WO2015030341A1 - 가상 계정과 일회용 비밀번호를 이용하는 사용자 인증 장치 및 그 제어 방법 - Google Patents

Abstract

제 1 계정으로의 인증을 수행하는 호스트 전자 장치의 제어 방법이 개시된다. 일 실시 예에 의한 제어 방법은, 상기 제 1 계정을 공유하여 이용하는 적어도 하나의 가상 계정 각각에 대한 적어도 하나의 비밀 키를 로드하여 해시 맵을 생성하는 단계, 상기 제 1 계정으로의 로그인 요청 시점에서 또는 주기적으로, 상기 해시 맵에 포함된 상기 적어도 하나의 비밀 키 각각에 대응되는 가상 계정 정보 및 일회용 비밀 번호를 생성하는 단계, 상기 생성된 일회용 비밀 번호 중 사용자로부터 수신한 제 1 일회용 비밀 번호와 매핑되는 제 2 일회용 비밀 번호를 확인하는 단계 및 상기 제 2 일회용 비밀 번호에 대응하는 가상 계정을 식별하여 상기 로그인을 허용하는 단계를 포함한다.

Description

가상 계정과 일회용 비밀번호를 이용하는 사용자 인증 장치 및 그 제어 방법

본 발명은 가상 계정에 대한 인증을 수행하는 전자 장치 및 그 제어 방법에 관한 것이다.

컴퓨터의 로그인 과정을 포함한 아이티(IT) 관련 대부분의 시스템은, 시스템 사용을 위하여 다양한 사용자의 인증을 이용한다. 특히, 식별자(identification) 및 암호는 사용자 인증을 위한 기본적인 정보들이다.

다만 근래에 들어서, 사전 공격(dictionary attack), 무차별 대입 공격(brute force attack) 등과 같은 다양한 해킹 기술이 개발되면서, 고정된 암호는 보안에 취약하다는 문제점이 지적되어 왔다. 이를 보완하기 위하여 사용자는 주기적으로 암호를 변경하고, 보다 복잡한 암호를 설정하여야 함이 제언되었다.

상술한 문제점의 해결을 위하여 근자에 들어서 일회용 비밀 번호 방식이 활발하게 이용되고 있다. 일회용 비밀 번호는 재 사용이 불가능한 일회용 비밀 번호이다.

다만, 사용 편의 및 업무 편의를 위하여 컴퓨터를 단일 사용자 또는 복수 사용자가 공유하는 경우가 발생할 수 있다. 이러한 경우, 사용자 식별자 및 암호는 여러 사용자들이 기억할 수 있는 쉬운 암호로 설정되거나 또는 복잡한 암호가 설정된 경우라 하더라도 공유 사용자들이 용이하게 접근되는 것이 일반적이다.

상술한 상황에서, 단일 계정에 복수 사용자가 로그인하여 컴퓨터를 이용할 수 있으나, 이러한 경우 누가 실제 사용자인지 확인할 수 없는 보안 문제가 발생할 수 있다. 이에 따라, 단일 계정을 공유하는 복수 사용자가 존재하는 경우의 실제 사용자를 식별할 수 있는 방법 개발이 요청된다. 특히, 기존의 일회용 비밀 번호와 연관되어 실제 사용자 식별할 수 있는 방법의 개발이 요청된다.

아래의 설명은, 상술한 기술 개발 요청에 응답한 것으로, 일회용 비밀 번호에 기초하여 실제 계정을 공유하는 복수 사용자 중 실제 사용자를 식별하는 호스트 전자 장치 및 그 제어 방법이 제공된다.

상술한 바를 달성하기 위하여, 제 1 계정으로의 인증을 수행하는 호스트 전자 장치의 제어 방법은, 상기 제 1 계정을 공유하여 이용하는 적어도 하나의 가상 계정 각각에 대한 적어도 하나의 비밀 키를 로드하여 해시 맵을 생성하는 단계; 상기 제 1 계정으로의 로그인 요청 시점에서 또는 주기적으로, 상기 해시 맵에 포함된 상기 적어도 하나의 비밀 키 각각에 대응되는 가상 계정 정보 및 일회용 비밀 번호를 생성하는 단계; 상기 생성된 일회용 비밀 번호 중 사용자로부터 수신한 제 1 일회용 비밀 번호와 매핑되는 제 2 일회용 비밀 번호를 확인하는 단계; 및 상기 제 2 일회용 비밀 번호에 대응하는 가상 계정을 식별하여 상기 로그인을 허용하는 단계를 포함할 수 있다.

다른 실시 예에 의한 상기 적어도 하나의 비밀 키의 각각은, 사용자 이름, 이메일 주소 및 사용자 관련 정보 중 적어도 하나를 암호화 및 인코딩하여 생성될 수 있다.

또 다른 실시 예에 의한 제어 방법은, 상기 적어도 하나의 비밀 키 각각을, 상기 적어도 하나의 비밀 키 각각에 대응하는 클라이언트 전자 장치와 공유하는 단계를 더 포함할 수 있다.

또 다른 실시 예에 의한 제어 방법의, 상기 비밀 키를 공유하는 단계는, 상대적으로 긴 제 1 비밀 키를 생성하는 단계; 상기 생성된 제 1 비밀 키를 이용하여 H-OTP(HMAC based one time password)를 생성하는 단계; 및 생성된 n번째 H-OTP를 상대적으로 짧은 제 2 비밀 키로 설정하여 공유하는 단계를 포함할 수 있다.

또 다른 실시 예에 의한 제어 방법의, 상기 비밀 키를 공유하는 단계는, 상기 가상 계정 대응 텍스트 비밀 키 및 상기 가상 계정 대응 QR 코드 중 적어도 하나를 생성하는 단계; 및 상기 가상 계정 대응 비밀 키 및 상기 가상 계정 대응 QR 코드 중 적어도 하나를 표시하는 단계를 포함할 수 있다.

또 다른 실시 예에 의한 제어 방법의 상기 비밀 키를 공유하는 단계는, 상기 가상 계정 대응 텍스트 비밀 키를 암호화하여 표시할 수 있다.

또 다른 실시 예에 의한 제어 방법의 상기 해시 맵을 생성하는 단계는, 가상 계정 각각에 대한 일회용 비밀 번호, 비밀 키 및 가상 계정 정보에 대한 해시 맵을 생성할 수 있다.

또 다른 실시 예에 의한 제어 방법의 상기 로그인을 허용하는 단계는, 상기 제 1 일회용 비밀 번호 및 상기 해시 맵을 비교하는 단계; 및 상기 비교 결과에 따라서 상기 로그인 가부를 결정하는 단계를 포함할 수 있다.

또 다른 실시 예에 의한 제어 방법은 상기 제 1 일회용 비밀 번호가 상기 해시 맵에 존재하면, 상기 제 1 계정에 대한 인증을 진행하는 단계를 더 포함할 수 있다.

또 다른 실시 예에 의한 제어 방법은, 상기 제 1 계정에 대한 인증이 성공 또는 실패와 관련되는 해당 가상 계정의 로그(log) 정보를 저장하는 단계를 더 포함할 수도 있다.

또 다른 실시 예에 의한 제어 방법은, 상기 가상 계정을 생성하는 단계를 더 포함할 수 있다.

또 다른 실시 예에 의한 제어 방법은, 상기 적어도 하나의 가상 계정 및 상기 적어도 하나의 가상 계정 각각에 대응하는 비밀 키 사이의 관계를 저장하는 단계를 더 포함할 수 있다.

또 다른 실시 예에 의한 제어 방법은, 상기 가상 계정 각각에 대한 권한을 설정하는 단계를 더 포함할 수 있다.

또 다른 실시 예에 의한 제어 방법에서, 상기 제 1 일회용 비밀 번호는 사용자 인터페이스를 통한 입력이며, 상기 사용자 인터페이스는, 상기 제 1 일회용 비밀 번호와 함께, 상기 제 1 계정 및 상기 제 1 계정에 대응하는 비밀 번호 중 적어도 하나를 입력할 수 있도록 구성될 수 있다.

