이스를 포함할 수 있다.
스토리지 장치(140)는 전자 장치(100)의 동작에 필요한 프로그램 및 데이터를 저장할 수 있다. 스토리지 장치(140)가 메모리(120)와 구분되는 차이점은, 메모리(120)가 전자 장치의 동작을 위해 데이터를 일시적으로 저장하는 휘발성 메모리인 것에 반하여, 스토리지 장치(140)는 데이터를 반영구적으로 저장할 수 있는 비휘발성 메모리, 즉 플래시 드라이브 또는 솔리드 스테이트 드라이브(SSD), 하드 디스크 등을 포함할 수 있는 점이다.
스토리지 장치(140)에는 보안 저장 영역(145)이 구비될 수 있다. 스토리지 장치(140)의 보안 저장 영역(145)은 일반적인 데이터를 저장하기 위한 영역과는 구분되는 영역으로, 사용자로부터 제공받은 제2 암호 키 또는 제2 암호 키로부터 생성된 암호화 정보를 저장하기 위한 영역을 포함할 수 있다.
이러한 보안 저장 영역(145)은 외부로부터 액세스가 불가능한 영역일 수 있다. 즉, 스토리지 장치(140)는 보안 저장 영역(145)에 저장된 데이터에 액세스하기 위한 요청을 구분하여 전자 장치(100)와 물리적으로 연결된 장치로부터의 액세스 요청이나 네트워크를 통해 연결된 장치로부터의 요청인 경우 액세스 요청을 거절할 수 있다.
반면에, 보안 저장 영역(145)에 저장된 데이터에 액세스하기 위한 요청이 프로세서(110)와 같이 전자 장치(100) 내부로부터 제공된 경우, 스토리지 장치(140)는 보안 저장 영역(145)의 액세스 요청을 허가하고, 보안 저장 영역(145)에 저장된 제2 암호 키 등을 읽어 제공할 수 있다.
본 발명의 몇몇 실시예에서, 스토리지 장치(140)가 플래시 드라이브 또는 솔리드 스테이트 드라이브(SSD)와 같이 반도체 칩을 이용한 저장 장치인 경우, 프로세서(110)와 스토리지 장치(140)는 통합되어 원 칩으로 구성될 수 있다. 이 경우 스토리지 장치(140)에 저장된 데이터는 외부로부터 데이터 액세스 요청을 제공받는 것이 불가능하도록 구성됨으로써, 데이터의 보안성을 더욱 향상시킬 수 있다.
스토리지 장치(140)에는 암호화된 데이터가 저장될 수 있다. 스토리지 장치(140)에 저장된 데이터는 사용자로부터 제공된 제1 암호 키와 제2 암호 키와는 다른 인증 정보를 이용하여 암호화될 수 있다. 이에 관하여 자세한 설명은 후술한다.
도 2는 본 발명의 몇몇 실시예에 따른 전자 장치의 사용자 인증 방법을 설명하기 위한 순서도이고, 도 3 내지 도 4는 전자 장치의 사용자 인증 방법의 각 단계를 설명하기 위한 도면들이다.
도 2를 참조하면, 본 발명의 실시예에 따른 전자 장치의 사용자 인증 방법은, 사용자로부터 전자 장치의 암호화 명령과 서로 다른 제1 암호 키 및 제2 암호 키를 제공받는 단계(S110), 제2 암호 키를 스토리지 장치의 보안 저장 영역에 저장하는 단계(S120), 제1 암호 키와 제2 암호 키를 조합하여 제3 암호 키를 생성하고, 생성된 제3 암호 키를 이용하여 인증 정보를 생성하는 단계(S130), 사용자로부터 인증 요청과 암호 입력을 제공받는 단계(S140), 보안 저장 영역으로부터 로드된 제2 암호 키를 암호 입력과 조합하여 생성된 암호 키와 인증 정보를 이용하여 사용자로부터 제공받은 인증 요청을 검증하는 단계(S150)를 포함할 수 있다.
도 3을 참조하면, 사용자로부터 전자 장치의 암호화 명령과 제1 암호 키 및 제2 암호 키를 제공받는 단계(S110)가 수행될 수 있다.
초기 상태에서 전자 장치(100)는 사용 권한 설정 또는 저장된 데이터의 암호화가 되지 않은 상태일 수 있다. 따라서 사용자는 전자 장치(100)의 사용 권한 설정 또는 스토리지 장치(140)에 저장된 데이터의 암호화 등을 위해 전자 장치(100)의 암호화 명령을 제공할 수 있다. 이와 함께, 전자 장치(100)는 사용자로부터 입력된 서로 다른 제1 암호 키와 제2 암호 키를 제공받을 수 있다.
전자 장치(100)는 인터페이스(130)를 통하여 암호화 명령과 제1 암호 키 및 제2 암호 키를 수신할 수 있다. 전자 장치(100)가 PC(Personal Computer), 노트북 PC(notebook PC), 스마트폰(smart phone), 태블릿 PC(tablet PC)과 같은 컴퓨팅 장치인 경우 키보드, 마우스 등의 입력 장치 또는 터치 스크린 장치를 통해 암호화 명령과 제1, 제2 암호 키를 제공받을 수 있다.
