WO2015099287A1

WO2015099287A1 - 일회용 비밀 번호를 이용하는 사용자 인증 방법 및 그 장치

Info

Publication number: WO2015099287A1
Application number: PCT/KR2014/010792
Authority: WO
Inventors: 안영택; 강유진
Original assignee: 주식회사 이노스코리아
Priority date: 2013-12-23
Filing date: 2014-11-11
Publication date: 2015-07-02
Also published as: KR101460916B1

Abstract

일회용 비밀 번호를 이용하는 사용자 인증 방법이 개시된다. 일 실시 예에 의한 사용자 인증 방법은, 제 1 일회용 비밀번호를 포함하는 인증 요청을 수신하는 단계, 상기 인증 요청이 수신되면, 일회용 비밀 번호 및 사용자 정보 관계를 독출하는 단계, 상기 독출된 일회용 비밀 번호 및 사용자 정보 관계로부터, 상기 인증 요청에 포함된 제 1 일회용 비밀 번호에 대응하는 제 1 사용자 정보를 획득하는 단계 및 상기 제 1 사용자 정보에 기초하여 사용자 인증을 수행하는 단계를 포함한다.

Description

일회용 비밀 번호를 이용하는 사용자 인증 방법 및 그 장치

본 개시는 일회용 비밀 번호를 이용하는 사용자 인증 방법 및 그 장치에 관한 것으로, 더욱 상세하게는 일회용 비밀 번호를 이용하여 운영 체제, 웹 시스템 등으로 사용자 인증을 수행하는 사용자 인증 방법 및 장치에 관한 것이다.

컴퓨터 로그인 과정을 포함한 IT 관련 거의 모든 시스템(운영체제 및 웹 포탈과 같은 응용시스템, 이하 시스템으로 통칭한다.)은 시스템 사용을 위해 다양한 사용자(일반사용자 및 시스템 관리자, 이하 사용자로 통칭한다.) 인증방법을 사용한다. 특히, 아이디 및 암호 입력 방식은 사용자 인증을 위한 가장 기본적이고 별도 장치가 필요 없는 일반적인 방법이다.

그러나, 사전공격(Dictionary Attack: 사전에 있는 단어를 입력하여 암호를 알아내거나 해독하는 컴퓨터 공격법), 무차별 대입 공격(Brute Force Attack: 특정한 암호를 풀기 위해 가능한 모든 값을 대입해 보는 공격법)등 다양한 해킹(Hacking) 기술 발달로 인해 고정된 암호는 보안에 취약하게 되었다.

이러한 아이디와 암호 기반의 사용자 인증 취약성을 보완하기 위한 방법으로 많은 기술이 발표되고 있고 일회용비밀번호(One-Time Password)는 그 중 하나이다. 일회용비밀번호는 한 번 사용하는, 재사용 불가한 암호로 사용자가 시스템에 로그인할 때 일시적으로 만들어 사용함으로써 복잡한 암호를 기억해야 하거나 주기적으로 변경해야하는 불편함을 없애는 기술이다.

그러나 기존 사용자 아이디, 암호와 함께 일회용비밀번호를 사용하는 것은 분명히 높은 보안 수준으로 시스템을 보다 안전하게 사용할 수 있으나 적용의 어려움, 구축 비용에 대한 부담 등으로 인해 현재는 그 적용 범위가 온라인 뱅킹, 온라인 게임, 대형 포털 사이트, 기업 시스템 등에 국한되어 있고, 여전히 사용자의 고정된 아이디와 암호를 함께 사용함으로써 아이디와 암호가 노출될 수 있는 취약성을 내재하고 있다.

본 개시는, 상술한 아이디, 암호 기반 시스템, 즉 운영체제의 사용자 인증, 웹 시스템을 포함한 모든 응용시스템의 사용자 인증 등의 암호 관련한 보안취약점을 해결하기 위하여 착안되었다.

일 실시 예에 의한 사용자 인증 방법은, 제 1 일회용 비밀번호를 포함하는 인증 요청을 수신하는 단계, 상기 인증 요청이 수신되면, 일회용 비밀 번호 및 사용자 정보 관계를 독출하는 단계, 상기 독출된 일회용 비밀 번호 및 사용자 정보 관계로부터, 상기 인증 요청에 포함된 제 1 일회용 비밀 번호에 대응하는 제 1 사용자 정보를 획득하는 단계 및 상기 제 1 사용자 정보에 기초하여 사용자 인증을 수행하는 단계를 포함할 수 있다.

여기에서, 상기 제 1 일회용 비밀 번호는 복수 개의 일회용 비밀 번호를 포함하는 일회용 비밀 번호 체인(chain)일 수 있다.

또한, 상기 일회용 비밀 번호 및 사용자 정보 관계는, 상기 일회용 비밀 번호 체인, 비밀키 및 사용자 정보 중 적어도 하나를 포함할 수 있다.

아울러, 상기 제 1 사용자 정보를 획득하는 단계는, 상기 인증 요청에 포함된 제 1 일회용 비밀 번호에 대응하는 상기 비밀키를 반환하는 단계 및 상기 반환된 비밀키에 대응하는 상기 제 1 사용자 정보를 획득하는 단계를 포함할 수 있다.

