WO2017188610A1 - 인증 방법 및 시스템 - Google Patents

인증 방법 및 시스템 Download PDF

Info

Publication number
WO2017188610A1
WO2017188610A1 PCT/KR2017/003340 KR2017003340W WO2017188610A1 WO 2017188610 A1 WO2017188610 A1 WO 2017188610A1 KR 2017003340 W KR2017003340 W KR 2017003340W WO 2017188610 A1 WO2017188610 A1 WO 2017188610A1
Authority
WO
WIPO (PCT)
Prior art keywords
authentication
user
service
value
password
Prior art date
Application number
PCT/KR2017/003340
Other languages
English (en)
French (fr)
Inventor
우종현
Original Assignee
(주)이스톰
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이스톰 filed Critical (주)이스톰
Priority to CN201780025398.6A priority Critical patent/CN109076080B/zh
Priority to BR112018071839-4A priority patent/BR112018071839A2/pt
Priority to JP2019507057A priority patent/JP6799142B2/ja
Priority to US15/540,034 priority patent/US20180219851A1/en
Priority to MX2018012991A priority patent/MX2018012991A/es
Priority to EP17789795.6A priority patent/EP3451613B1/en
Publication of WO2017188610A1 publication Critical patent/WO2017188610A1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/55Push-based network services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • H04W4/14Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Air Conditioning Control Device (AREA)

Abstract

사용자 중심의 인증을 수행하는 인증 시스템으로서, 온라인 서비스 서버에 관한 인증 절차를 대행하는 인증 서비스 컴포넌트와, 상기 온라인 서비스 서버에 접속하는 접속 단말기에 관한 인증 절차를 대행하는 모바일 인증 에이전트 컴포넌트를 포함할 수 있다. 여기서, 상기 인증 서비스 컴포넌트는, 인증 기본 정보로서 상기 접속 단말기로부터 입력된 사용자 정보에 상응하는 모바일 인증 에이전트 컴포넌트를 확인하고, 확인된 모바일 인증 에이전트 컴포넌트 및 상기 접속 단말기가 접속하고자 하는 온라인 서비스 서버로 인증 암호값을 각각 전송하고, 상기 모바일 인증 에이전트 컴포넌트로부터 상기 인증 암호값에 상응하는 암호 검증값 또는 인증 동의값이 수신되는 경우 상기 온라인 서비스 서버로 인증 성공 메시지를 전송할 수 있다.

Description

인증 방법 및 시스템
본 발명은 사용자 인증 또는/및 서비스 인증과 관련된 인증 방법 및 시스템에 관한 것이다.
각종 웹사이트, 모바일 앱, 금융 또는 결제 서비스 등의 접속 과정에서 사용자 인증의 중요성이 날로 증가되고 있다. 또한 최근에는 피싱 등의 위험성이 높아지면서 해당 서비스 사이트가 허위 사이트가 아님을 확인해야 할 필요성에 따라 서비스 인증이라는 개념도 도입되고 있다.
먼저, 사용자 본인 인증을 위해 가장 일반적으로 사용되고 있는 방식은 해당 사용자의 ID와 패스워드(Password)를 활용하는 방식이 있다. 그러나 사용자 ID 및 패스워드를 활용하는 방식은 해당 정보의 유출 또는 탈취가 쉬워 보안성이 높지 않다는 문제점이 있다.
이에 최근에는 SMS(Short Message Service)를 활용하는 방식으로서, 온라인 웹(Web)이나 모바일 앱(App) 서비스에서 사용자 확인(즉, 서비스 이용자 본인 확인) 또는 기기 소지 확인을 위하여 SMS를 이용한 본인 인증 서비스 또는 기기 소지 인증 서비스가 널리 사용되고 있다.
통상적으로, SMS를 이용한 본인 인증 서비스는 사용자로부터 입력되는 사용자 정보(예를 들어, 이름, 주민등록번호, 폰 번호 등)와 통신사에 가입된 회원 정보 간을 비교하는 실명 확인 서비스로서, 무선통신망을 통해서 입력된 모바일 폰 번호로 SMS 인증값을 보내고, 해당 모바일 폰 사용자가 소정 유효시간 내에 해당 인증값을 인증창에 입력하여 전송된 인증값과 입력된 인증값이 서로 일치하면, 입력된 사용자 정보와 해당 사용자의 모바일 폰 소지 여부를 동시에 확인하는 본인 인증 서비스이다(도 1 참조).
또한 SMS를 이용한 모바일 폰 소지 인증 서비스는 통신사 회원 DB와 관계없이 서비스 시스템이 사용자로부터 입력받은 모바일 폰 번호가 맞는지 확인하기 위해 무선통신망을 통해서 입력된 모바일 폰 번호로 SMS 인증값을 보내고, 해당 모바일 폰 사용자가 유효 시간내 인증창에 인증값을 입력하여 서로 일치하면 해당 사용자의 모바일 폰 소지여부를 확인하는 기기 소지 인증 서비스이다.
그러나 SMS를 이용한 인증 서비스를 통해서 해커가 사용자를 사칭하는 사고가 빈번하게 발생하면서 SMS를 이용한 인증 서비스가 더 이상 신뢰할 수 있는 인증 수단이 되지 못하게 되었다. SMS 인증이 손쉽게 해킹되는 가장 큰 이유는 SMS 인증 서비스에서 사용되는 개인 정보(예를 들어, 이름, 폰 번호, 주민등록번호, 이메일 등)가 대규모 개인 정보 유출 사고로 인해 이미 해커에게 노출된 상태이고, 또한 표적이 된 모바일 폰 번호나 이메일 계정으로 멀웨어(malware) 설치를 유도하는 SMS나 이메일 등이 전송되어 사용자가 악성 코드나 멀웨어를 설치하게 되면 해당 모바일 폰으로 들어오는 SMS를 해커가 가로챌 수 있기 때문이다.