한편, 전자 장치(100)가 외장 스토리지 장치, USB 메모리와 같이 컴퓨팅 장치에 연결하여 사용하는 전자 장치인 경우, 전자 장치(100)는 연결된 컴퓨팅 장치의 입력 장치를 통해 입력된 암호화 명령과 제1 암호 키와 제2 암호 키를 컴퓨팅 장치로부터 제공받을 수 있다.
제1 암호 키와 제2 암호 키는 각각 전자 장치(100)의 인증 정보 및 저장된 데이터의 암호화를 위해 사용되는 암호 키, 즉 비밀번호를 포함할 수 있다. 제1 암호 키는 사용자 인증 과정에서 사용자가 간편하게 입력할 수 있는 비교적 단순한 비밀번호를 포함할 수 있고, 제2 암호 키는 제1 암호 키에 비해 길이가 길고 비교적 복잡한 비밀번호를 포함할 수 있다.
본 발명의 몇몇 실시예에서, 프로세서(110)는 사용자로부터 입력된 하나의 비밀번호를 나누어 제1 암호 키와 제2 암호 키를 생성할 수도 있다. 이 경우 사용자는 뒤에 이어질 사용자 인증 과정을 위해 앞서 암호화 명령을 제공할 때 입력했던 비밀번호의 일부만을 제1 암호 키에 대응하는 비밀번호로써 입력하고, 사용자 인증을 요청할 수 있다.
이어서, 제2 암호 키를 스토리지 장치의 보안 저장 영역에 저장하는 단계(S120)가 수행될 수 있다.
상술한 것과 같이, 스토리지 장치(140)의 보안 저장 영역(145)은 전자 장치(100)와 연결되는 외부 장치로부터 액세스가 제한되는 영역이다. 스토리지 장치(140)는 제2 암호 키를 보안 저장 영역(145)에 저장하고, 전자 장치(100)와 물리적으로 연결된 장치 또는 네트워크로 연결된 장치로부터 저장 영역(145)에 저장된 제2 암호 키의 액세스 요청을 거절할 수 있다.
이어서, 제1 암호 키와 제2 암호 키를 조합하여 제3 암호 키를 이용하여인증 정보를 생성하는 단계(S130)가 수행될 수 있다.
제3 암호 키는 제1 암호 키와 제2 암호 키를 조합하여 생성함으로써 복잡도를 증가시킨 암호 키일 수 있다. 제3 암호 키는 예를 들어, 제1 암호 키와 제2 암호 키를 조합한 문자열로부터 생성된 해시(hash)를 포함할 수 있다. 따라서 제3 암호 키는 어떠한 규칙을 갖는 영문자 또는 숫자의 조합이 아닌, 해시 함수를 이용하여 생성된 문자열이고, 사용된 해시 함수에 따라 사용자 인증의 우회를 위한 비밀번호의 무작위 대입 방식의 공격에 충분히 강인한 정도의 길이를 가질 수 있어 전자 장치(100)의 보안성을 향상시킬 수 있다.
프로세서(110)는 생성된 제3 암호 키를 이용하여 인증 정보를 생성할 수 있다. 이러한 인증 정보에 의해 전자 장치(100)의 사용 권한 획득을 위한 로그인 정보가 생성될 수 있으며, 스토리지 장치(140)에 저장된 데이터의 암호화도 수행될 수 있다. 정리하면, 전자 장치(100)는 해시 함수를 이용하여 생성되고 충분히 긴 길이의 제3 암호 키를 사용자로부터 제공받아 사용자 인증 정보를 생성하게 된다. 후술하는 사용자 인증 과정에서도 이러한 제3 암호 키에 기반한 사용자 인증이 수행될 수 있다.
일련의 인증 정보 생성이 완료되면 도 4와 같이 전자 장치(100)의 사용 권한을 얻고자 하는 사용자로부터 인증 요청과 암호 입력을 제공받는 단계(S140)가 수행된다. 인증 정보의 생성 과정과 마찬가지로 인터페이스(130)는 사용자로부터 인증 요청 및 암호 입력을 제공받을 수 있다. 사용자는 앞서 인증 정보 과정에서 입력한 제1 암호 키와 동일한 암호 키를 입력하여 전자 장치(100)의 사용자 인증을 시도할 수 있다.
저장 영역으로부터 로드된 제2 암호 키를 암호 입력과 조합하여 생성된 암호 키와 인증 정보를 이용하여 사용자로부터 제공받은 인증 요청을 검증하는 단계(S150)가 수행된다.
프로세서(110)는 저장 영역(145)으로부터 앞서 저장된 제2 암호 키를 로드하고, 이를 사용자로부터 제공받은 암호 입력과 조합하여 새로운 암호 키를 생성할 수 있다. 이 때 새로운 암호 키를 생성하는 방식은 앞서 제1 암호 키와 제2 암호 키를 조합하여 제3 암호 키를 생성하는 방식과 동일할 수 있다. 만약 제3 암호 키가 제1 암호 키와 제2 암호 키를 조합한 문자열로부터 생성된 해시인 경우, 프로세서(110)는 사용자로부터 입력 받은 암호 입력과 로드된 제2 암호 키의 문자열을 조합하여 해시를 생성함으로써 새로운 암호 키를 생성할 수 있다.