뿐만 아니라, 상기 비밀키를 반환하는 단계는, 상기 일회용 비밀 번호 체인에 포함되는 복수 개의 일회용 비밀 번호를 순차적으로 상기 일회용 비밀 번호 및 사용자 정보 관계와 비교하고, 상기 비교 결과에 기초하여 상기 비밀키를 반환할 수 있다.

한편, 상기 제 1 사용자 정보를 획득하는 단계는, 상기 인증 요청에 포함된 제 1 일회용 비밀 번호에 대응하는 상기 제 1 사용자 정보를 획득할 수 있다.

또한, 하나의 비밀키에 기초하여 복수 개의 시점에서 일회용 비밀 번호를 생성하여, 상기 복수 개의 일회용 비밀 번호를 포함하는 일회용 비밀 번호 체인을 생성하는 단계를 더 포함할 수도 있다.

또는, 복수 개의 비밀키 각각에 기초하여 제 1 시점에서 복수 개의 일회용 비밀 번호를 생성하여, 상기 복수 개의 일회용 비밀 번호를 포함하는 일회용 비밀 번호 체인을 생성하는 단계를 더 포함할 수도 있다.

한편, 주기적으로 일회용 비밀 번호를 생성하는 단계 및 상기 주기적으로 생성된 일회용 비밀 번호에 기초하여 일회용 비밀 번호 및 사용자 정보 관계를 생성하는 단계를 더 포함할 수도 있다.

아울러, 상기 일회용 비밀 번호 및 사용자 정보 관계를 수정하는 단계를 더 포함할 수도 있다.

다른 실시 예에 의한 사용자 인증 장치는, 일회용 비밀 번호 및 사용자 정보 관계를 저장하는 저장소 및 제 1 일회용 비밀번호를 포함하는 인증 요청을 수신되면, 상기 일회용 비밀 번호 및 사용자 정보 관계로부터, 상기 인증 요청에 포함된 제 1 일회용 비밀 번호에 대응하는 제 1 사용자 정보를 획득하고, 상기 제 1 사용자 정보에 기초하여 사용자 인증을 수행하는 일회용 비밀번호 검증기를 포함할 수 있다.

아울러, 상기 일회용 비밀 번호 및 사용자 정보 관계를 수정하는 일회용 비밀 번호 관리기를 더 포함할 수도 있다.

다양한 실시 예들에 의하여, 일회용 비밀 번호를 이용하여 운영 체제, 웹 시스템 등으로 사용자 인증을 수행하는 사용자 인증 방법 및 장치가 제공될 수 있다. 특히, 일 실시 예에 의한 사용자 인증 방법 및 장치는 기존의 사용자 아이디 및 암호를 입력하지 않고, 단순히 일회용 비밀 번호만 입력하여 사용자 인증을 수행함에 따라서 사용자 보안이 극대화될 수 있다.

도 1은 일 실시 예에 의한 사용자 인증 장치의 블록도이다.

도 2는 다른 실시 예에 따른 사용자 인증 방법을 설명하기 위한 흐름도이다.

도 3은 일 실시 예에 의한 사용자 인증 방법을 설명하기 위한 타이밍도이다.

도 4a는 일 실시 예에 의한 일회용 비밀 번호 체인을 이용하는 사용자 인증 방법을 설명하기 위한 흐름도이다.

도 4b 내지 4d는 다양한 실시 예들에 따른 일회용 비밀 번호 체인의 개념도들이다.

도 5a 및 5b는 다양한 실시 예들에 의한 일회용 비밀 번호 체인 생성 방법을 설명하기 위한 흐름도들이다.

도 6a 및 6b 각각은 다양한 실시 예들에 의한 일회용 비밀 번호 체인 생성 과정을 설명하기 위한 개념도들이다.

도 7a 내지 7e는 다양한 실시 예들에 의한 실행 화면의 개념도들이다.

도 8은 일 실시 예에 따른 일회용 비밀 번호 체인 생성 방법을 설명하기 위한 흐름도이다.

도 9는 일 실시 예에 따른 일회용 비밀 번호 체인 검증 방법을 설명하기 위한 흐름도이다.

이하에서, 일부 실시예들을, 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 이러한 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.

아래 설명에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어를 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 관례, 새로운 기술의 출현 등에 따라 달라질 수 있다.

또한 특정한 경우는 이해를 돕거나 및/또는 설명의 편의를 위해 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 설명 부분에서 상세한 그 의미를 기재할 것이다. 따라서 아래 설명에서 사용되는 용어는 단순한 용어의 명칭이 아닌 그 용어가 가지는 의미와 명세서 전반에 걸친 내용을 토대로 이해되어야 한다.

도 1은 일 실시 예에 의한 사용자 인증 장치의 블록도이다.

사용자 인증 장치(100)는 저장소(110), 일회용 비밀 번호 검증기(120) 및 일회용 비밀 번호 관리기(130)를 포함할 수 있다. 각각의 구성 요소는 응용프로그래밍 인터페이스(API: Application Programming Interface)를 통하여 연계될 수 있다.