따라서 사용자의 모바일 폰으로 보내진 SMS가 해커에 의해서 탈취되더라도 본인의 모바일 폰에서만 해당 SMS 인증값이 검증될 수 있도록 하는 새로운 SMS 기반의 인증 기술이 필요하다.
수십 개의 온라인 서비스가 활용되면서 사용자 입장에서 암호 관리는 더욱 힘들어지고 있다. 암호 관리를 편하게 하기 위하여 기억하기 쉬운 단순한 암호 하나로 사용하다보면 모든 서비스의 보안이 불안해 지고, 반대로 서비스별로 다양한 암호를 사용하다 보면 기억하기 어려워진다. 또한 보안 정책에 따라서 주기적으로 암호를 바꾸어야 한다면 사용자의 암호 관리의 부담은 가중된다.
또한 보안성과 암호 관리 부담을 개선하고자 도입되고 있는 OTP 동글나 모바일 접속 승인 앱의 경우 암호를 쉽게 하고, 소지한 기기를 통해서 사용자 인증을 하게 하면서 보안성과 편리성이 높아지지만, 최초 접속한 서비스가 실제 서비스를 가장한 해킹 서비스라면 사용자는 접속한 서비스의 진위여부를 알 수가 없어서 파밍 공격을 막을 수 가 없다.
이는 전산 서비스의 인증 개념 자체가 사용자가 인증 정보를 제시하고 서버가 이를 판단하는 서비스 중심의 인증 기술에서 기인한 문제로, 사용자가 진짜를 가장한 잘못된 서비스를 만나게 된 경우 해결할 수 없는 문제이다.
따라서 기존의 서비스 중심의 사용자 인증기술은 사용자가 암호를 관리하기 부담스러울 뿐만 아니라 비용만 유발하고, 패스워드 유추 공격이나 중간자 공격에 취약할 수 밖에 없어, 이러한 한계를 극복할 수 있는 새로운 개념의 인증 기술(즉, 사용자 중심의 인증 기술)이 필요하다.
또 다른 측면에서, 사용자가 온라인 서비스의 암호를 외우지 않고 사용자를 인증할 수 있도록 하는 킬 패스워드 무브먼트가 활성화되면서, 사용자가 소지한 스마트폰을 통해서 정상적인 사용자인지를 확인하는 인증 기술이 확산되고 있다.
대표적인 종래 기술의 작동흐름(도 8 참조)을 살펴보면, 사용자가 온라인 접속 단말기를 이용하여 온라인 서비스에 접속하여 아이디를 입력하면, 온라인 서비스에서 사용자가 사전에 등록한 모바일 인증앱에게 푸시 메시지를 전송한다. 이를 수신한 모바일 인증 앱에서 사용자에게 접속 허용 여부를 표시하고, 사용자가 서비스 접속에 대한 동의를 입력하면, 모바일 인증앱에서 온라인 서비스에게 사용자 본인임을 확인할 수 있는 인증값을 전송한다. 이에 따라 접속 단말기에 관한 온라인 서비스로의 로그인을 허용한다.
그러나 사용자가 단말기를 이용하여 서비스에 접속을 시도하였을 때 사용자의 의도와 달리 사용자 접속을 탈취하기 위해서 작동되고 있는 파밍 서비스에 접속하고 사용자가 아이디를 입력하는 경우, 해당 아이디는 해커에게 제공되게 된다. 따라서 해당 시점에 확보된 아이디를 해커의 단말기를 이용하여 정상적인 서비스에 접속하여 입력하면, 사용자에게 정상적인 인증 요청 푸시 메시지가 전달된다. 이때, 사용자는 자신의 접속에 따른 인증으로 오해하여 모바일 인증앱에서 접속을 승인하면 해커의 접속을 승낙해주는 상황이 발생한다.
또한 사용자의 아이디는 다양한 서비스에서 동일 문자열로 종종 등록되고 공개적으로 이용되기 때문에, 아이디를 확보한 해커가 온라인 서비스에 아이디를 입력하는 경우, 해당 아이디의 사용자의 스마트폰에 해커가 인증을 시도할 때마다 수시로 불필요한 인증요청 시도를 받아야 한다. 또한, 인증요청 선택과정에서 사용자가 조작 미숙으로 접속 허용을 하는 경우 해커가 서비스에 접속하게 된다.
또한 사용자가 아이디를 입력한 후 서비스가 사용자에게 서비스 암호를 제시하고, 사용자가 서비스 암호 검증기 모바일 앱으로 서비스 암호를 검증하여 사용자 접속 여부를 선택하는 서비스 인증기술에서도, 사용자가 서비스가 제시하는 암호와 모바일 앱이 제시하는 암호를 명시적으로 확인하지 않는 경우가 종종 발생한다. 만일, 사용자가 디자인이 유사한 패턴이 표시된 것만을 보고 모바일 서비스 암호 생성기 앱에 무조건 접속을 승인하는 경우, 실제 서비스를 가장한 파밍 사이트에 접속하게 되며, 해커에게 접속을 허용해 주게 된다.