다른 측면에 의한 제 1 계정으로의 인증을 수행하는 호스트 전자 장치는, 상기 제 1 계정을 공유하여 이용하는 적어도 하나의 가상 계정 각각에 대한 적어도 하나의 비밀 키를 저장하는 저장부; 상기 적어도 하나의 비밀 키를 로드하여 해시 맵을 생성하는 가상 계정 관리부; 상기 제 1 계정으로의 로그인 요청 시점에서 또는 주기적으로 상기 해시 맵에 포함된 상기 적어도 하나의 비밀 키 각각에 대응되는 가상 계정 정보 및 일회용 비밀 번호를 생성하는 사용자 인증 처리부; 및 사용자로부터 제 1 일회용 비밀 번호를 수신하는 입력부를 포함하고, 상기 사용자 인증 처리부는, 상기 생성된 일회용 비밀 번호 중 사용자로부터 수신한 제 1 일회용 비밀 번호와 매핑되는 제 2 일회용 비밀 번호를 확인하고, 상기 제 2 일회용 비밀 번호에 대응하는 가상 계정을 식별하여 상기 로그인을 허용할 수 있다.

다른 실시 예에 의한 호스트 전자 장치에서, 상기 적어도 하나의 비밀 키의 각각은, 사용자 이름, 이메일 주소 및 사용자 관련 정보 중 적어도 하나를 암호화 및 인코딩하여 생성될 수 있다.

또 다른 실시 예에 의한 호스트 전자 장치는, 상기 적어도 하나의 비밀 키 각각을 공유하는 표시부를 더 포함할 수 있다.

또 다른 실시 예에 의한 호스트 전자 장치의 상기 사용자 인증 처리부는, 상대적으로 긴 제 1 비밀 키를 생성하고, 상기 생성된 제 1 비밀 키를 이용하여 H-OTP(HMAC based one time password)를 생성하고, 생성된 n번째 H-OTP를 상대적으로 짧은 제 2 비밀 키로 설정하며, 상기 표시부는, 상기 제 2 비밀 키를 공유할 수 있다.

또 다른 실시 예에 의한 호스트 전자 장치의, 상기 표시부는, 상기 가상 계정 대응 텍스트 비밀 키 및 상기 가상 계정 대응 QR 코드 중 적어도 하나를 표시할 수 있다.

또 다른 실시 예에 의한 호스트 전자 장치의, 상기 표시부는, 상기 가상 계정 대응 텍스트 비밀 키를 암호화하여 표시할 수 있다.

또 다른 실시 예에 의한 호스트 전자 장치의, 상기 가상 계정 관리부는, 가상 계정 각각에 대한 일회용 비밀 번호, 비밀 키 및 가상 계정 정보에 대한 해시 맵을 생성할 수 있다.

또 다른 실시 예에 의한 호스트 전자 장치의, 상기 사용자 인증 처리부는, 상기 제 1 일회용 비밀 번호 및 상기 해시 맵을 비교하고, 상기 비교 결과에 따라서 상기 로그인 가부를 결정할 수 있다.

또 다른 실시 예에 의한 호스트 전자 장치의, 상기 사용자 인증 처리부는, 상기 제 1 일회용 비밀 번호가 상기 해시 맵에 존재하면, 상기 제 1 계정에 대한 인증을 진행할 수 있다.

또 다른 실시 예에 의한 호스트 전자 장치의, 상기 저장부는, 상기 제 1 계정에 대한 인증이 성공 또는 실패와 관련되는 해당 가상 계정의 로그(log) 정보를 저장하는 로그 저장부를 포함할 수 있다.

또 다른 실시 예에 의한 호스트 전자 장치의, 상기 가상 계정 관리부는, 상기 가상 계정을 생성할 수 있다.

또 다른 실시 예에 의한 호스트 전자 장치의, 상기 저장부는, 상기 적어도 하나의 가상 계정 및 상기 적어도 하나의 가상 계정 각각에 대응하는 비밀 키 사이의 관계를 저장하는 비밀 키 저장부를 포함할 수 있다.

또 다른 실시 예에 의한 호스트 전자 장치의, 상기 가상 계정 관리부는, 상기 가상 계정 각각에 대한 권한을 설정할 수 있다.

또 다른 실시 예에 의한 호스트 전자 장치의, 상기 제 1 일회용 비밀 번호는 사용자 인터페이스를 통한 입력이며, 상기 사용자 인터페이스는, 상기 제 1 일회용 비밀 번호와 함께, 상기 제 1 계정 및 상기 제 1 계정에 대응하는 비밀 번호 중 적어도 하나를 입력할 수 있도록 구성될 수 있다.

도 1은 일 실시 예에 의한 호스트 전자 장치 및 클라이언트 전자 장치를 포함하는 로그인(log-in) 시스템을 도시한다.

도 2는 일 실시 예에 따른 호스트 전자 장치의 제어 방법을 설명하는 흐름도이다.

도 3은 일 실시 예에 따른 호스트 전자 장치의 제어 방법을 설명하는 흐름도이다.

도 4는, 일 실시 예에 따른 호스트 전자 장치 및 게스트 전자 장치 사이의 비밀 키 공유 방법을 설명하기 위한 흐름도이다.

도 5a 및 5b는 다양한 실시 예들에 의한 호스트 전자 장치 및 게스트 전자 장치의 개념도들이다.

도 6은 다른 실시 예에 의한 호스트 전자 장치 및 게스트 전자 장치 사이의 비밀 키 공유 방법을 설명하는 흐름도이다.

도 7a 및 7b는 다양한 실시 예들에 의한 호스트 전자 장치 및 게스트 전자 장치의 개념도들이다.

도 8은 일 실시 예에 따른 호스트 전자 장치 및 게스트 전자 장치의 가상 계정 인증을 처리 하는 방법을 설명하는 흐름도이다.

도 9는 일 실시 예에 의한 클라이언트 전자 장치의 개념도이다.

도 10a 내지 10d는 다양한 실시 예들에 의한 인증 정보를 입력할 수 있는 사용자 인터페이스의 개념도들이다.

도 11은 일 실시 예에 따른 인증 절차를 설명하는 흐름도이다.

도 12는 다른 실시 예에 의한 호스트 전자 장치의 동작을 설명하는 흐름도이다.

도 13a는 일 실시 예에 의한 비밀 키 레코드 구조를 도시한다.

도 13b는 일 실시 예에 의한 비밀 키 레코드 샘플을 도시한다.

도 14는 일 실시 예에 따른 로그 정보의 개념도이다.

도 15a 내지 15c는 다양한 실시 예들에 의한 해시 맵의 개념도들이다.

도 16은 일 실시 예에 의한 호스트 전자 장치의 블록도이다.

도 1은 일 실시 예에 의한 호스트 전자 장치 및 클라이언트 전자 장치를 포함하는 로그인(log-in) 시스템을 도시한다.

도 1에 도시된 바와 같이, 호스트 전자 장치(1)에는 제 1 계정(10) 및 제 2 계정(20)이 등록될 수 있다. 여기에서, 호스트 전자 장치(1)는, 예를 들어 컴퓨터와 같은 적어도 하나의 계정에 대한 인증을 수행할 수 있는 전자 장치 또는 소프트웨어 시스템일 수 있다. 호스트 전자 장치(1)는, 적어도 하나의 계정을 등록할 수 있다. 도 1에서는, 제 1 계정(10) 및 제 2 계정(20)의 두 개의 계정이 등록되어 있는 것과 같이 도시되어 있지만, 이는 단순히 예시적인 것으로, 등록된 계정의 개수에는 제한이 없음을 당업자는 용이하게 이해할 수 있을 것이다. 예를 들어, 제 1 계정(10)은 관리자(administrator) 계정일 수 있으며, 제 2 계정(20)은 제 1 사용자(user1) 계정일 수 있다.

호스트 전자 장치(1)는 등록된 적어도 하나 각각에 대한 인증을 수행하는 알고리즘, 프로그램 또는 어플리케이션을 저장할 수 있다. 호스트 전자 장치(1)는, 예를 들어 계정 식별자(identification)를 입력할 수 있는 사용자 인터페이스(user interface)를 제공할 수 있다. 또는, 호스트 전자 장치(1)는 계정 식별자 및 계정 식별자에 대응하는 비밀번호(password)를 입력할 수 있는 사용자 인터페이스를 제공할 수도 있다. 한편, 더욱 상세하게 후술할 것으로, 호스트 전자 장치(1)는 일회용 비밀번호(one time password, OTP)를 입력할 수 있는 사용자 인터페이스를 제공할 수도 있다.