프로세서(110)는 생성된 새로운 암호 키를 이용하여 사용자 인증을 수행할 수 있다. 프로세서(110)는 기존에 생성된 인증 정보를 이용하여 새로운 암호 키를 검증함으로써 사용자 인증을 수행할 수 있다.
정리하면, 본 발명의 실시예에 따른 사용자 인증을 수행하는 전자 장치(100)는 사용자로부터 제1 암호 키와 제2 암호 키를 제공받고, 이를 조합하여 생성된 제3 암호 키를 이용하여 인증 정보를 생성하고, 사용자 인증을 수행한다. 사용자는 기억하거나 입력하기 쉬운 제1 암호 키를 이용하여 사용자 인증 요청을 제공하고, 전자 장치(100)는 제1 암호 키와 제2 암호 키를 조합하고 해시 함수를 이용하여 문자열로 생성한 제3 암호 키를 이용하여 사용자 인증을 수행함으로써 편의성과 보안성이 동시에 향상될 수 있다.
도 5는 본 발명의 다른 몇몇 실시예에 따른 전자 장치의 사용자 인증 과정을 설명하기 위한 순서도이다. 본 실시예에서는 앞서 설명한 실시예와 동일한 사항의 설명은 생략하고, 차이점을 위주로 설명한다.
도 5를 참조하면, 본 발명의 다른 실시예에 따른 전자 장치의 사용자 인증 과정은 사용자로부터 전자 장치의 암호화 명령, 제1 암호 키와 제2 암호 키를 제공(S210)받은 이후 제2 암호 키를 전자 장치의 고유 아이디를 이용하여 암호화하여 저장 영역에 저장하는 단계(S220)가 수행될 수 있다.
제2 암호 키는 전자 장치의 암호화 단계 이후 사용자 인증 단계에서 사용자로부터 입력을 받지는 않지만 보안 저장 영역(145)으로부터 로드되어 암호 입력과 조합하여 사용자 인증에 사용되므로 제2 암호 키 또한 암호화하여 저장될 수 있다. 이 때 암호화를 위해 전자 장치(100)의 고유 아이디가 이용될 수 있다.
전자 장치(100)의 고유 아이디(UID)는 동일한 모델의 전자 장치(100)에 있어서 서로 다른 문자열 정보를 포함할 수 있다. 제2 암호 키가 전자 장치(100)의 고유 아이디를 이용하여 암호화됨으로써, 서로 다른 전자 장치에 있어서 동일한 제2 암호 키를 입력한 경우에 보안 저장 영역(145)에 저장된 결과 값은 장치마다 다르며, 제2 암호 키를 보안 저장 영역(145)으로부터 로드하여 복호화하기 위해 필요한 암호 키 또한 전자 장치마다 다르게 설정될 수 있다.
이와 같은 특징은 무작위 대입 방식에 대한 보안성을 향상시킬 수 있다. 널리 알려진 것과 같이, 무작위 대입 방식에 필요한 시간을 저감하기 위해 전자 장치(100)의 스토리지 장치(140)의 데이터를 미러링하여 복수의 전자 장치에 복사한 후, 무작위 대입 방식의 공격을 실시할 수 있다.
이 때 도 5의 실시예에 따른 전자 장치의 사용자 인증 방법을 이용하면, 전자 장치(100)를 미러링하더라도 제2 암호 키를 복호화하기 위한 키가 전자 장치들마다 다르게 되므로, 무작위 대입 방식의 공격에 대한 보안성을 향상시킬 수 있다.
즉, 사용자로부터 인증 요청과 암호 입력을 제공받는 단계(S240) 이후에, 암호화된 제2 암호 키를 보안 저장 영역으로부터 로드하고 전자 장치의 고유 아이디로 복호화하는 과정이 수행될 수 있다(S250). 만약 보안 저장 영역(145)로부터 로드된 제2 암호 키의 암호화된 데이터가 해당 전자 장치에 의해 암호화되어 저장된 데이터가 아닌 경우에는, 고유 아이디를 이용한 복호화가 성공할 수 없다.
이어서, 전자 장치(100)는 사용자 인증을 위해 복호화된 제2 암호 키를 암호 입력과 조합하여 생성된 암호 키와 인증 정보를 이용하여 사용자로부터 제공받은 인증 요청을 검증하는 단계(S260)를 수행할 수 있다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 장치에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 하드디스크, ROM, RAM, CD-ROM, 하드 디스크, 자기 테이프, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
100: 사용자 인증을 수행하는 전자 장치
110: 프로세서 120: 메모리
130: 인터페이스 140: 스토리지
145: 보안 저장 영역