따라서 기존의 아이디와 스마트 기기로 인증을 수행하는 경우 서비스를 가장한 중간자 공격에 걸리거나, 잦은 인증 요청에 따른 조작 미숙이 발생하는 경우 해커의 접속을 허용하게 되는데, 이를 극복할 수 있는 새로운 기술이 필요하다.
상술한 문제점들을 해결하기 위해서, 본 발명의 제1 측면에 의하면, SMS를 이용한 본인 인증 서비스를 제공함에 있어서, 본인 확인 서비스에 접속하는 해당 사용자 모바일 폰의 접속 정보와 모바일 폰으로 수신된 SMS 인증값을 이용하여 모바일 폰 사용자가 본인임을 인증하는 사용자 인증 서비스로서 해당 모바일 폰에서만 SMS 인증값이 유효하도록 하는 사용자 인증 서비스에 대한 방법 및 시스템을 제공한다.
본 발명의 제2 측면에 의하면, 온라인 서비스를 사용하기 위하여 사용자를 인증하는데 있어서, 서비스 중심에서 사용자 암호 정보를 검증하는 것이 아니라, 사용자 중심에서 서비스 암호를 검증함과 함께 사용자를 인증하는 사용자 중심의 서비스 인증에 대한 방법 및 시스템을 제공한다.
본 발명의 제3 측면에 의하면, 암호 없는 편리한 온라인 서비스를 제공하기 위하여 사용자 ID와 사용자의 모바일 기기를 이용한 사용자 인증을 제공하는 온라인 서비스에 있어서, 사용자 본인의 요청에 따른 인증 요청이 아니라 해커에 의한 인증 요청이 해당 사용자의 모바일 기기에 들어올 때, 사용자의 눈속임이나 실수로 모바일 기기에서 사용자가 인증을 허용했다 하더라도, 사용자가 인증 동의 이후 현재 서비스에 접속된 단말기에 서비스를 중단시킬 수 있도록 하거나, 해당 서비스에 해커에 의해서 사용자 아이디가 입력되어 서비스 서버로 인증요청이 접수되면 이를 사전에 차단하도록 하는 방법 및 시스템을 제공한다.
본 발명의 일 측면에 따르면, SMS(Short Message Service)를 이용하여 사용자 인증을 수행하며, 인증 서비스 컴포넌트 및 검증 컴포넌트를 포함하는 인증 서비스 시스템이 개시된다.
상기 인증 서비스 컴포넌트는, 인증 기본 정보로서 수신된 사용자 정보를 상기 검증 컴포넌트로 전달하고, 사용자 인증을 위해 접속된 모바일 기기의 접속 정보인 IP 주소를 확인하고, 확인된 상기 모바일 기기의 IP 주소 및 상기 모바일 기기로부터 입력된 SMS 인증값을 상기 검증 컴포넌트로 전달한다.
상기 검증 컴포넌트는, 상기 전달된 사용자 정보에 상응하여 해당 사용자의 인증에 사용될 SMS 인증값을 생성하고 생성된 SMS 인증값을 해당 사용자 정보에 상응하는 등록된 모바일 기기로 전송하고, 상기 등록된 모바일 기기에 대하여 통신사가 할당한 IP 주소를 확인하고, 상기 인증 서비스 컴포넌트로부터 전달된 SMS 인증값과 상기 생성된 SMS 인증값 간의 일치 여부 및 상기 인증 서비스 컴포넌트로부터 전달된 IP 주소와 상기 확인된 통신사 할당 IP 주소 간의 일치 여부에 따라 사용자 인증의 적부에 관한 검증을 수행한다.
일 실시예에서, 상기 SMS 인증값은 상기 등록된 모바일 기기에 대하여 통신사가 할당한 IP 주소의 전부 또는 일부를 시드값으로 활용하여 생성한 인증값일 수 있다.
일 실시예에서, 상기 사용자 인증이 해당 사용자의 모바일 기기에 설치된 모바일 앱을 통해 실행되고 있는 경우,
상기 인증 서비스 컴포넌트는, 상기 모바일 앱의 푸시 ID를 수신하고, 수신된 푸시 ID를 상기 검증 컴포넌트로 전달할 수 있다. 또한, 상기 검증 컴포넌트는, 푸시 인증값을 생성하고, 상기 푸시 ID를 참조하여 생성된 푸시 인증값을 푸시 메시지로 상기 모바일 앱으로 전송하며, 상기 푸시 인증값을 사용자 인증 과정의 추가 인증요소로 활용할 수 있다.
일 실시예에서, 상기 인증 서비스 컴포넌트는, 접속된 모바일 기기로부터 수신된 푸시 인증값을 상기 검증 컴포넌트로 전달할 수 있다. 또한, 상기 검증 컴포넌트는, 상기 인증 서비스 컴포넌트로부터 전달된 푸시 인증값과 상기 생성된 푸시 인증값 간의 추가 일치 여부를 상기 사용자 인증의 적부에 관한 검증에 활용할 수 있다.
일 실시예에서, 상기 사용자 인증을 위해 접속된 모바일 기기와 상기 SMS 인증값을 수신하는 등록된 모바일 기기가 서로 다른 기기인 경우,
상기 검증 컴포넌트는, 상기 접속된 모바일 기기의 IP 주소에 상응하여 획득되는 위치 정보와 상기 등록된 모바일 기기의 현재 GPS 정보에 상응하여 획득되는 위치 정보 간을 비교하여 서로 사전 지정된 위치 범위 내에 있는지 여부에 따라 상기 사용자 인증의 적부에 관한 검증을 수행할 수 있다.