저장소(110)는 일회용 비밀 번호 및 사용자 정보 관계를 저장할 수 있다. 저장소(110)에 저장되는 단위는 레코드로 표현되며, 레코드는 레코드 아이디, 일회용 비밀 번호를 이용한 사용자 인증을 수행하는 응용 시스템(운영 체제를 포함)의 아이디, 일회용 비밀 번호 생성을 위한 비밀키, 응용 시스템에 등록된 사용자 정보를 포함할 수 있다. 사용자 정보는, 로그인 아이디, 로그인 암호, 이메일 주소, 사용자 이름 등을 포함할 수 있다. 사용자 정보는 복수 사용자 각각을 구분할 수 있는 정보일 수 있다.

일회용 비밀 번호 및 사용자 정보 관계는 예를 들어 표 1과 같을 수 있다.

표 1에서와 같이, 일회용 비밀 번호 및 사용자 정보 관계는 일회용 비밀 번호 및 사용자 정보 사이의 대응 관계를 포함할 수 있다. 예를 들어, 일회용 비밀 번호 및 사용자 정보 관계는 "890123"의 일회용 비밀 번호는 제1사용자에 대응한다는 정보를 포함할 수 있다. 더욱 상세하게, "dhe8dhsecfks"는 제1사용자에게 부여된 고유 비밀키일 수 있다. 사용자 인증 장치(100)는 비밀키 "dhe8dhsecfks"에 기초하여 "890123"의 일회용 비밀 번호를 생성할 수 있다. 사용자 인증 장치(100)는 "890123"의 일회용 비밀 번호가 비밀키 ""dhe8dhsecfks"에 대응하고, 제1사용자에 대응하는 정보를 일회용 비밀 번호 및 사용자 정보 관계로서 저장할 수 있다.

표 1의 일회용 비밀 번호 및 사용자 정보 관계는 일회용 비밀 번호, 비밀키 정보 및 사용자 정보를 포함하는 것과 같이 표시되어 있지만 이는 단순히 예시적인 것이다. 다른 실시 예에 의한 일회용 비밀 번호 및 사용자 정보 관계는 일회용 비밀 번호 및 사용자 정보의 대응 관계만을 포함할 수도 있다.

표 1의 일회용 비밀 번호 및 사용자 정보 관계는 각 사용자당 하나의 일회용 비밀 번호를 포함하는 것과 같이 표시되어 있지만 이는 단순히 예시적인 것이다. 다른 실시 예에 의한 일회용 비밀 번호 및 사용자 정보 관계는 복수 개의 일회용 비밀 번호를 포함하는 일회용 비밀 번호 체인을 포함할 수도 있으며, 이에 대하여서는 더욱 상세하게 후술하도록 한다.

사용자 인증 장치(100)는 일회용 비밀 번호를 TOTP(time-based one time password) 생성 방법에 기초하여 생성하거나 또는 HOTP(hash-based one time password) 생성 방법에 기초하여 생성할 수 있다.

아울러, 일회용 비밀 번호 및 사용자 정보 관계는 시간에 따라 수정 또는 갱신될 수도 있다. 예를 들어, 일회용 비밀 번호 관리기(130)는 주기적으로 일회용 비밀 번호를 다시 생성할 수 있다. 일회용 비밀 번호 관리기(130)는 신규 생성된 일회용 비밀 번호를 기존 저장된 일회용 비밀 번호와 교체하여 일회용 비밀 번호 및 사용자 정보 관계를 수정할 수 있다. 또는, 일회용 비밀 번호 관리기(130)는 신규 생성된 일회용 비밀 번호를 기존 저장된 일회용 비밀 번호와 함께 저장하여 일회용 비밀 번호 및 사용자 정보 관계를 갱신할 수 있다. 한편, 사용자 인증 장치(100)는 인증 요청이 수신된 경우 또는 주기적으로 스스로 일회용 비밀 번호를 다시 생성하여, 일회용 비밀 번호 및 사용자 정보 관계를 수정 또는 갱신할 수 있다. 사용자 인증 장치(100)는 신규 일회용 비밀 번호를 생성하는 경우, 하나의 일회용 비밀 번호를 생성할 수도 있지만, 복수 개의 일회용 비밀 번호를 포함하는 일회용 비밀 번호 체인을 신규 생성할 수도 있다. 사용자 인증 장치(100)는 하나의 비밀키로 복수 개의 시점에서 복수 개의 일회용 비밀 번호를 생성할 수도 있으며 또는 복수 개의 비밀키로 하나의 시점에서 복수 개의 일회용 비밀 번호를 생성할 수도 있다. 이과 관련한 구성은 도 6a 및 6b를 참조하여 더욱 상세하게 설명하도록 한다.

일회용 비밀 번호 검증기(120)는 저장소(110)로부터 일회용 비밀 번호 및 사용자 정보 관계를 독출할 수 있다. 일회용 비밀 번호 검증기(120)는 인증 요청이 수신되는 경우, 일회용 비밀 번호 및 사용자 정보 관계를 독출할 수 있다.

일회용 비밀 번호 검증기(120)는 인증 요청에 포함된 적어도 하나의 일회용 비밀 번호를, 독출한 일회용 비밀 번호 및 사용자 정보 관계와 비교할 수 있다.