Claims (11)

  1. 사용자로부터 전자 장치의 암호화 명령과, 서로 다른 제1 암호 키 및 제2 암호 키를 제공받는 단계;
    상기 제2 암호 키를 보안 저장 영역에 저장하는 단계;
    상기 제1 암호 키와 제2 암호 키를 조합하여 제3 암호 키를 생성하고, 생성된 제3 암호 키를 이용하여 인증 정보를 생성하는 단계;
    사용자로부터 인증 요청과 암호 입력을 제공받는 단계; 및
    상기 제2 암호 키를 상기 암호 입력과 조합하여 생성된 암호 키와 상기 인증 정보를 이용하여 상기 인증 요청을 검사하는 단계를 포함하는,
    전자 장치의 사용자 인증 방법.
  2. 제 1 항에 있어서,
    상기 보안 저장 영역은 상기 전자 장치 내부의 요청에 의해서만 액세스될 수 있고, 상기 전자 장치의 외부의 액세스 요청은 거부되는,
    전자 장치의 사용자 인증 방법.
  3. 제 1항에 있어서,
    상기 제2 암호 키를 저장 영역에 저장하는 단계는,
    상기 제2 암호 키를 상기 전자 장치의 고유 아이디(UID)로 암호화하여 상기 보안 저장 영역에 저장하는 단계를 포함하는,
    전자 장치의 사용자 인증 방법.
  4. 제 3항에 있어서,
    상기 저장 영역으로부터 로드된 상기 제2 암호 키를 상기 암호 입력과 조합하여 생성된 암호 키와 상기 인증 정보를 이용하여 상기 인증 요청을 검사하는 단계는,
    상기 저장 영역으로부터 암호화된 제2 암호 키를 로드하고, 상기 전자 장치의 고유 아이디로 상기 암호화된 제2 암호 키를 복호화하는 단계를 포함하는,
    전자 장치의 사용자 인증 방법.
  5. 제 1항에 있어서,
    상기 제3 암호 키는 상기 제1 암호 키와 상기 제2 암호 키를 조합한 문자열로부터 생성된 해시를 포함하는,
    전자 장치의 사용자 인증 방법.
  6. 프로세서;
    보안 저장 영역을 포함하는 스토리지 장치; 및
    상기 프로세서에 의해 실행 가능한 명령어들을 저장하는 메모리를 포함하고, 상기 명령어들은 상기 프로세서에 의해 실행되어,
    사용자로부터 전자 장치의 암호화 명령과, 서로 다른 제1 암호 키 및 제2 암호 키를 제공받는 단계;
    상기 제2 암호 키를 저장 영역에 저장하는 단계;
    상기 제1 암호 키와 제2 암호 키를 조합하여 제3 암호 키를 생성하는 단계;
    상기 제3 암호 키를 암호화하여 인증 키를 포함하는 인증 정보를 생성하고 상기 저장 영역에 저장하는 단계;
    사용자로부터 인증 요청과 암호 입력을 제공받는 단계;
    상기 저장 영역으로부터 로드된 상기 제2 암호 키를 상기 암호 입력과 조합하여 생성된 암호 키와 상기 인증 정보를 이용하여 상기 인증 요청을 검사하는 단계를 포함하는 동작을 실행하는,
    사용자 인증을 수행하는 전자 장치.
  7. 제 6항에 있어서,
    상기 보안 저장 영역은 상기 전자 장치 내부의 요청에 의해서만 액세스될 수 있고, 상기 전자 장치의 외부의 액세스 요청은 거부되는,
    사용자 인증을 수행하는 전자 장치.
  8. 제 6항에 있어서,
    상기 제2 암호 키를 저장 영역에 저장하는 단계는,
    상기 제2 암호 키를 상기 전자 장치의 고유 아이디(UID)로 암호화하여 상기 보안 저장 영역에 저장하는 단계를 포함하는,
    사용자 인증을 수행하는 전자 장치.
  9. 제 8항에 있어서,
    상기 저장 영역으로부터 로드된 상기 제2 암호 키를 상기 암호 입력과 조합하여 생성된 암호 키와 상기 인증 정보를 이용하여 상기 인증 요청을 검사하는 단계는,
    상기 저장 영역으로부터 암호화된 제2 암호 키를 로드하고, 상기 전자 장치의 고유 아이디로 상기 암호화된 제2 암호 키를 복호화하는 단계를 포함하는,
    사용자 인증을 수행하는 전자 장치.
  10. 제 6항에 있어서,
    상기 제3 암호 키는 상기 제1 암호 키와 상기 제2 암호 키를 조합한 문자열로부터 생성된 해시를 포함하는,
    사용자 인증을 수행하는 전자 장치.
  11. 제 1항 내지 제5항의 방법 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 판독 가능한 기록매체.
KR1020220021783A 2022-02-18 2022-02-18 전자 장치의 사용자 인증 방법 및 이를 수행하는 전자 장치 KR20230124434A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220021783A KR20230124434A (ko) 2022-02-18 2022-02-18 전자 장치의 사용자 인증 방법 및 이를 수행하는 전자 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220021783A KR20230124434A (ko) 2022-02-18 2022-02-18 전자 장치의 사용자 인증 방법 및 이를 수행하는 전자 장치