일 실시예에서, 상기 인증 서비스 컴포넌트는 사용자가 접속하고자 하는 서비스에 관한 서비스 서버 또는 해당 서비스 서버에 관한 인증 절차를 대행하는 인증 대행 서버에 구현되고, 상기 검증 컴포넌트는 통신사 서버 또는 상기 인증 대행 서버에 구현될 수 있다.
본 발명의 다른 측면에 따르면, 사용자 중심의 인증을 수행하는 인증 시스템으로서, 온라인 서비스 서버에 관한 인증 절차를 대행하는 인증 서비스 컴포넌트와, 상기 온라인 서비스 서버에 접속하는 접속 단말기에 관한 인증 절차를 대행하는 모바일 인증 에이전트 컴포넌트를 포함할 수 있다.
여기서, 상기 인증 서비스 컴포넌트는, 인증 기본 정보로서 상기 접속 단말기로부터 입력된 사용자 정보에 상응하는 모바일 인증 에이전트 컴포넌트를 확인하고, 확인된 모바일 인증 에이전트 컴포넌트 및 상기 접속 단말기가 접속하고자 하는 온라인 서비스 서버로 인증 암호값을 각각 전송하고, 상기 모바일 인증 에이전트 컴포넌트로부터 상기 인증 암호값에 상응하는 암호 검증값 또는 인증 동의값이 수신되는 경우 상기 온라인 서비스 서버로 인증 성공 메시지를 전송할 수 있다.
일 실시예에서, 상기 인증 서비스 컴포넌트는, 상기 온라인 서비스 서버로 상기 인증 암호값에 대한 암호 유효시간 정보를 상기 추가 전송할 수 있다.
이때, 상기 온라인 서비스 서버는, 인증 암호 표시창을 통해서 상기 인증 암호값과 상기 암호 유효시간이 함께 표시되도록 하는 GUI(Graphical User Interface)가 상기 접속 단말기의 화면 상에 표출되도록 할 수 있다.
일 실시예에서, 상기 인증 서비스 컴포넌트는, 상기 모바일 인증 에이전트 컴포넌트로 상기 인증 암호값에 대한 암호 유효시간 정보를 상기 추가 전송할 수 있다.
이때, 상기 모바일 인증 에이전트 컴포넌트는, 인증 암호 표시창을 통해서 상기 인증 암호값과 상기 암호 유효시간이 함께 표시되도록 하는 GUI(Graphical User Interface)가 인증기 화면 상에 표출되도록 하는 것을 특징으로 하는, 인증 시스템.
일 실시예에서, 상기 인증 암호값은 상기 인증 암호 표시창 내에 숫자열 또는 문자열로 표시되고, 상기 암호 유효시간은 상기 인증 암호 표시창 내에서 타임 랩스 바(Time Lapse Bar) 형태로 표시되어 암호 유효시간의 경과를 시각적으로 안내할 수 있다.
일 실시예에서, 상기 인증 서비스 컴포넌트는, 상기 암호 유효시간의 경과에 따라 상기 인증 암호값을 갱신 생성하여 상기 온라인 서비스 서버 및 상기 모바일 인증 에이전트 컴포넌트로 재전송할 수 있다. 이때, 상기 인증 암호값의 갱신에 따라 인증 암호값과 암호 유효시간은 상기 인증 암호 표시창 내에서 갱신 표출될 수 있다.
일 실시예에서, 상기 인증 성공 메시지의 전송에 따라 상기 접속 단말기에 관한 온라인 서비스 서버로의 서비스 사용이 허용된 이후, 상기 모바일 인증 에이전트 컴포넌트로부터 상기 인증 서비스 컴포넌트로 접속 해지값이 수신되는 경우,
상기 인증 서비스 컴포넌트는, 상기 접속 해지값의 전송 주체가 서비스 접속자에 상응하는 등록된 모바일 인증 에이전트 컴포넌트인지 여부를 확인하고, 등록된 모바일 인증 에이전트 컴포넌트로부터 상기 접속 해지값이 수신된 것으로 확인된 경우 상기 온라인 서비스 서버로 접속 해지 요청 메시지를 전송할 수 있다.
일 실시예에서, 상기 인증 암호값을 수신한 모바일 인증 에이전트 컴포넌트로부터 상기 인증 서비스 컴포넌트로 접속 차단값이 수신되는 경우,
상기 인증 서비스 컴포넌트는, 상기 접속 차단값의 전송 주체가 서비스 접속자에 상응하는 등록된 모바일 인증 에이전트 컴포넌트인지 여부를 확인하고, 등록된 모바일 인증 에이전트 컴포넌트로부터 상기 접속 차단값이 수신된 것으로 확인된 경우 상기 온라인 서비스 서버로 접속 차단 요청 메시지를 전송할 수 있다.
일 실시예에서, 상기 인증 서비스 컴포넌트는, 상기 접속 차단이 이루어진 접속 단말기에 관한 관련 정보를 보관하고, 접속 차단된 접속 단말기로부터 동일 조건의 인증 요청이 재차 시도되는 경우 해당 인증 요청을 자동 차단할 수 있다.
본 발명의 제1 측면에 의하면, SMS 인증값이 해커에게 탈취되더라도 정당한 사용자만이 SMS를 이용하여 본인 인증 서비스를 이용할 수 있게 됨으로써, 핀테크서비스, IoT 서비스, 각종 온라인 서비스 등에서 신뢰할 수 있는 사용자 인증 서비스가 가능해지는 효과가 있다.