예를 들어, 사용자가 "002384"의 일회용 비밀 번호를 사용자 인증 장치(100)가 제공하는 인증창에 입력한 경우를 상정하도록 한다. 즉, 인증 요청은 "002384"의 일회용 비밀 번호를 포함한 경우를 상정한다.

일회용 비밀 번호 검증기(120)는 예를 들어 표 1과 같은 일회용 비밀 번호 및 사용자 정보 관계를 독출할 수 있다. 일회용 비밀 번호 검증기(120)는 인증 요청에 포함된 일회용 비밀 번호인 "002384"를 표 1과 같은 일회용 비밀 번호 및 사용자 정보 관계와 비교할 수 있다. 일회용 비밀 번호 검증기(120)는 일회용 비밀 번호인 "002384"가 제3사용자에 대응하는 것을 판단할 수 있다. 일회용 비밀 번호 검증기(120)는 인증 요청에 포함된 일회용 비밀 번호인 "002384"가 제3사용자에 대응하는 것을 바로 판단할 수 있다. 또는, 일회용 비밀 번호 검증기(120)는 인증 요청에 포함된 일회용 비밀 번호인 "002384"가 비밀키 "38cksmdjefke"에 대응하는 것을 판단하고, 비밀키 "38cksmdjefke"가 제3사용자에 대응하는 것을 순차적으로 판단할 수도 있다.

일회용 비밀 번호 검증기(120)는 판단된 사용자 정보를 리턴(return)할 수 있으며, 사용자 정보에 기초하여 사용자 인증(또는 로그인)을 수행할 수 있다.

상술한 바와 같이, 사용자는 사용자 인증을 수행하는 과정에서 기존의 아이디, 암호와 같은 사용자 정보를 입력하지 않아도 된다. 사용자가 단순히 일회용 비밀 번호만을 입력함으로써 사용자 인증이 수행될 수 있어, 사용자 정보의 유출 가능성이 저하되는 효과가 창출된다.

단계 210에서, 사용자 인증 방법은 적어도 하나의 일회용 비밀 번호가 포함된 인증 요청을 입력받을 수 있다. 예를 들어, 사용자는 사용자 인증 장치(100)와 비밀키를 공유한 전자 장치를 소유 및 조작할 수 있다. 사용자가 소유한 전자 장치는 사용자 인증 장치(100)와 동일한 비밀키를 공유함에 따라, 사용자 인증 장치(100)와 동일한 일회용 비밀 번호를 생성할 수 있다. 사용자는, 사용자가 소유한 전자 장치에 표시되는 일회용 비밀 번호를 확인하여, 일회용 비밀 번호를 사용자 인증 장치(100)에 인증 요청으로서 입력할 수 있다.

단계 220에서, 사용자 인증 방법은 일회용 비밀 번호 및 사용자 정보 관계를 독출할 수 있다. 여기에서, 일회용 비밀 번호 및 사용자 정보 관계는, 사용자 인증 장치(100)가 사용자별로 기저장한 비밀키에 기초하여 생성한 일회용 비밀 번호와 사용자 정보 사이의 대응 관계를 포함할 수 있다.

단계 230에서, 사용자 인증 방법은 독출한 일회용 비밀 번호 및 사용자 정보 관계와 인증 요청에 포함된 일회용 비밀 번호로부터 제 1 사용자 정보를 획득할 수 있다. 여기에서 제 1 사용자 정보는, 인증 요청에 포함된 일회용 비밀 번호에 대응하는 사용자 정보일 수 있다.

단계 240에서, 사용자 인증 방법은 획득한 제 1 사용자 정보로 사용자 인증, 즉 로그인을 수행할 수 있다.

단계 310에서, 사용자 인증 장치(100) 및 단말(300)은 비밀키를 공유할 수 있다. 여기에서, 단말(300)은 사용자가 소유 및 조작할 수 있는 전자 장치일 수 있다. 단말(300)은, 예를 들어 사용자 인증 장치(100) 또는 외부 서버로부터 사용자 인증 방법에 대응하는 프로그램을 다운로드 받으면서 비밀키를 함께 수신할 수 있다. 또는 단말(300)은 사용자 인증 장치(100)로부터 직접 비밀키를 수신할 수도 있다.

단계 320에서, 단말(300)은 공유된 비밀키에 기초하여 일회용 비밀 번호를 생성할 수 있다. 단말(300)은 일회용 비밀 번호를 주기적으로 생성할 수 있거나 또는 사용자 요청이 입력되면 생성할 수도 있다. 단말(300)은 생성된 일회용 비밀 번호를 표시할 수 있으며, 사용자는 이에 따라 일회용 비밀 번호를 확인할 수 있다. 여기에서, 단말(300)은 하나의 일회용 비밀 번호를 생성할 수도 있고 또는 복수 개의 일회용 비밀 번호를 포함하는 일회용 비밀 번호 체인을 생성할 수도 있다.

단계 330에서, 사용자 인증 장치(100)는 공유된 비밀키에 기초하여 주기적으로 일회용 비밀 번호를 생성할 수 있다. 여기에서, 사용자 인증 장치(100)는 하나의 일회용 비밀 번호를 생성할 수도 있거나 또는 복수 개의 일회용 비밀 번호를 포함하는 일회용 비밀 번호 체인을 생성할 수도 있다.