호스트 전자 장치(1)는 사용자 인터페이스에 입력된 인증 정보에 기초하여 인증을 수행할 수 있다. 예를 들어, 호스트 전자 장치(1)는 입력된 계정 식별자에 대응하는 계정에 대한 인증을 수행할 수 있다. 호스트 전자 장치(1)는 입력된 계정 식별자에 대응하는 비밀 번호를 기설정된 비밀 번호와 비교할 수 있다. 호스트 전자 장치(1)는 입력된 비밀 번호가 기설정된 비밀 번호와 동일한 경우에, 해당 계정에 대한 로그인을 허용할 수 있다.

호스트 전자 장치(1)는 등록된 계정 각각에 대하여 상이한 인증 절차를 수행할 수 있다. 예를 들어, 제 1 계정(10) 및 제 2 계정(20) 각각에 대하여 상이한 비밀 번호가 설정될 수 있다. 제 1 계정(10)에는 제 1 비밀 번호가 설정되고, 제 2 계정(20)에는 제 2 비밀 번호가 설정될 수 있으며, 호스트 전자 장치(1)는 제 1 계정(10)에 대하여 제 2 비밀 번호가 입력된 경우, 로그인을 불허할 수 있다. 호스트 전자 장치(1)는 추가적으로 일회용 비밀 번호를 더 입력받아 인증에 이용할 수 있으며, 이에 대하여서는 더욱 상세하게 후술하도록 한다.

한편, 호스트 전자 장치(1)는 로그인된 계정에 따라서 상이한 권한 또는 화면을 제공할 수 있다. 예를 들어, 제 1 계정이 관리자 계정이며, 제 1 계정에 대하여 로그인이 진행된 경우, 호스트 전자 장치(1)는 관리자 권한을 사용자에게 부여할 수 있다. 아울러, 호스트 전자 장치(1)는 제 1 계정에 대응하여 저장된 화면을 표시할 수 있다. 한편, 제 2 계정인 제 1 사용자에 대하여 로그인이 진행된 경우, 호스트 전자 장치(1)는 제 1 사용자의 권한을 사용자에게 부여할 수 있다. 제 1 사용자의 권한은 관리자 권한보다 제한적일 수도 있다. 아울러, 호스트 전자 장치(1)는 제 2 계정에 대응하여 저장된 화면을 표시할 수 있으며, 제 1 계정에 대응하여 저장된 화면 및 제 2 계정에 대응하여 저장된 화면은 상이할 수 있다.

상술한 바와 같이, 호스트 전자 장치(1)는 다른 계정에 대하여 마치 다른 전자 장치와 같이 동작할 수 있다.

한편, 복수의 사용자들이 하나의 계정을 공유하여 이용할 수 있다. 도 1에서는, 제 1 사용자(101), 제 2 사용자(102) 및 제 3 사용자(103)가 제 1 계정(10)을 공유하여 이용한다. 제 4 사용자(104)및 제 5 사용자(105)는 제 2 계정(2)을 공유하여 이용한다. 제 1 사용자(101) 내지 제 3 사용자(103)는 제 1 계정(10)의 계정 식별자 및 비밀 번호를 인지할 수 있다. 제 4 사용자(104) 및 제 5 사용자(105)는 제 2 계정(20)의 계정 식별자 및 비밀 번호를 인지할 수 있다.

상술한 바에 따라서, 제 1 사용자(101) 내지 제 3 사용자(103)는 제 1 계정으로 로그인하여 호스트 전자 장치(1)를 이용할 수 있다. 또한, 제 4 사용자(104) 및 제 5 사용자(105)는 제 2 계정으로 로그인하여 호스트 전자 장치(1)를 이용할 수 있다.

한편, 제 1 사용자(101) 내지 제 5 사용자(105) 각각은 제 1 클라이언트 전자 장치(111) 내지 제 5 클라이언트 전자 장치(115)를 소지할 수 있다. 제 1 클라이언트 전자 장치(111) 내지 제 5 클라이언트 전자 장치(115)는, 예를 들어 스마트폰, 태블릿 PC, PDA 등과 같은 이동 단말기로 구현될 수 있으나, 더욱 상세하게 후술할 일회용 비밀 번호를 생성할 수 있고, 생성된 비밀 번호를 표시할 수 있는 장치라면 제한이 없다.

제 1 클라이언트 전자 장치(111) 내지 제 5 클라이언트 전자 장치(115) 각각은, 호스트 전자 장치(1)와 비밀 키를 공유할 수 있다. 여기에서, 비밀 키는 예를 들어 사용자 이름, 사용자 이메일 주소와 같은 사용자 정보에 기초하여 생성될 수 있으며, 클라이언트 전자 장치(111 내지 115)마다 상이하게 설정될 수 있다. 호스트 전자 장치(1)는 클라이언트 전자 장치(111 내지 115)마다 상이한 비밀 키를 생성하고, 이를 표시할 수 있다. 사용자는 표시되는 비밀 키를 확인하고, 이를 소지한 클라이언트 전자 장치에 입력할 수 있고, 이에 따라 비밀 키가 공유될 수 있다. 호스트 전자 장치(1)는 문자 또는 QR 코드 등 다양한 방식으로 비밀 키를 표시할 수 있으며, 이에 대하여서는 더욱 상세하게 후술하도록 한다.

제 1 클라이언트 전자 장치(111) 내지 제 5 클라이언트 전자 장치(115)는 공유한 비밀 키에 기초하여 일회용 비밀 번호를 생성할 수 있다. 제 1 클라이언트 전자 장치(111) 내지 제 5 클라이언트 전자 장치(115)에서 생성된 일회용 비밀 번호는 상이할 수 있다. 제 1 클라이언트 전자 장치(111) 내지 제 5 클라이언트 전자 장치(115)에서 생성된 일회용 비밀 번호는 상이한 비밀 키에 기초하여 생성되기 때문에, 상이하게 설정될 수 있다. 제 1 클라이언트 전자 장치(111) 내지 제 5 클라이언트 전자 장치(115)는 생성한 일회용 비밀 번호를 표시할 수 있다.

사용자(101 내지 105)는, 소지한 클라이언트 전자 장치(111 내지 115)에 표시된 일회용 비밀 번호를 확인할 수 있다. 사용자(101 내지 105)는 확인한 일회용 비밀 번호를 호스트 전자 장치(1)에 입력할 수 있다. 호스트 전자 장치(1)는 입력된 일회용 비밀 번호에 기초하여 어떠한 사용자가 로그인한지를 판단할 수 있다.

예를 들어, 제 2 사용자(102)가 제 1 계정(10)에 로그인하는 과정을 상정하도록 한다. 호스트 전자 장치(1)는 제 1 계정(10)에 대한 로그인 과정으로는 제 1 사용자(101) 내지 제 3 사용자(103) 중 어떠한 실 사용자가 로그인한지를 판단할 수 없다.

호스트 전자 장치(1)는 상술한 바와 같이 제 1 사용자(101) 내지 제 3 사용자(103) 각각에 대한 비밀 키를 생성하여, 제 1 클라이언트 전자 장치(111) 내지 제 3 클라이언트 전자 장치(113)와 공유할 수 있다. 제 2 클라이언트 전자 장치(112)는 공유한 비밀 키에 기초하여 일회용 비밀 번호를 생성하여 표시할 수 있다. 제 2 사용자(102)는 일회용 비밀 번호를 호스트 전자 장치(1)에 입력할 수 있다. 호스트 전자 장치(1)는 입력된 일회용 비밀 번호에 기초하여 제 1 계정에 대하여 로그인한 실제 사용자가 제 2 사용자(102)임을 판단할 수 있다.

호스트 전자 장치(1)는 제 2 사용자(102)가 로그인하였음을 로그 정보로서 저장할 수 있다.

도 2는 일 실시 예에 따른 호스트 전자 장치의 제어 방법을 설명하는 흐름도이다.