본 발명의 제2 측면에 의하면, 사용자가 온라인 서비스를 사용하는데 있어서 암호를 숙지하거나 주기적으로 변경하거나 입력할 필요가 없으며, 서비스가 제공한 암호와 서비스 암호 검증기에서 표시하는 암호가 일치하는지를 검증하여 서비스를 인증하게 함으로써 서비스 암호 검증기를 소지한 정당한 사용자만인 서비스 이용이 가능해진다. 뿐만 아니라 처음 접속한 서비스가 파밍된 서비스인지까지도 서비스 암호를 통해서 사용자가 명시적으로 변별할 수 있어서 기존의 중간자 공격에 의한 해킹사고에 취약한 모바일 기반의 접속 승인 앱 기술의 한계도 극복할 수 있게 된다.
또한, 본 발명의 제3 측면에 의하면, 사용자가 온라인 서비스를 사용하는데 있어서 서비스 아이디와 인증을 위한 모바일 앱으로 사용자 인증을 수행하는데 있어서, 서비스를 가장한 파밍 공격에 걸리거나, 사용상의 부주의로 인하여 해커의 접속인지 확인하지 않고 접속을 승인하거나, 모바일 인증앱에 잦은 인증 요청이 들어올 때 사용상 접속을 승인하는 조작 실수가 발생했다 하더라도 기존에 승인한 접속을 사용자가 자의적으로 취소할 수 있어 정당한 검증기를 소지한 정당한 사용자만이 서비스를 이용할 수 있도록 사용자 인증에 대한 보안이 가능해진다. 특히 사용자 아이디와 모바일 인증 앱만으로 사용자 인증을 수행하는 과정에 익숙해지고, 장기간 사용으로 인해 사용자 습관이 고착화될 경우에도 별다른 판단없이 사용자 인증을 하는 습관을 크게 보안해 줄 수 있다. 뿐만 아니라 사용자의 아이디가 해커에게 노출된다 하더라도 모바일 인증 앱에서 인증요청에 따른 접속 차단을 수행하면, 서비스 서버에서 해당 아이디 또는 아이디와 IP주소를 차단하여, 공격자가 더 이상 해당 아이디로 서비스에 접속을 시도하지 못하도록 할 수 있어, 아이디와 인증기 앱만으로 구성된 기존 인증 기술의 한계점을 극복할 수 있게 된다.
도 1은 종래 기술에서의 SMS를 이용한 본인 인증 서비스를 도시한 도면.
도 2 ~ 도 5는 본 발명의 실시예에 따라, IP 주소와 SMS를 이용한 본인 인증 서비스 방법 및 시스템을 설명하기 위한 도면들.
도 6은 본 발명의 실시예에 따른 사용자 중심의 서비스 인증 기술의 흐름을 도시한 도면.
도 7은 기존의 서비스 중심의 사용자 인증에 관한 실시 예시와 본 발명의 실시예에 따른 사용자 중심의 서비스 인증에 관한 실시 예시를 도시한 도면.
도 8은 사용자의 서비스 암호 없이 사용자의 ID와 모바일 기기를 이용한 기존의 사용자 인증의 흐름을 도시한 도면.
도 9는 사용자의 서비스 암호 없이 사용자의 ID와 모바일 기기를 이용하여 사용자 인증을 하는 시스템에 있어서, 접속자를 인증한 이후 해당 접속자의 서비스 접속을 취소하는 흐름을 도시한 도면.
도 10은 사용자의 서비스 암호 없이 사용자의 ID와 모바일 기기를 이용하여 사용자 인증을 하는 시스템에 있어서, 악의적인 접속자가 사용자의 ID로 인증을 시도하는 경우 이를 차단하는 흐름을 도시한 도면.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.
또한, 명세서 전체에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.
또한, 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하나 이상의 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 조합으로 구현될 수 있음을 의미한다. 또한 통상 모바일 앱 개발자들이 표현하는 Push ID는 Push Token을 의미하며, 푸쉬 메시지 서비스는 구글이나 애플사 등과 같은 모바일 운영체제에서 앱 별로 제공하는 메시지 서비스를 의미한다.
이하, 첨부된 도면들을 참조하여 본 발명의 실시예들를 상세히 설명한다. 여기서, 도 2 ~ 도 5는 본 발명의 실시예에 따라, IP 주소와 SMS를 이용한 본인 인증 서비스 방법 및 시스템을 설명하기 위한 도면들이다. 즉, 도 2 ~ 도 5는 사용자가 자신이 소지한 모바일 기기를 이용하여 각종 본인 인증(예를 들어, 웹 사이트 접속을 위한 본인 인증, 온라인/모바일 상에서의 금융 거래 또는 결재를 위한 본인 인증 등)을 수행하는 경우의 인증 서버스 방법을 나타낸다.