단계 340에서, 사용자 인증 장치(100)는 일회용 비밀 번호 및 사용자 정보 관계를 저장할 수 있다.

단계 350에서, 사용자 인증 장치(100)는 적어도 하나의 일회용 비밀 번호를 포함하는 인증 요청을 수신할 수 있다. 예를 들어, 사용자 인증 장치(100)는 적어도 하나의 일회용 비밀 번호를 입력할 수 있는 입력창을 표시할 수 있다. 사용자는 단말(300)에서 표시되는 적어도 하나의 일회용 비밀 번호를 확인하고, 확인된 적어도 하나의 일회용 비밀 번호를 사용자 인증 장치(100)에서 표시되는 입력창에 입력할 수 있다. 상술한 바에 따라서, 사용자 인증 장치(100)는 적어도 하나의 일회용 번호를 포함하는 인증 요청을 수신할 수 있다.

한편, 도 3에서는 일회용 비밀 번호를 생성하는 330 단계 및 일회용 비밀 번호 및 사용자 정보 관계를 저장하는 340 단계가 인증 요청 수신의 350 단계 이전에 수행되는 것과 같이 도시되었지만 이는 단순히 예시적인 것이다. 상술한 바와 같이, 사용자 인증 장치(100)는 인증 요청이 수신되면 일회용 비밀 번호를 생성하여, 일회용 비밀 번호 및 사용자 정보 관계를 저장할 수도 있다.

단계 360에서, 사용자 인증 장치(100)는 인증 요청에 포함된 일회용 비밀 번호에 기초하여, 일회용 비밀 번호 및 사용자 정보 관계로부터 해당 사용자 정보를 획득할 수 있다.

단계 370에서, 사용자 인증 장치(100)는 획득한 사용자 정보로 로그인을 수행할 수 있다.

도 4a는 일 실시 예에 의한 일회용 비밀 번호 체인을 이용하는 사용자 인증 방법을 설명하기 위한 흐름도이다. 도 4a의 실시 예는 도 4b 내지 4d를 참조하여 더욱 상세하게 설명하도록 한다. 도 4b 내지 4d는 다양한 실시 예들에 따른 일회용 비밀 번호 체인의 개념도들이다.

우선, 도 4a를 참조하면, 단계 410에서 사용자 인증 방법은 비밀키를 로드할 수 있다. 사용자 인증 방법은 사용자 각각에 대응하여 비밀키를 기저장할 수 있다. 사용자 각각에 대응하는 비밀키는 적어도 하나일 수 있다.

단계 420에서, 사용자 인증 방법은 일회용 비밀 번호 체인을 생성할 수 있다. 사용자 인증 방법은 일회용 비밀 번호 체인 내의 일회용 비밀 번호 개수를 n으로 설정할 수 있다. 사용자 인증 방법은 기저장된 비밀키에 기초하여 n개의 일회용 비밀 번호를 생성할 수 있다. 사용자 인증 방법은 1개의 비밀키에 기초하여 n개의 일회용 비밀 번호를 생성하거나 또는 n개의 비밀키에 기초하여 n개의 일회용 비밀 번호를 생성할 수 있다.

예를 들어, 사용자 인증 방법은 도 4b와 같은 n개의 일회용 비밀 번호를 포함하는 일회용 비밀 번호 체인을 생성할 수 있다. 도 4b의 일회용 비밀 번호 체인은 예를 들어 자료 구조 중 하나인 키(key), 값(value)의 쌍으로 표현될 수 있다. 사용자 인증 방법은 표준 일회용비밀번호 생성 알고리즘(RFC4226, RFC6238)을 이용하여 각 비밀키에 대한

시점의 일회용비밀번호

를 생성할 수 있다.

도 4c는 일 실시 예에 의한 5개의 사용자 정보에 대한 2개의 일회용 비밀 번호를 포함하는 일회용 비밀 번호 체인의 개념도이다. 일회용 비밀 번호 체인은, 제 1 일회용 비밀 번호 - 제 2 일회용 비밀 번호의 쌍, 제 2 일회용 비밀 번호 - 비밀키의 쌍을 포함할 수 있다. 제 1 일회용 비밀 번호 - 제 2 일회용 비밀 번호의 쌍, 제 2 일회용 비밀 번호 - 비밀키의 쌍은 5개의 사용자별로 생성 및 저장될 수 있다. 하나의 쌍은 하나의 맵(map)을 의미할 수 있다. 각각의 맵은 상술한 바와 같은 키-값의 쌍으로 표현될 수 있다. 예를 들어, 제 1 일회용 비밀 번호 - 제 2 일회용 비밀 번호의 쌍에서는, 제 1 일회용 비밀 번호가 키로 표현되며, 제 2 일회용 비밀 번호가 값으로 표현될 수 있다. 아울러, 제 2 일회용 비밀 번호 - 비밀키의 쌍에서는, 제 2 일회용 비밀 번호가 키로 표현되며, 비밀키가 값으로 표현될 수 있다.