단계 210에서, 호스트 전자 장치는 제 1 계정을 이용하는 적어도 하나의 가상 계정을 생성할 수 있다. 여기에서, 가상 계정은 제 1 계정을 공유하는 적어도 하나의 계정을 의미할 수 있다. 예를 들어, 도 1의 실시 예에 의한 호스트 전자 장치는, 제 1 계정(10)에 대하여 제 1 사용자(101)에 대응하는 제 1 가상 계정, 제 2 사용자(102)에 대응하는 제 2 가상 계정 및 제 3 사용자(103)에 대응하는 제 3 가상 계정을 생성할 수 있다.

가상 계정은, 시스템에서 관리되는 실제 계정이 아닌 사용자 정보에 기초하여 실제 사용자를 구분하기 위한 계정을 의미할 수 있다. 예를 들어, 가상 계정은 OS에 등록된 실제 계정과 별도로 관리될 수 있으며, 하나의 실제 계정에 복수 개의 가상 계정이 매핑될 수 있다. 특히, 가상 계정은 사용자가 기억할 필요 없이 호스트 전자 장치에서만 관리될 수 있다. 사용자는 일회용 비밀 번호만을 입력할 뿐, 가상 계정을 입력할 필요가 없어, 사용자 편의가 증대될 수 있다. 더욱 상세하게 후술할 것으로, 사용자는 일회용 비밀 번호만을 입력하여 로그인이 가능하며, 이러한 경우에는 실제 계정 식별자 및 실제 계정 대응 비밀 번호도 기억하지 않아도 되어 사용자 편의가 더욱 증대될 수도 있다.

가상 계정은, 사용자 이름, 사용자 이메일 주소 및 사용자 관련 정보 중 적어도 하나를 포함할 수 있다. 가상 계정은, 사용자 이름, 사용자 이메일 주소 및 사용자 관련 정보의 연속, 예를 들어 사용자 이름 + 사용자 이메일 주소 + 사용자 관련 정보의 형태로 구현될 수 있다.

단계 220에서, 호스트 전자 장치는 가상 계정 및 일회용 비밀 번호 관계를 저장할 수 있다. 일 실시 예에서, 호스트 전자 장치는 가상 계정 및 비밀 키 관계를 저장할 수 있다. 호스트 전자 장치는, 예를 들어 제 2 가상 계정 및 제 2 가상 계정에 대응하는 비밀 키 관계를 저장할 수 있다.

단계 230에서, 호스트 전자 장치는 일회용 비밀 번호를 포함하는 인증 정보를 입력받을 수 있다. 인증 정보는, 일회용 비밀 번호를 포함하며, 추가적으로 실제 계정 식별자 및 대응 비밀 번호 중 적어도 하나를 더 포함할 수도 있다. 호스트 전자 장치는 인증 정보를 입력하도록 하는 사용자 인터페이스를 표시할 수 있다. 사용자는 사용자 인터페이스에 일회용 비밀 번호를 포함하는 인증 정보를 입력할 수 있다.

단계 240에서, 호스트 전자 장치는 인증 정보에 포함된 일회용 비밀 번호와, 저장된 가상 계정 및 일회용 비밀 번호 관계에 기초하여 가상 계정 인증을 처리할 수 있다. 예를 들어, 호스트 전자 장치는 제 2 가상 계정에 대응하는 비밀 키에 기초하여 일회용 비밀 번호를 생성할 수 있다. 호스트 전자 장치는 인증 정보에 포함된 일회용 비밀 번호를 생성된 일회용 비밀 번호와 비교할 수 있다. 호스트 전자 장치는 인증 정보에 포함된 일회용 비밀 번호가, 제 2 가상 계정에 대응하는 생성된 일회용 비밀 번호와 일치하는 것을 판단할 수 있다. 이에 따라, 호스트 전자 장치는 로그인한 실 사용자가 제 2 사용자임을 판단할 수 있다.

종래의 일회용 비밀 번호는 단순히 보안 인증에만 이용되었지만, 실시 예에 따른 일회용 비밀 번호는 실제 사용자 구분 및 인증에 이용될 수 있다. 즉, 실시 예에 따른 일회용 비밀 번호는 사용자 인증 코드로서 동작할 수 있다.

도 3은 일 실시 예에 따른 호스트 전자 장치의 제어 방법을 설명하는 흐름도이다.

310 단계에서, 호스트 전자 장치는 제 1 계정을 이용하는 가상 계정을 생성할 수 있다. 제 1 계정, 즉 실제 계정을 이용하는 적어도 하나의 사용자들은 가상 계정을 기등록할 수 있다. 예를 들어, 사용자들은 사용자 이름, 사용자 이메일 주소, 사용자 관련 정보 및 사용자 소지 클라이언트 전자 장치 식별 정보 등을 기등록할 수 있다.

320 단계에서, 호스트 전자 장치는 제 1 계정을 이용하는 가상 계정 각각에 대응하는 클라이언트 전자 장치를 확인할 수 있다. 호스트 전자 장치는, 클라이언트 전자 장치에 일회용 비밀 번호 생성 알고리즘, 프로그램 또는 어플리케이션을 전송할 수 있다.

330 단계에서, 호스트 전자 장치는 클라이언트 전자 장치와 비밀 키를 공유할 수 있다. 호스트 전자 장치는 비밀 키를 생성하여 표시할 수 있다. 클라이언트 전자 장치는, 비밀 키를 입력할 수 있는 사용자 인터페이스를 표시할 수 있으며, 사용자는 호스트 전자 장치에 표시되는 비밀 키를 확인하여 클라이언트 전자 장치에 입력할 수 있다.

340 단계에서, 호스트 전자 장치는 가상 계정 및 비밀 키 사이의 관계를 저장할 수 있다.

도 4는, 일 실시 예에 따른 호스트 전자 장치 및 게스트 전자 장치 사이의 비밀 키 공유 방법을 설명하기 위한 흐름도이다. 도 4의 비밀 키 공유 방법은, 도 5a 및 5b를 참조하여 더욱 상세하게 설명하도록 하며, 도 5a 및 5b는 다양한 실시 예들에 의한 호스트 전자 장치 및 게스트 전자 장치의 개념도들이다.

단계 401에서, 게스트 전자 장치(450)는 가상 계정 등록을 요청할 수 있다. 예를 들어, 게스트 전자 장치(450)는, 게스트 전자 장치(450)의 소유자가 호스트 전자 장치(400)의 사용자로 등록되어 있음을 인증한 후, 일회용 비밀 번호를 생성할 수 있는 프로그램 또는 어플리케이션을 다운로드받을 수 있다.

단계 402에서, 호스트 전자 장치(400)는 가상 계정을 생성하여 관리할 수 있다. 아울러, 단계 403에서, 호스트 전자 장치(400)는 가상 계정 대응 비밀 키를 생성할 수 있다. 여기에서, 비밀 키는 사용자 이름, 사용자 이메일 주소 및 사용자 관련 정보 중 적어도 하나를 암호화 및 인코딩하여 생성될 수 있다.

단계 404에서, 호스트 전자 장치(400)는 생성된 비밀 키를 표시할 수 있다. 호스트 전자 장치(400)는 예를 들어, 도 5a에서와 같이 생성된 비밀키를 표시할 수 있다. 한편, 호스트 전자 장치는, 생성된 비밀 키를 다시 암호화 및 인코딩하여, 도 5a에 도시된 비밀키와 비교하여 상대적으로 짧은 길이의 비밀 키를 재생성하여 표시할 수도 있다.

단계 405에서, 게스트 전자 장치(450)는 비밀 키를 입력받을 수 있다. 예를 들어, 오프라인에서 사용자는 호스트 전자 장치(400)에서 표시되는 비밀 키를 확인할 수 있다. 게스트 전자 장치(450)는 비밀 키를 입력할 수 있는 사용자 인터페이스를 제공할 수 있다. 예를 들어, 도 5b에서와 같이, 게스트 전자 장치(450)는 비밀키 입력 창(460) 및 자판(461)을 포함하는 사용자 인터페이스를 표시할 수 있다. 사용자는, 자판(461)에서 표시되는 알파벳 키를 지정하여, 호스트 전자 장치(400)에 표시되는 비밀 키를 입력할 수 있다. 게스트 전자 장치(450)는 비밀 키 입력 창(460) 상에 사용자가 입력한 비밀 키를 표시할 수 있으며, 이에 따라 사용자가 비밀 키를 올바르게 입력하였는지를 인식할 수 있도록 할 수 있다.