도 2 ~ 도 5에서, '사용자 모바일 기기(100)'로서 모바일 폰(특히, 스마트폰)이 이용되는 경우를 중심으로 설명할 것이나, 사용자 모바일 기기는 이외에도 다양할 수 있음을 먼저 명확히 해둔다. 또한 도 2 ~ 도 5의 '본인 인증 서비스 서버(200)'는 인증 서비스만을 대행하는 별도의 서버일 수도 있지만, 다른 목적의 서버에 통합되어 구현될 수도 있다. 예를 들어, 사용자가 실제 접속하고자 하는 타겟 서버 내의 일부 기능으로서 상기 본인 인증 서비스 서버(200)에서 수행될 각 단계의 동작 및 역할들이 구현될 수 있는 것이다. 또한, 도 2 ~ 도 5에서는 본인 인증의 최종 확인(또는 검증) 절차를 통신사 서버(300)에서 수행하는 것으로 도시되어 있지만, 반드시 이와 같을 필요는 없다. 이를테면 본인 인증의 최종 확인(검증) 절차(도 2의 S19, 도 3의 S39, 도 4의 S59, 도 7의 S79 참조)는 본인 인증 서비스 서버와는 별개로 존재하는 외부 검증 서버에서 수행하거나 또는 본인 인증 서비스 서버가 해당 기능까지 통합 수행할 수도 있을 것이다. 즉, 시스템 설계 방식은 다양한 변형례들이 존재할 수 있는 바, 본 발명 또한 설계된 시스템에 적합한 형태로 다양한 변형이 가능하다 할 것이다.
또한 이하 설명할 도 2 ~ 도 5의 본인 인증 절차에서의 각 단계에 관한 식별번호(즉, S11, S12, S13 등)는 각 단계를 구분 설명하기 위한 것일 뿐, 절차적 순서를 정의한 것은 아님을 명확히 해둔다. 논리적으로 어느 한 단계가 실행된 이후에야 다른 단계가 실행될 수 있는 경우가 아닌 이상, 각 단계는 그 식별번호의 선후와 상관없이 병렬적으로 또는 동시에 실행될 수도 있음은 물론이다. 경우에 따라서는 그 식별번호의 선후와 다른 순서로 각 단계가 실행될 수도 있음도 자명하다. 본 발명의 핵심적 기술 특징이 충분히 반영될 수 있는 한도에서, 각 단계의 순서 또한 다양한 변형이 가능할 것이기 때문이다. 다만, 이하에서는 설명의 집중 및 편의 상, 도면에 도시된 순서에 따라 각 단계를 설명하기로 한다.
이하, 도 2의 본인 인증 절차에 관하여 설명한다.
도 2의 본인 인증 절차를 참조하면, 사용자 모바일 기기(100)로부터 본인 인증 서비스 서버(200)로 사용자 정보가 전송됨에 따라[도 2의 S11 참조], 본인 인증 서비스 서버(200)는 사용자 모바일 기기(100)로부터 수신한 사용자 정보를 통신사 서버(300)로 전달한다[도 2의 S12 참조].
이때, 사용 가능한 사용자 정보에는 특별한 제한은 없으며, 사용자 식별을 가능하게 하는 기본 정보로서 활용할 수 있는 각종 개인 정보, 고유 정보, 기기 정보 등이라면 모두 활용 가능하다. 이러한 사용자 정보의 예로는, 성명, 주민등록번호, 생년월일, 폰 번호, PIN 번호, USIM 번호, 사용자 ID 등이 있다(이는 도 3 ~ 도 5에서도 동일함).
전술한 사용자 정보는 해당 사용자가 직접 입력(예를 들어, 스마트폰 웹 브라우저 또는 모바일 앱을 통한 직접 입력 등)할 수도 있고, 초기 인증 단계에서 자동으로 입력될 수도 있다. 예를 들어, 사용자가 자신의 스마트폰에 설치된 특정 앱을 실행하면, 그와 동시에 사전 지정된 정보가 사용자 정보로서 자동 입력되도록 구현될 수도 있다.
상기와 같이 사용자 정보가 입력된 이후, 본인 인증 서비스 서버(200)는 SMS(Short Message Service) 인증값 입력을 요청한다[도 2의 S13 참조]. 이에 따라 사용자 모바일 기기(100)의 화면에는 SMS 인증값 입력을 위한 인증창이 표시될 수 있다. 향후 사용자는 해당 인증창에 SMS 인증값을 입력하여 보인 인증을 요청하게 될 것이다[도 2의 S16 참조].
이때, 상기 SMS 인증값은 통신사 서버(300)에 의해 생성된다[도 2의 S14 참조]. 즉, 도 2의 S14에 따라 사용자 정보가 전달되면, 통신사 서버(300)는 임의의 가변값으로 구성되는 인증값을 생성한 후, 회원 DB에 기반하여 수신한 사용자 정보에 상응하는 스마트폰 번호를 확인하고 SMS를 통해서 그 스마트폰으로 인증값을 전송한다[도 2의 S15 참조]. 또한 이때, 통신사 서버(300)의 설계 방식에 따라서, 통신사에서 해당 스마트폰 번호로 할당한 공인 또는/및 사설 IP 주소를 미리 확인해둘 수도 있다.
통신사 서버(300)로부터 전송된 SMS 인증값을 사용자가 입력하면[도 2의 S16 참조], 본인 인증 서비스 서버(200)는 서비스에 접속한 사용자 모바일 기기의 접속 정보(본 예에서는 공인 IP 또는/및 사설 IP 주소, 이하 IP 주소로 간략히 명명함)를 확인하고[도 2의 S17 참조], 입력된 SMS 인증값과 확인된 해당 모바일 기기의 IP 주소를 통신사 서버(300)로 전달한다[도 2의 S18 참조].
이때, 연결된 클라이언트(본 예에서는 사용자 모바일 기기(100)의 접속 정보를 파악하는 방법에는 다양한 방법들이 있지만, 일 예로 웹 서버의 경우 서버 변수를 이용하여 연결된 클라이언트 단말기의 공인 IP 및 사설 IP를 파악할 수 있다.