도 4d는 일 실시 예에 의한 m개의 사용자 정보에 대한 n개의 일회용 비밀 번호를 포함하는 일회용 비밀 번호 체인의 개념도이다. 일회용 비밀 번호 체인은, 제 1 일회용 비밀 번호 - 제 2 일회용 비밀 번호의 쌍, 제 2 일회용 비밀 번호 - 제 3 일회용 비밀 번호 내지 제 n 일회용 비밀 번호 - 비밀키의 쌍을 포함할 수 있다. 제 1 일회용 비밀 번호 - 제 2 일회용 비밀 번호의 쌍, 제 2 일회용 비밀 번호 - 제 3 일회용 비밀 번호 내지 제 n 일회용 비밀 번호 - 비밀키의 쌍은 m개의 사용자별로 생성 및 저장될 수 있다.

단계 440에서, 사용자 인증 방법은 제 1 일회용 비밀 번호 체인을 포함하는 인증 요청을 입력받을 수 있다. 사용자 인증 장치(100) 및 단말(300)은 일회용 비밀 번호 체인 내의 일회용 비밀 번호의 개수를 미리 공유할 수 있다. 단말(300)은 공유한 비밀 번호의 개수만큼의 일회용 비밀 번호를 생성 및 표시할 수 있다. 이에 따라, 단계 440에서 기설정된 개수만큼의 일회용 비밀 번호를 포함하는 일회용 비밀 번호 체인을 입력받을 수 있다.

단계 450에서, 사용자 인증 방법은 제 1 일회용 비밀 번호 체인에 대응하는 제 1 비밀키를 확인할 수 있다. 예를 들어, 사용자 인증 방법은 2개의 일회용 비밀 번호를 포함하는 일회용 비밀 번호 체인을 수신하는 경우를 상정한다. 사용자 인증 방법은 도 4b와 같은 일회용 비밀 번호 체인을 기저장할 수 있다. 아울러, 사용자 인증 방법은 "890123-372832"의 일회용 비밀 번호 체인을 포함하는 인증 요청을 입력받을 수 있다.

사용자 인증 방법은, 첫 번째로 입력된 일회용 비밀 번호인 "890123"과 대응되는 저장된 일회용 비밀 번호 체인을 판단할 수 있다. 예를 들어 사용자 인증 방법은 도 4b에서 890123이 레코드 1에 위치하는 것을 검색할 수 있다. 만일, "890123"에 대응하는 일회용 비밀 번호가 없는 경우, 사용자 인증 방법은 검증 실패를 리턴할 수 있다. 한편, 사용자 인증 방법은 레코드 1의 다음 일회용 비밀 번호와 입력된 두 번째 일회용 비밀 번호가 일치하는지를 확인할 수 있다. 두 번째 일회용 비밀 번호까지 입력하면, 단계 450에서와 같이 사용자 인증 방법은 제 1 비밀키를 리턴할 수 있으며, 일치하지 않으면 검증실패를 리턴할 수 있다.

단계 460에서, 사용자 인증 방법은 리턴된 제 1 비밀키에 대응하는 제 1 사용자 정보를 확인할 수 있다. 단계 470에서, 사용자 인증 방법은 제 1 사용자 정보로 로그인을 수행할 수 있다.

실시 예에 의한 일회용 비밀 번호 체인을 이용하면 사용자가 응용시스템에 로그인 할 때, 응용시스템에 등록되어 있는 아이디, 암호를 사용하지 않고 주기적으로 변하는 일회용비밀번호를 이용하여 로그인하므로, 아이디, 암호 노출로 인한 보안취약성을 고려하지 않아도 되며, 보안을 위하여 복잡한 암호(암기할 수 없는)에 대한 부담이 없어진다

도 5a 및 5b는 다양한 실시 예들에 의한 일회용 비밀 번호 체인 생성 방법을 설명하기 위한 흐름도들이다. 도 5a 및 5b 각각의 실시 예는 도 6a 및 6b 각각을 참조하여 설명하도록 한다. 도 6a 및 6b 각각은 다양한 실시 예들에 의한 일회용 비밀 번호 체인 생성 과정을 설명하기 위한 개념도들이다.

도 5a를 참조하면, 단계 510에서 일회용 비밀 번호 체인 생성 방법은 하나의 비밀 키를 로드할 수 있다. 예를 들어, 일회용 비밀 번호 체인 생성 방법은 제 1 사용자를 위한 비밀 키 하나를 로드할 수 있다. 예를 들어, 도 6a에서와 같이, 일회용 비밀 번호 체인 생성 방법은 제 1 사용자에 대응하는 제 1 비밀키(601)를 로드할 수 있다.

단계 520에서, 일회용 비밀 번호 체인 생성 방법은 제 1 비밀키(601)에 기초하여 n 개의 시점

각각에 제 1 일회용 비밀 번호(611) 내지 제 n 일회용 비밀 번호(614)를 생성할 수 있다.

단계 530에서, 일회용 비밀 번호 체인 생성 방법은 제 1 일회용 비밀 번호(611) 내지 제 n 일회용 비밀 번호(614) 및 제 1 비밀키(601)와 제 1 사용자 정보를 포함하는 일회용 비밀 번호 체인(620)을 생성할 수 있다.