단계 406에서, 호스트 전자 장치(400) 및 게스트 전자 장치(450)는 비밀 키를 공유할 수 있다.

도 6은 다른 실시 예에 의한 호스트 전자 장치 및 게스트 전자 장치 사이의 비밀 키 공유 방법을 설명하는 흐름도이다. 도 6의 비밀 키 공유 방법은, 도 7a 및 7b를 참조하여 더욱 상세하게 설명하도록 하며, 도 7a 및 7b는 다양한 실시 예들에 의한 호스트 전자 장치 및 게스트 전자 장치의 개념도들이다.

단계 601에서, 게스트 전자 장치(450)는 가상 계정 등록을 요청할 수 있다. 예를 들어, 게스트 전자 장치(450)는, 게스트 전자 장치(450)의 소유자가 호스트 전자 장치(400)의 사용자로 등록되어 있음을 인증한 후, 일회용 비밀 번호를 생성할 수 있는 프로그램 또는 어플리케이션을 다운로드받을 수 있다.

단계 602에서, 호스트 전자 장치(400)는 가상 계정을 생성하여 관리할 수 있다. 아울러, 단계 603에서, 호스트 전자 장치(400)는 가상 계정 대응 비밀 키를 생성할 수 있다. 여기에서, 비밀 키는 사용자 이름, 사용자 이메일 주소 및 사용자 관련 정보 중 적어도 하나를 암호화 및 인코딩하여 생성될 수 있다. 아울러, 호스트 전자 장치(400)는 생성된 비밀 키에 대응하는 QR(quick response) 코드를 생성할 수도 있다.

단계 604에서, 호스트 전자 장치(400)는 생성된 비밀 키 및 QR 코드 중 적어도 하나를 표시할 수 있다. 호스트 전자 장치(400)는 예를 들어, 도 7a에서와 같이 생성된 QR 코드(701)를 표시할 수 있다.

단계 605에서, 게스트 전자 장치(450)는 비밀 키를 입력받을 수 있다. 예를 들어, 오프라인에서 게스트 전자 장치(450)는 호스트 전자 장치(400)에서 표시되는 QR 코드를 촬영할 수 있다. 도 7a에서와 같이, 게스트 전자 장치(450)는 전경 이미지를 수집할 수 있는 카메라 모듈(470)을 포함할 수 있다. 사용자는, 카메라 모듈(470)을 이용하여 QR 코드(701)를 촬영할 수 있다.

단계 606에서, 호스트 전자 장치(400) 및 게스트 전자 장치(450)는 비밀 키를 공유할 수 있다. 도 7b에서와 같이, 게스트 전자 장치(450)는 촬영된 QR 코드(702)를 저장할 수 있으며, 이에 따라 호스트 전자 장치(400) 및 게스트 전자 장치(450) 각각은 동일한 비밀 키를 공유할 수 있다.

도 8은 일 실시 예에 따른 호스트 전자 장치 및 게스트 전자 장치의 가상 계정 인증을 처리 하는 방법을 설명하는 흐름도이다.

단계 801에서, 게스트 전자 장치(450)는 저장하고 있는 비밀 키에 기초하여 일회용 비밀 번호를 생성할 수 있다. 게스트 전자 장치(450)는 호스트 전자 장치(400)와 동일한 일회용 비밀 번호 생성 알고리즘을 이용하여 일회용 비밀 번호를 생성할 수 있다. 게스트 전자 장치(450)는, 예를 들어 RFC4226(HMAC-based one time password algorithm) 또는 RFC6238(time-based one time password algorithm)에 기초하여 일회용 비밀 번호를 생성할 수 있다.

게스트 전자 장치(450)는 예를 들어 비밀 키를 이용하여 표준 알고리즘에 기초하여 주기적으로 6 내지 10자리 숫자를 일회용 비밀 번호로서 발생시킬 수 있다.

단계 802에서, 호스트 전자 장치(400)는 가상 계정 및 비밀 키 관계를 로드할 수 있다. 호스트 전자 장치(400)는 가상 계정 각각의 비밀 키만을 로드할 수도 있다. 상술한 바에서, 비밀 키는 가상 계정 정보, 예를 들어 사용자 이름, 사용자 이메일 주소 및 사용자 관련 정보에 기초하여 생성되었으므로, 호스트 전자 장치(400)는 비밀 키만을 로드하여 인증에 이용할 수도 있다.

게스트 전자 장치(450)의 소유자는 게스트 전자 장치(450)에 의하여 생성되어 표시된 일회용 비밀 번호를 확인할 수 있다. 게스트 전자 장치(450)의 소유자는, 확인한 일회용 비밀 번호를 포함하는 인증 정보를 호스트 전자 장치에 입력(단계 803,804)할 수 있다.

단기 805에서, 호스트 전자 장치(400)는 가상 계정 및 일회용 비밀 번호 관계를 생성할 수 있다. 예를 들어, 호스트 전자 장치(400)는 가상 계정 각각에 대한 비밀 키에 기초하여, 가상 계정 각각에 대한 일회용 비밀 번호를 생성할 수 있다. 호스트 전자 장치(400)는 인증 정보가 입력되는 시점에서, 일회용 비밀 번호를 생성할 수 있다. 호스트 전자 장치(400)는 일회용 비밀 번호를 동적으로 생성할 수 있다. 예를 들어, 호스트 전자 장치(400)는 주기적 또는 비주기적으로 일회용 비밀 번호를 재생성할 수 있으며, 재생성된 일회용 비밀 번호를 갱신할 수 있다.

단계 806에서, 호스트 전자 장치(400)는 각각의 가상 계정마다 생성한 일회용 비밀 번호와, 인증 정보에 포함된 비밀 번호를 비교하여, 가상 계정 인증을 처리할 수 있다.

예를 들어, 호스트 전자 장치(400)는 제 1 가상 계정 및 제 2 가상 계정을 생성 및 관리할 수 있다. 아울러, 호스트 전자 장치(400)는 제 1 가상 계정에 대응하는 제 1 비밀 키 및 제 2 가상 계정에 대응하는 제 2 비밀 키를 저장할 수 있다. 한편, 제 2 사용자는 제 2 비밀 키를 공유할 수 있으며, 제 2 비밀 키에 대응하여 생성된 제 2 일회용 비밀 번호를 포함하는 인증 정보를 호스트 전자 장치(400)에 입력할 수 있다.

호스트 전자 장치(400)는 인증 정보를 입력할 수 있는 사용자 인터페이스를 제공할 수 있으며, 이에 대하여서는 도 10a 내지 10c를 참조하여 더욱 상세하게 설명하도록 한다.

호스트 전자 장치(400)는 제 1 비밀 키 및 제 2 비밀 키를 로드할 수 있다. 한편, 인증 정보가 입력되면, 호스트 전자 장치(400)는 제 1 비밀 키에 기초하여 제 1 일회용 비밀 번호를 생성하고, 제 2 비밀 키에 기초하여 제 2 일회용 비밀 번호를 생성할 수 있다. 호스트 전자 장치(400)는 인증 정보에 포함된 일회용 비밀 번호를 생성한 일회용 비밀 번호와 비교할 수 있다. 예를 들어, 호스트 전자 장치(400)는 인증 정보에 포함된 제 2 일회용 비밀 번호가, 제 2 비밀 키에 대응하여 생성한 제 2 일회용 비밀 번호와 동일하다는 것을 확인할 수 있다. 이에 따라, 호스트 전자 장치(400)는 제 2 사용자에 대응하는 제 2 가상 계정에 대하여 인증을 처리할 수 있다.

도 9는 일 실시 예에 의한 클라이언트 전자 장치의 개념도이다.