Publications (1)

Publication Number Publication Date
KR20230124434A true KR20230124434A (ko) 2023-08-25

Family

ID=87847260

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220021783A KR20230124434A (ko) 2022-02-18 2022-02-18 전자 장치의 사용자 인증 방법 및 이를 수행하는 전자 장치

Country Status (1)

Country Link
KR (1) KR20230124434A (ko)

Similar Documents

Publication Publication Date Title
US9875368B1 (en) Remote authorization of usage of protected data in trusted execution environments
EP2877955B1 (en) Providing access to encrypted data
US8812860B1 (en) Systems and methods for protecting data stored on removable storage devices by requiring external user authentication
CN112513857A (zh) 可信执行环境中的个性化密码安全访问控制
JP4892470B2 (ja) 汎用認識システムおよび汎用認識方法
US8875258B2 (en) Constraining a login to a subset of access rights
US9660986B2 (en) Secure access method and secure access device for an application program
US20100257578A1 (en) Data access programming model for occasionally connected applications
US20110131418A1 (en) Method of password management and authentication suitable for trusted platform module
KR20100133953A (ko) 데이터를 안전하게 하는 시스템 및 방법
US11277402B2 (en) Two factor authentication using a digital one-time pad
US20090064273A1 (en) Methods and systems for secure data entry and maintenance
US20180053018A1 (en) Methods and systems for facilitating secured access to storage devices
US20190306155A1 (en) Generating cryptographic keys using supplemental authentication data
US9894062B2 (en) Object management for external off-host authentication processing systems
US9819663B1 (en) Data protection file system
Şahan et al. A multi-factor authentication framework for secure access to blockchain
US7694154B2 (en) Method and apparatus for securely executing a background process
KR20230124434A (ko) 전자 장치의 사용자 인증 방법 및 이를 수행하는 전자 장치
TW200846972A (en) Method for generating and using a key for encryption and decryption in a computer device
WO2017020449A1 (zh) 一种指纹读取方法及用户设备
Lee et al. A study on a secure USB mechanism that prevents the exposure of authentication information for smart human care services
KR102028670B1 (ko) 클락 윌슨 모델을 적용한 모바일 장치 및 그것의 동작 방법
KR100952300B1 (ko) 저장매체의 안전한 데이터 관리를 위한 단말 장치, 메모리및 그 방법
US12063210B1 (en) Secure authentication for a virtual computer

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E601 Decision to refuse application