도 5b를 참조하면, 단계 540에서 일회용 비밀 번호 체인 생성 방법은 n 개의 비밀키를 로드할 수 있다. 예를 들어, 일회용 비밀 번호 체인 생성 방법은 제 1 사용자를 위한 비밀 키 n개(631 내지 634)를 로드할 수 있다. 예를 들어, 도 5b에서의 회용 비밀 번호 체인 생성 방법은 하나의 사용자에 대응하여 n 개의 비밀키가 설정될 수 있다.

단계 550에서, 일회용 비밀 번호 체인 생성 방법은 n 개의 비밀키로 제 1 시점에서 n 개의 일회용 비밀 번호(641 내지 644)를 생성할 수 있다.

단계 560에서, 일회용 비밀 번호 체인 생성 방법은 제 1 일회용 비밀 번호(641) 내지 제 n 일회용 비밀 번호(644) 및 제 1 내지 n 비밀키(631 내지 634)와 제 1 사용자 정보를 포함하는 일회용 비밀 번호 체인(650)을 생성할 수 있다.

도 7a는 사용자가 소지 및 조작하는 단말(300)의 개념도로, 단말(300)은 공유된 비밀키를 이용하여 2개의 일회용 비밀 번호(701,702)를 생성 및 표시할 수 있다.

도 7b 및 7c는 각각 iOS 운영 체제 및 안드로이드 운영 체제에서 구현된 단말(300)의 실행 화면이다. 단말(300)은 제 1 일회용 비밀 번호(711 또는 731)와 제 2 일회용 비밀 번호(712 또는 732)를 표시할 수 있다. 아울러, 단말(300)은 일회용 비밀 번호 유효 시간(720 또는 740)을 표시할 수 있다. 단말(300)은 유효 시간이 완료되면, 다른 일회용 비밀 번호를 생성하여 재표시할 수 있다.

도 7d는 사용자 인증 장치(100)에서의 실행 화면의 개념도이다. 실행 화면은 적어도 하나의 일회용 비밀 번호 입력창(761,762)을 포함할 수 있다. 사용자 인증 장치(100)는 예를 들어 윈도우 서버에서 동작될 수 있으며, 사용자는 단말(300)로부터 확인된 일회용 비밀 번호를 입력창(761,762)에 입력할 수 있다. 사용자 인증 장치(100)는 입력창(761,762)에서 입력된 일회용 비밀 번호를 인증 요청으로 처리하여 사용자 인증을 수행할 수 있다.

도 7e는 웹 시스템, 예를 들어 그룹 웨어에 적용된 실행 화면이다. 실행 화면은 적어도 하나의 일회용 비밀 번호 입력창(771,772)을 포함할 수 있다.

단계 810에서, 일회용 비밀 번호 체인 생성 방법은 일회용 비밀 번호 체인 생성 초기 설정을 수행할 수 있다. 예를 들어, 일회용 비밀 번호 체인 생성 방법은 생성할 일회용 비밀 번호를 2개, 즉 생성 시점의 개수를 2개로 결정할 수 있으며, 생성 주기를 30초로 설정할 수 있다. 다른 실시 예에 의한 일회용 비밀 번호 체인 생성 방법에서는, 생성 시점의 개수가 아닌 비밀키의 개수를 2개로 결정할 수도 있다.

단계 820에서, 일회용 비밀 번호 체인 생성 방법은 저장소에서 모든 레코드, 즉 일회용 비밀 번호 및 사용자 정보 관계를 로드할 수 있다.

단계 830에서, 일회용 비밀 번호 체인 생성 방법은 시점 개수와 레코드 수를 이용하여 맵을 형성할 수 있다. 여기에서의 맵의 개수는 2개일 수 있다.

단계 840에서, 일회용 비밀 번호 체인 생성 방법은 생성 주기인 30초를 주기로 850, 860, 870의 단계를 반복 수행할 수 있다.

단계 850에서, 일회용 비밀 번호 체인 생성 방법은 제 1 시점 및 제 2 시점의 일회용 비밀 번호를 레코드에 저장되어 있는 비밀키를 이용하여 레코드 개수만큼 생성할 수 있다.

단계 860에서, 일회용 비밀 번호 체인 생성 방법은 제 1 및 제 2 일회용 비밀 번호(P1,P2)를 이용하여 첫 번째 맵을 형성하며, 제 2 일회용 비밀 번호 및 비밀키(S)를 이용하여 두 번째 맵을 형성할 수 있다.

단계 910에서, 일회용 비밀 번호 체인 검증 방법은 사용자 인증 장치에 일회용 비밀 번호의 검증을 요청하는 것일 수 있다. 즉, 검증 요청은 사용자 인증 장치 또는 일회용 비밀 번호 검증기 내의 검증 API를 호출하는 것과 같을 수 있다.

단계 920에서, 일회용 비밀 번호 체인 검증 방법은 적어도 하나의 일회용 비밀 번호에 대한 검증 요청을 수신할 수 있다. 예를 들어, 일회용 비밀 번호 체인 검증 방법은 "382934" 및 "983745"에 대한 검증을 요청받을 수 있다.

단계 930에서, 일회용 비밀 번호 체인 검증 방법은 맵 1, 즉 첫 번째 일회용 비밀 번호 및 두 번째 일회용 비밀 번호 쌍에 "382934" 키가 존재하고, 값이 "983745"인지 확인할 수 있다.