클라이언트 전자 장치(450)는, 상술한 바와 같이 공유된 비밀 키에 기초하여 일회용 비밀 번호를 생성하여 표시할 수 있다. 도 9에서와 같이, 클라이언트 전자 장치(450)는 적어도 하나의 일회용 비밀 번호 정보(901,902)를 생성하여 표시할 수 있다. 도 9의 실시 예에서, 클라이언트 전자 장치(450)는 “홍길동의 개인컴퓨터”라는 실제 계정에 대하여 “873415”라는 일회용 비밀 번호를 생성하였다는 일회용 비밀 번호 정보(901)를 표시할 수 있다. 아울러, 클라이언트 전자 장치(450)는 “7층 간호사실”이라는 실제 계정에 대하여 “341289”라는 일회용 비밀 번호를 생성하였다는 일회용 비밀 번호 정보(902)를 표시할 수 있다. 도 9에서와 같이, 클라이언트 전자 장치(450)는 복수 개의 실제 계정에 대하여 각각 등록될 수 있다.

도 10a 내지 10c는 다양한 실시 예들에 의한 인증 정보를 입력할 수 있는 사용자 인터페이스의 개념도들이다.

도 10a의 실시 예에 의한 사용자 인터페이스는, 실제 계정에 대한 식별자, 실제 계정에 대한 비밀 번호 및 일회용 비밀 번호를 입력할 수 있는 창을 포함할 수 있다. 도 10b의 실시 예에 의한 사용자 인터페이스는, 실제 계정에 대한 식별자 및 일회용 비밀 번호를 입력할 수 있는 창을 포함할 수 있다. 도 10c의 실시 예에 의한 사용자 인터페이스는, 일회용 비밀 번호를 입력할 수 있는 창을 포함할 수 있다. 사용자는 도 10a 내지 10c와 같은 다양한 사용자 인터페이스에서 요구하는 정보를 입력할 수 있으며, 호스트 전자 장치(400)는 입력된 인증 정보에 기초하여 실제 계정 및 가상 계정에 대한 인증을 처리할 수 있다.

도 10a 내지 10c와 같은 다양한 사용자 인터페이스는 그래픽 사용자 인터페이스, 리눅스 또는 유닉스의 콘솔(console)과 같은 텍스트 기반으로 구성될 수 있다. 아울러, 도 10b와 같이 실제 계정에 대한 식별자 및 일회용 비밀 번호만을 입력하는 사용자 인터페이스의 경우, 클라이언트 전자 장치(450)는 내부적으로 실제 계정에 대한 암호를 랜덤(random)하게 생성하여 변경하여 처리할 수 있다. 사용자는 이에 따라 실제 계정에 대한 비밀 번호를 입력하지 않고, 실제 계정에 대한 식별자 및 일회용 비밀 번호만을 입력하여 인증 절차를 수행할 수 있다.

도 10d는 다른 실시 예에 의한 사용자 인터페이스의 개념도이다. 도 10d에 도시된 바와 같이, 호스트 전자 장치(400)는 실제 계정 정보가 아닌 사용자 정보와 일회용 비밀 번호를 입력하는 창을 포함하는 사용자 인터페이스를 제공할 수도 있다. 상술한 바와 같이, 호스트 전자 장치(400)는 일회용 비밀 번호에 기초하여 실제 사용자를 판단할 수 있다. 더욱 상세하게 후술할 것으로, 호스트 전자 장치(400)는 권한 정보에 기초하여 실제 계정에 대한 인증을 진행할 수 있다. 예를 들어, 특정 사용자 정보가 어떠한 실제 계정에 매핑되는지를 호스트 전자 장치(400)는 관리할 수 있다. 이에 따라, 호스트 전자 장치(400)는 사용자 정보 및 일회용 비밀 번호를 인증 정보로서 이용할 수 있다. 사용자는, 사용자가 친숙하게 인지하고 있는 사용자 정보를 인증 정보로 활용할 수 있어, 사용자 편의가 더욱 증대될 수도 있다.

도 10d에서는, 사용자 정보에 "갑돌이"와 같은 사용자 이름을 입력하는 것이 도시되었지만, 이는 예시적인 것으로 사용자 이메일 주소 또는 사용자 관련 정보 또한 인증 정보로서 이용될 수 있다.

도 11은 일 실시 예에 따른 인증 절차를 설명하는 흐름도이다.

단계 1110에서, 호스트 전자 장치(400)는 가상 계정 및 비밀 키 관계를 로드할 수 있다.

단계 1120에서, 호스트 전자 장치(400)는 가상 계정 각각에 대한 비밀 키를 로드하고, 가상 계정 정보를 추출하여 메모리에 해시 맵(hash map) 형태로 로드할 수 있다.

단계 1130에서, 가상 계정 중 하나에 대응하는 사용자는 일회용 비밀 번호를 포함하는 인증 정보를 입력할 수 있다.

단계 1140에서, 사용자가 인증 정보를 입력하는 시점에서, 호스트 전자 장치(400)는 메모리에 로드된 모든 비밀 키를 기초하여 일회용 비밀 번호를 생성할 수 있다.

단계 1150에서, 호스트 전자 장치(400)는 동적으로 일회용 비밀 번호-비밀 키-가상 계정 정보 형태의 해시 맵을 생성할 수 있다.

단계 1160에서, 호스트 전자 장치(400)는 인증 정보에 입력된 일회용 비밀 번호가 해시 맵에 존재하는지 여부를 비교할 수 있다.

단계 1170에서, 호스트 전자 장치(400)는 비교 결과에 기초하여 인증 처리를 수행할 수 있다. 호스트 전자 장치(400)는 비교 결과에 기초하여 로그인을 요청한 실제 사용자가 누구인지를 확인할 수 있으며, 입력된 실제 계정에 대한 식별자 및 비밀 번호에 기초하여 로그인을 수행할 수 있다.

도 12는 다른 실시 예에 의한 호스트 전자 장치의 동작을 설명하는 흐름도이다.

1210 단계에서, 호스트 전자 장치(400)는 일회용 비밀 번호를 수신할 수 있다.

1220 단계에서, 호스트 전자 장치(400)는 가상 계정 비밀 키에 기초하여 일회용 비밀 번호를 생성할 수 있다.

1230 단계에서, 호스트 전자 장치(400)는 생성된 일회용 비밀 번호를 포함하는 해시 맵을 생성할 수 있다.

1240 단계에서, 호스트 전자 장치(400)는 수신한 일회용 비밀 번호가 해시 맵에 존재하는지를 판단할 수 있다.

수신한 일회용 비밀 번호가 해시 맵에 존재하지 않은 경우에는(1240-N), 호스트 전자 장치(400)는 1250 단계에서 인증 실패 메시지를 출력할 수 있다.

수신한 일회용 비밀 번호가 해시 맵에 존재하는 경우에는(1240-Y), 1260 단계에서 호스트 전자 장치(400)는 실제 계정에 대한 인증을 진행할 수 있다. 호스트 전자 장치(400)는 입력된 인증 정보 중 실제 계정에 대한 식별자 및 실제 계정에 대응하는 비밀 번호 중 적어도 하나에 기초하여 실제 계정에 대한 인증을 진행할 수 있다. 한편, 인증 정보가 실제 계정에 대응하는 비밀 번호를 포함하지 않는 경우에는, 호스트 전자 장치(400)는 가상 계정에 부여된 권한 정보에 기초하여 실제 계정에 대한 인증을 진행할 수도 있다. 예를 들어, 제 1 실제 계정에 대하여 등록된 가상 계정이 제 1 가상 계정 및 제 2 가상 계정인 경우를 상정하도록 한다. 이러한 경우, 제 3 가상 계정에 대응하는 사용자가 제 1 실제 계정 및 일회용 비밀 번호를 입력하고 로그인을 시도한 경우, 호스트 전자 장치(400)는 제 3 가상 계정에 제 1 실제 계정에 대한 권한이 부여되지 않은 것을 확인할 수 있다. 호스트 전자 장치(400)는 해당 가상 계정에 대한 로그인을 허용하지 않을 수도 있다.

실제 계정 인증이 실패되는 경우(1270-N), 호스트 전자 장치는 1250 단계에서 인증 실패 메시지를 출력할 수 있다. 1280단계에서, 인증이 성공하면, 호스트 전자 장치(400)는 기저장된 화면을 제공할 수 있다.