SMS 인증값과 모바일 기기의 IP 주소가 전달되면, 통신사 서버(300)는 도 2의 S19에 따라 본인 인증 확인을 수행한다. 이는 다음과 같은 방법으로 수행될 수 있다. 첫째로 도 2의 S12에서 전달된 사용자 정보와 통신사 회원 DB의 회원 정보 간의 일치 여부를 비교하고, 둘째로 도 2의 S18에 따라 전달된 SMS 인증값(즉, 사용자가 입력한 SMS 인증값)과 도 2의 S14에 따라 생성해둔 SMS 인증값(즉, 도 2의 S15에 따라 사용자에게 전송했던 SMS 인증값, 이하 이를 SMS 검증값이라 명명함) 간의 일치 여부를 비교하며, 셋째로 도 2의 S18에 따라 전달된 모바일 기기의 IP 주소와 통신사 자체적으로 확인한(즉, 통신사에서 해당 모바일 기기에 할당한) 모바일 기기의 IP 주소 간의 일치 여부를 비교함으로써, 본인 인증 확인을 수행할 수 있다.
상기 본인 인증 확인 과정이 완료되면, 통신사 서버(300)는 본인 인증 결과(즉, 성공 또는 실패)를 본인 인증 서비스 서버(200)로 전송한다[도 2의 S20 참조]. 전송된 본인 인증 결과에 근거하여 본인 인증 서비스 서버(200)는 해당 사용자에 관한 본인 인증 여부를 결정한다.
이하, 도 3의 본인 인증 절차에 관하여 설명한다. 도 3은 사용자가 사용자 모바일 기기(100)에 설치된 모바일 앱(50)을 이용하여 본인 인증을 수행하는 경우를 나타낸 것이다. 즉, 도 3은 사용자의 스마트폰에 통신사가 할당한 IP 주소, SMS 인증값, 스마트폰 앱을 설치할 때 모바일 운영체제 제공사(즉, 구글, 애플 등)가 할당한 Push ID를 이용하여 모바일 앱을 이용하는 사람이 사용자 본인임을 인증하는 서비스에 대한 절차를 표시한다.
이에 따라 도 3의 경우 사용자 본인 확인, 사용자 스마트폰 소지 확인을 넘어서 사용자 앱 확인까지 가능하게 된다. 도 3의 설명 과정에서 도 2에서와 동일 유사하게 적용될 수 있는 부분에 관해서는 중복되는 설명은 생략하기로 한다(이는 도 4 및 도 5에서도 동일함).
도 3의 본인 인증 절차를 참조하면, 사용자가 모바일 앱(50)을 통해 사용자 정보를 입력함에 따라 모바일 앱(50)으로부터 본인 인증 서비스 서버(200)로 사용자 정보 및 해당 모바일 앱(50)의 푸시 ID가 본인 인증 서비스 서버(200)로 전송된다[도 3의 S31 참조]. 이에 따라, 본인 인증 서비스 서버(200)는 수신한 사용자 정보 및 푸시 ID를 통신사 서버(300)로 전달한다[도 3의 S32 참조].
또한 본인 인증 서비스 서버(200)는 모바일 앱(50)으로 SMS 인증값 입력 요청을 하고[도 3의 S33 참조], 통신사 서버(300)는 SMS 인증값과 푸시 인증값을 생성한다[도 3의 S34 참조]. 여기서, SMS 인증값 및 푸시 인증값은 모두 임의의 가변값으로 구성될 수 있다. 이후, 통신사 서버(300)는 생성한 SMS 인증값을 SMS 메시지를 통해서 해당 사용자 정보에 상응하는 폰 번호로 전송하고, 생성한 푸시 인증값을 푸시 메시지를 통해서 해당 푸시 ID에 상응하는 모바일 앱(50)으로 전송한다[도 3의 S35 참조].
도 3의 S35에 따라 전송된 SMS 인증값과 푸시 인증값을 사용자가 모바일 앱을 통해 입력함에 따라, 입력된 SMS 인증값 및 푸시 인증값은 본인 인증 서비스 서버(200)로 전송된다[도 3의 S36 참조]. 경우에 따라서 서비스가 모바일 앱으로 구성된 경우 스마트폰에 들어온 SMS 메시지와 Push 메시지를 자동으로 입수하여 본인 인증 서비스 서버(200)로 전송할 수도 있을 것이다.
SMS 인증값과 푸시 인증값이 수신되면, 본인 인증 서비스 서버(200)는 수신한 인증값들과 사용자 모바일 기기의 접속 정보(전술한 예에서와 같이, 공인 또는/및 사설 IP 주소)를 통신사 서버(300)로 전송한다[도 3의 S38 참조]. 이를 위해, 본인 인증 서비스 서버(200)는 서비스에 접속한 사용자 모바일 기기의 IP 주소를 확인한다[도 3의 S37 참조]. 연결된 클라이언트의 접속 정보를 파악하는 방법에 관해서는 앞서 설명하였는 바 중복되는 설명은 생략한다.
SMS 인증값, 푸시 인증값과 모바일 기기의 IP 주소가 전달되면, 통신사 서버(300)는 도 3의 S39에 따라 본인 인증 확인을 수행한다. 이는 다음과 같은 방법으로 수행될 수 있다. 첫째로 도 3의 S32에서 전달된 사용자 정보와 통신사 회원 DB의 회원 정보 간의 일치 여부를 비교하고, 둘째로 도 3의 S38에 따라 전달된 SMS 인증값(즉, 사용자가 입력한 SMS 인증값)과 도 3의 S34에 따라 생성해둔 SMS 인증값(즉, SMS 검증값) 간의 일치 여부를 비교하며, 셋째로 도 3의 S38에 따라 전달된 모바일 기기의 IP 주소와 통신사 자체적으로 확인한(즉, 통신사에서 해당 모바일 기기에 할당한) 모바일 기기의 IP 주소 간의 일치 여부를 비교하고, 넷째로 도 3의 S38에 따라 전달된 푸시 인증값과 도 3의 S34에 따라 생성해둔 푸시 인증값(즉, 도 3의 S35에 따라 사용자에게 전송했던 푸시 인증값) 간의 일치 여부를 비교함으로써, 본인 인증 확인을 수행할 수 있다.