단계 940에서, 930의 판단 결과가 거짓으로 결정되면 일회용 비밀 번호 체인 검증 방법은 검증 실패를 리턴할 수 있다.

단계 950에서, 일회용 비밀 번호 체인 검증 방법은 맵 2, 즉 두 번째 일회용 비밀 번호 및 비밀키 쌍에서 "983745"키가 존재하는지를 확인할 수 있다.

단계 960에서, 950의 판단 결과가 거짓으로 결정되면 일회용 비밀 번호 체인 검증 방법은 검증 실패를 리턴할 수 있다.

단계 970에서, 일회용 비밀 번호 체인 검증 방법은 맵 2에서 "983745"키에 대응하는 비밀키를 구하고, 저장소에서 해당 비밀키에 대한 사용자 정보를 구하여 사용자 정보를 리턴할 수 있다.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다.

처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다.

이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다.

소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.

컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.

프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.

상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.

그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.

Claims

제 1 일회용 비밀번호를 포함하는 인증 요청을 수신하는 단계;

상기 인증 요청이 수신되면, 일회용 비밀 번호 및 사용자 정보 관계를 독출하는 단계;

상기 독출된 일회용 비밀 번호 및 사용자 정보 관계로부터, 상기 인증 요청에 포함된 제 1 일회용 비밀 번호에 대응하는 제 1 사용자 정보를 획득하는 단계; 및

상기 제 1 사용자 정보에 기초하여 사용자 인증을 수행하는 단계

를 포함하는 사용자 인증 방법.
제 1 항에 있어서,

상기 제 1 일회용 비밀 번호는 복수 개의 일회용 비밀 번호를 포함하는 일회용 비밀 번호 체인(chain)인 사용자 인증 방법.
제 2 항에 있어서,

상기 일회용 비밀 번호 및 사용자 정보 관계는, 상기 일회용 비밀 번호 체인, 비밀키 및 사용자 정보 중 적어도 하나를 포함하는 사용자 인증 방법.
제 3 항에 있어서,

상기 제 1 사용자 정보를 획득하는 단계는,

상기 인증 요청에 포함된 제 1 일회용 비밀 번호에 대응하는 상기 비밀키를 반환하는 단계; 및

상기 반환된 비밀키에 대응하는 상기 제 1 사용자 정보를 획득하는 단계

를 포함하는 사용자 인증 방법.
제 4 항에 있어서,

상기 비밀키를 반환하는 단계는,

상기 일회용 비밀 번호 체인에 포함되는 복수 개의 일회용 비밀 번호를 순차적으로 상기 일회용 비밀 번호 및 사용자 정보 관계와 비교하고, 상기 비교 결과에 기초하여 상기 비밀키를 반환하는 사용자 인증 방법.
제 2 항에 있어서,

상기 제 1 사용자 정보를 획득하는 단계는, 상기 인증 요청에 포함된 제 1 일회용 비밀 번호에 대응하는 상기 제 1 사용자 정보를 획득하는 사용자 인증 방법.
제 2 항에 있어서,

하나의 비밀키에 기초하여 복수 개의 시점에서 일회용 비밀 번호를 생성하여, 상기 복수 개의 일회용 비밀 번호를 포함하는 일회용 비밀 번호 체인을 생성하는 단계

를 더 포함하는 사용자 인증 방법.
제 2 항에 있어서,

복수 개의 비밀키 각각에 기초하여 제 1 시점에서 복수 개의 일회용 비밀 번호를 생성하여, 상기 복수 개의 일회용 비밀 번호를 포함하는 일회용 비밀 번호 체인을 생성하는 단계

를 더 포함하는 사용자 인증 방법.
제 2 항에 있어서,

주기적으로 일회용 비밀 번호를 생성하는 단계; 및

상기 주기적으로 생성된 일회용 비밀 번호에 기초하여 일회용 비밀 번호 및 사용자 정보 관계를 생성하는 단계

를 더 포함하는 사용자 인증 방법.
제 1 항에 있어서,

상기 일회용 비밀 번호 및 사용자 정보 관계를 수정하는 단계

를 더 포함하는 사용자 인증 방법.
일회용 비밀 번호 및 사용자 정보 관계를 저장하는 저장소;

제 1 일회용 비밀번호를 포함하는 인증 요청을 수신되면, 상기 일회용 비밀 번호 및 사용자 정보 관계로부터, 상기 인증 요청에 포함된 제 1 일회용 비밀 번호에 대응하는 제 1 사용자 정보를 획득하고, 상기 제 1 사용자 정보에 기초하여 사용자 인증을 수행하는 일회용 비밀번호 검증기

를 포함하는 사용자 인증 장치.
제 11 항에 있어서,

상기 제 1 일회용 비밀 번호는 복수 개의 일회용 비밀 번호를 포함하는 일회용 비밀 번호 체인(chain)인 사용자 인증 방법.
제 11 항에 있어서,

상기 일회용 비밀 번호 및 사용자 정보 관계를 수정하는 일회용 비밀 번호 관리기

를 더 포함하는 사용자 인증 장치.