도 13a는 일 실시 예에 의한 비밀 키 레코드 구조를 도시한다.

도 13a에 도시된 바와 같이, 호스트 전자 장치(400)는 비밀 키(1301) 및 실제 계정(1302) 사이의 대응 관계를 저장할 수 있으며, 예를 들어 비밀 키 저장소에 저장할 수 있다. 특히, 비밀 키(1301)는 사용자 이름(1303), 사용자 이메일 주소(1304) 및 기타 정보(1305)를 암호화 및 인코딩하여 하나의 필드에 저장될 수 있다. 여기에서, 기타 정보(1305)는 추가적인 사용자 관련 정보일 수 있다.

도 13b는 일 실시 예에 의한 비밀 키 레코드 샘플을 도시한다. 비밀 키 레코드 샘플은 비밀 키(1311,1313,1315,1317,1319,1321) 및 실제 계정(1312,1314,1316,1318,1320,1322)을 포함할 수 있다. 한편, 상술한 바와 같이, 호스트 전자 장치(400)는 상대적으로 긴 비밀 키를 암호화 및 인코딩하여 상대적으로 짧은 비밀 키를 생성할 수 있으며, 생성된 상대적으로 짧은 비밀 키를 클라이언트 전자 장치와 공유하고 저장할 수도 있다.

예를 들어, 호스트 전자 장치(400)는 상대적으로 긴 비밀키를 생성하고, 생성된 비밀 키를 이용하여 H-OTP(HMAC based one time password)를 생성할 수 있다. 호스트 전자 장치(400)는 생성된 n번째 H-OTP를 상대적으로 짧은 비밀 키로 설정하여, 게스트 전자 장치(400)와 공유할 수 있다.

도 14는 일 실시 예에 따른 로그 정보의 개념도이다.

도 14에 도시된 바와 같이, 로그 정보는 일시 정보, 실제 계정 정보, 가상 계정 정보, 로그인 성공/실패 여부를 포함할 수 있다.

도 15a 내지 15c는 다양한 실시 예들에 의한 해시 맵의 개념도들이다.

도 15a는 비밀 키 및 실제 계정에 대한 해시 맵의 개념도이며, 도 15b는 비밀 키로부터 가상 계정의 정보를 추출한 이후의, 비밀 키, 실제 계정 정보 및 가상 계정 정보를 포함하는 해시 맵의 개념도이다. 도 15c는 사용자가 인증 정보를 입력한 시점에서 생성되는 일회용 비밀 번호 및 비밀 키에 대한 해시 맵의 개념도이다. 호스트 전자 장치(400)는 도 15c의 해시 맵에서, 인증 정보에 포함된 일회용 비밀 번호가 존재하는지를 판단하여 로그인 진행 여부를 결정할 수 있다.

도 16은 일 실시 예에 의한 호스트 전자 장치의 블록도이다.

호스트 전자 장치(1600)는 가상 계정 관리부(1610), 입력부(1620), 저장부(1630), 사용자 인증 처리부(1640), 표시부(1660) 및 통신부(1670)를 포함할 수 있다.

가상 계정 관리부(1610)는 실제 계정을 공유하는 적어도 하나의 가상 계정을 등록, 삭제 및 수정할 수 있다. 또는 가상 계정 관리부(1610)는 기 등록된 가상 계정에 대한 비밀 키 재 생성할 수도 있다.

가상 계정 관리부(1610)는 QR 코드 또는 텍스트에 기초하여 비밀 키를 디스플레이하도록 표시부(1660)를 제어할 수도 있다. 여기에서, 비밀 키에는 사용자 이름, 사용자 이메일 주소 및 사용자 관련 정보가 포함될 수 있다.

입력부(1620)는 일회용 비밀 번호를 포함하는 인증 정보를 입력할 수 있다. 사용자는 소지한 클라이언트 전자 장치에 표시되는 일회용 비밀 번호를 확인할 수 있으며, 확인한 일회용 비밀 번호를 포함한 인증 정보를 입력할 수 있다. 한편, 인증 정보는 일회용 비밀 번호 이외에 실제 계정 식별자 및 실제 계정에 대한 비밀 번호 중 적어도 하나를 더 포함할 수도 있다.

표시부(1660)는 인증 정보를 입력받을 수 있는 사용자 인터페이스를 제공할 수 있다. 사용자 인터페이스는 일회용 비밀 번호를 입력받을 수 있도록 구성될 수 있으며, 또는 일회용 비밀 번호 이외에 실제 계정 식별자 및 실제 계정에 대한 비밀 번호 중 적어도 하나를 더 입력받을 수 있도록 구성될 수도 있다.

저장부(1630)는 비밀 키 저장부(1631) 및 로그 저장부(1632)를 포함할 수 있다. 비밀 키 저장부(1631)는, 가상 계정 각각에 대응하는 비밀 키를 저장할 수 있다. 로그 저장부(1632)는, 예를 들어 도 14와 같은 로그 정보를 저장할 수 있다.

사용자 인증 처리부(1640)는 인증 정보에 포함된 실제 계정에 대한 식별자, 실제 계정에 대한 비밀 번호 및 일회용 비밀 번호에 기초하여 일회용 비밀 번호 검증 과정을 처리할 수 있다. 사용자 인증 처리부(1640)는 비밀 키 저장소(1631)에 저장된 가상 계정의 비밀 키를 독출할 수 있다. 사용자 인증 처리부(1640)는 각 비밀 키에 저장된 가상 계정 정보를 추출하여 해시 맵을 생성한다. 사용자 인증 처리부(1640)는 인증 정보가 입력되는 시점에서 또는 주기적으로 모든 비밀 키를 이용하여 일회용 비밀 번호를 생성하여, 일회용 비밀 번호-비밀 키-가상 계정 정보 형태의 해시 맵을 생성할 수 있다. 사용자 인증 처리부(1640)는 인증 정보에 포함된 일회용 비밀 번호가 해시 맵에 존재하는지를 판단할 수 있으며, 존재 여부에 따라 실제 사용자가 누구인지를 확인할 수 있다. 실제 사용자가 확인되면, 사용자 인증 처리부(1640)는 인증 정보에 포함된 실제 계정에 대한 식별자 및 실제 계정에 대한 비밀 번호 중 적어도 하나에 기초하여 로그인을 수행할 수 있다. 한편, 다양한 실시 예들은, 상술한 구성 요소 전부를 포함하지 않고, 일부만을 포함할 수도 있다.

통신부(1670)는 클라이언트 전자 장치와 통신을 수행할 수 있으며, 예를 들어 일회용 비밀 번호 생성 프로그램 또는 어플리케이션을 송신할 수 있다. 또는 통신부(1670)는 클라이언트 전자 장치로부터 가상 계정 등록 요청을 받을 수도 있다.

본 발명의 일실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.

이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.

그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.

Claims (28)

1. 제 1 계정으로의 인증을 수행하는 호스트 전자 장치의 제어 방법에 있어서,

   상기 제 1 계정을 공유하여 이용하는 적어도 하나의 가상 계정 각각에 대한 적어도 하나의 비밀 키를 로드하여 해시 맵을 생성하는 단계;

   상기 제 1 계정으로의 로그인 요청 시점에서 또는 주기적으로, 상기 해시 맵에 포함된 상기 적어도 하나의 비밀 키 각각에 대응되는 가상 계정 정보 및 일회용 비밀 번호를 생성하는 단계;

   상기 생성된 일회용 비밀 번호 중 사용자로부터 수신한 제 1 일회용 비밀 번호와 매핑되는 제 2 일회용 비밀 번호를 확인하는 단계; 및

   상기 제 2 일회용 비밀 번호에 대응하는 가상 계정을 식별하여 상기 로그인을 허용하는 단계를 포함하는 호스트 전자 장치의 제어 방법.
2. 제 1 항에 있어서,

   상기 적어도 하나의 비밀 키의 각각은, 사용자 이름, 이메일 주소 및 사용자 관련 정보 중 적어도 하나를 암호화 및 인코딩하여 생성되는 호스트 전자 장치의 제어 방법.
3. 제 1 항에 있어서,

   상기 적어도 하나의 비밀 키 각각을, 상기 적어도 하나의 비밀 키 각각에 대응하는 클라이언트 전자 장치와 공유하는 단계를 더 포함하는 것을 특징으로 하는 호스트 전자 장치의 제어 방법.
4. 제 3 항에 있어서,

   상기 비밀 키를 공유하는 단계는,

   상기 가상 계정 대응 텍스트 비밀 키 및 상기 가상 계정 대응 QR 코드 중 적어도 하나를 생성하는 단계; 및

   상기 가상 계정 대응 비밀 키 및 상기 가상 계정 대응 QR 코드 중 적어도 하나를 표시하는 단계를 포함하는 호스트 전자 장치의 제어 방법.
5. 제 4 항에 있어서,

   상기 비밀 키를 공유하는 단계는, 상기 가상 계정 대응 텍스트 비밀 키를 암호화하여 표시하는 호스트 전자 장치의 제어 방법.
6. 제 1 항에 있어서,

   상기 해시 맵을 생성하는 단계는, 가상 계정 각각에 대한 일회용 비밀 번호, 비밀 키 및 가상 계정 정보에 대한 해시 맵을 생성하는 것을 특징으로 하는 호스트 전자 장치의 제어 방법.
7. 제 1 항에 있어서,

   상기 로그인을 허용하는 단계는,

   상기 제 1 일회용 비밀 번호 및 상기 해시 맵을 비교하는 단계; 및

   상기 비교 결과에 따라서 상기 로그인 가부를 결정하는 단계를 포함하는 것을 특징으로 하는 호스트 전자 장치의 제어 방법.
8. 제 7 항에 있어서,

   상기 제 1 일회용 비밀 번호가 상기 해시 맵에 존재하면, 상기 제 1 계정에 대한 인증을 진행하는 단계를 더 포함하는 호스트 전자 장치의 제어 방법.
9. 제 8 항에 있어서,

   상기 제 1 계정에 대한 인증이 성공 또는 실패와 관련되는 해당 가상 계정의 로그(log) 정보를 저장하는 단계를 더 포함하는 호스트 전자 장치의 제어 방법.
10. 제 1 항에 있어서,

    상기 가상 계정을 생성하는 단계를 더 포함하는 호스트 전자 장치의 제어 방법.
11. 제 10 항에 있어서,

    상기 적어도 하나의 가상 계정 및 상기 적어도 하나의 가상 계정 각각에 대응하는 비밀 키 사이의 관계를 저장하는 단계를 더 포함하는 호스트 전자 장치의 제어 방법.
12. 제 1 항에 있어서,

    상기 가상 계정 각각에 대한 권한을 설정하는 단계를 더 포함하는 호스트 전자 장치의 제어 방법.
13. 제 1 항에 있어서,

    상기 제 1 일회용 비밀 번호는 사용자 인터페이스를 통한 입력이며,

    상기 사용자 인터페이스는, 상기 제 1 일회용 비밀 번호와 함께, 상기 제 1 계정, 상기 제 1 계정에 대응하는 비밀 번호 및 사용자 정보 중 적어도 하나를 입력할 수 있도록 구성된 호스트 전자 장치의 제어 방법.
14. 제 1 계정으로의 인증을 수행하는 호스트 전자 장치에 있어서,

    상기 제 1 계정을 공유하여 이용하는 적어도 하나의 가상 계정 각각에 대한 적어도 하나의 비밀 키를 저장하는 저장부;

    상기 적어도 하나의 비밀 키를 로드하여 해시 맵을 생성하는 가상 계정 관리부;

    상기 제 1 계정으로의 로그인 요청 시점에서 또는 주기적으로 상기 해시 맵에 포함된 상기 적어도 하나의 비밀 키 각각에 대응되는 가상 계정 정보 및 일회용 비밀 번호를 생성하는 사용자 인증 처리부; 및

    사용자로부터 제 1 일회용 비밀 번호를 수신하는 입력부를 포함하고,

    상기 사용자 인증 처리부는, 상기 생성된 일회용 비밀 번호 중 사용자로부터 수신한 제 1 일회용 비밀 번호와 매핑되는 제 2 일회용 비밀 번호를 확인하고, 상기 제 2 일회용 비밀 번호에 대응하는 가상 계정을 식별하여 상기 로그인을 허용하는 호스트 전자 장치.
15. 제 14 항에 있어서,

    상기 적어도 하나의 비밀 키의 각각은, 사용자 이름, 이메일 주소 및 사용자 관련 정보 중 적어도 하나를 암호화 및 인코딩하여 생성되는 호스트 전자 장치.
16. 제 14 항에 있어서,

    상기 적어도 하나의 비밀 키 각각을 공유하는 표시부를 더 포함하는 것을 특징으로 하는 호스트 전자 장치.
17. 제 16 항에 있어서,

    상기 표시부는, 상기 가상 계정 대응 텍스트 비밀 키 및 상기 가상 계정 대응 QR 코드 중 적어도 하나를 표시하는 호스트 전자 장치.
18. 제 17 항에 있어서,

    상기 표시부는, 상기 가상 계정 대응 텍스트 비밀 키를 암호화하여 표시하는 호스트 전자 장치.
19. 제 14 항에 있어서,

    상기 가상 계정 관리부는, 가상 계정 각각에 대한 일회용 비밀 번호, 비밀 키 및 가상 계정 정보에 대한 해시 맵을 생성하는 것을 특징으로 하는 호스트 전자 장치.
20. 제 14 항에 있어서,

    상기 사용자 인증 처리부는, 상기 제 1 일회용 비밀 번호 및 상기 해시 맵을 비교하고, 상기 비교 결과에 따라서 상기 로그인 가부를 결정하는 특징으로 하는 호스트 전자 장치.
21. 제 20 항에 있어서,

    상기 사용자 인증 처리부는, 상기 제 1 일회용 비밀 번호가 상기 해시 맵에 존재하면, 상기 제 1 계정에 대한 인증을 진행하는 호스트 전자 장치.
22. 제 21 항에 있어서,

    상기 저장부는, 상기 제 1 계정에 대한 인증이 성공 또는 실패와 관련되는 해당 가상 계정의 로그(log) 정보를 저장하는 로그 저장부를 포함하는 호스트 전자 장치.
23. 제 14 항에 있어서,

    상기 가상 계정 관리부는, 상기 가상 계정을 생성하는 호스트 전자 장치.
24. 제 23 항에 있어서,

    상기 저장부는, 상기 적어도 하나의 가상 계정 및 상기 적어도 하나의 가상 계정 각각에 대응하는 비밀 키 사이의 관계를 저장하는 비밀 키 저장부를 포함하는 호스트 전자 장치.
25. 제 14 항에 있어서,

    상기 가상 계정 관리부는, 상기 가상 계정 각각에 대한 권한을 설정하는 호스트 전자 장치.
26. 제 14 항에 있어서,

    상기 제 1 일회용 비밀 번호는 사용자 인터페이스를 통한 입력이며,

    상기 사용자 인터페이스는, 상기 제 1 일회용 비밀 번호와 함께, 상기 제 1 계정, 상기 제 1 계정에 대응하는 비밀 번호 및 사용자 정보 중 적어도 하나를 입력할 수 있도록 구성된 호스트 전자 장치.
27. 제 3 항에 있어서,

    상기 비밀 키를 공유하는 단계는,

    상대적으로 긴 제 1 비밀 키를 생성하는 단계;

    상기 생성된 제 1 비밀 키를 이용하여 H-OTP(HMAC based one time password)를 생성하는 단계; 및

    생성된 n번째 H-OTP를 상대적으로 짧은 제 2 비밀 키로 설정하여 공유하는 단계를 포함하는 호스트 전자 장치의 제어 방법.
28. 제 16 항에 있어서,

    상기 사용자 인증 처리부는, 상대적으로 긴 제 1 비밀 키를 생성하고, 상기 생성된 제 1 비밀 키를 이용하여 H-OTP(HMAC based one time password)를 생성하고, 생성된 n번째 H-OTP를 상대적으로 짧은 제 2 비밀 키로 설정하며,

    상기 표시부는, 상기 제 2 비밀 키를 공유하는 호스트 전자 장치.

Images