상기 본인 인증 확인 과정이 완료되면, 통신사 서버(300)는 본인 인증 결과(즉, 성공 또는 실패)를 본인 인증 서비스 서버(200)로 전송한다[도 3의 S40 참조]. 전송된 본인 인증 결과에 근거하여 본인 인증 서비스 서버(200)는 해당 사용자에 관한 본인 인증 여부를 결정한다.
다른 실시예에 의할 때, 상술한 도 3의 본인 인증 절차는 아래 설명에서와 같은 통신 환경일 때에만 정상적으로 실행되도록 할 수도 있다. 예를 들어, 모바일 앱(50)이 사용자 모바일 기기(100)의 통신 상태를 점검하여 통신망이 3G/LTE 망일때에만 상술한 본인 인증 절차가 실행되도록 할 수 있다. 해킹 방법의 하나로서 WIFI 등 근거리 무선 통신이 가능한 범위 내에 있는 해커가 사용자의 정보를 탈취하는 경우가 존재하는 바, 이러한 해킹 시도를 차단하기 위하여 3G/LTE 망 등과 같이 원거리 무선 통신망을 통한 접속 및 인증 시도만을 허용하는 방식을 도입할 수도 있는 것이다.
또 다른 실시예에 의할 때, 도 3을 통해서 설명한 본인 인증 절차 이외에 다음과 같은 절차들이 더 추가될 수도 있다.
앞서 설명한 도 3의 경우, 모바일 앱(50)이 사용자 모바일 기기(100)에 설치된 경우를 중심으로 설명한 것이지만, 이와 다양한 케이스가 존재할 수 있다. 예를 들어, 모바일 앱(50)이 인증용 모바일 앱이고, 이러한 인증용 모바일 앱이 설치된 단말기(이하, 이를 인증 단말기라 명명함)와 서비스에 접속하는 단말기(이하, 이를 접속 단말기라 명명함)가 각각 별도로 존재하는 케이스도 존재할 수 있다.
위와 같은 경우라면, 추가 인증 조건으로서 해당 서비스에 접속하는 접속 단말기와 해당 접속자가 사용하는 인증 단말기의 위치를 비교하여, 상호 간의 위치가 사전 지정된 범위 내에 있는 경우에만(즉, 접속 단말기와 인증 단말기가 소정 범위 내에 인접하여 위치하는 경우에만) 본인 인증 절차가 정상적으로 허용되도록 하는 제한을 둘 수도 있다.
이때, 접속 단말기의 위치는 확인된 접속 IP 주소 값에 근거하여 획득하고, 인증 단말기의 위치는 해당 단말기의 GPS 정보에 근거하여 획득할 수 있다. 물론, 접속 단말기의 위치도 해당 단말기의 GPS 정보에 근거하여 획득할 수 있을 것임은 물론이다. 이와 같은 방법으로 상호 간의 위치 차이를 계산하고 그 위치 차이가 크지 않은 경우에만 본인 인증 절차를 정상적으로 허용할 수 있는 것이다. 인증 단말기를 소지한 사용자가 접속 단말기를 이용하여 서비스 접속을 시도하는 경우가 통상적인 바, 이와 달리 인증 단말기와 멀리 떨어져있는 접속 단말기를 통한 서비스 접속 시도는 해커에 의한 접속 시도라고 볼 경우가 대부분일 것이기 때문이다.
이하, 도 4의 본인 인증 절차에 관하여 설명한다. 다만, 도 4의 본인 인증 절차에서, S51, S52, S53, S55, S56, S57, S58, S59, S60는 앞서 설명한 도 2에서와 실질적으로 대동소이한 내용의 단계들인 바, 이하에서는 도 2에서와 상이한 사항들에 대해서만 설명하기로 한다.
도 4의 케이스에서는 S54를 통해서 SMS 인증값을 생성하는 과정에서 사용자 모바일 기기(100)의 IP 주소를 이용하고 있다. 이를 위해, 도 4의 S53-2에 의하면, SMS 인증값 생성에 이용될 사용자 모바일 기기(100)의 IP 주소를 확인한다. 즉, 도 4에서는 통신사가 해당 사용자의 모바일 기기(100)에 할당한 IP 주소(그 IP 주소의 전부 또는 일부)를 인증값 생성 변수로서 활용하고 있다는 점에서 전술한 도 2에서와 상이하다.
이하, 도 5의 본인 인증 절차에 관하여 설명한다. 다만, 도 5의 본인 인증 절차에서도, S71, S73, S74, S75, S76, S77, S78, S79, S80는 앞서 설명한 도 2, 도 4에서와 실질적으로 대동소이한 내용의 단계들인 바, 이하에서는 앞서 도면들에서와 상이한 사항들에 대해서만 설명하기로 한다.
도 5의 케이스에서는 S72-2를 통해서 본인 인증 서비스 서버(200)가 사용자 정보를 통신사 서버(300)로 전송할 때, 그 사용자 정보뿐만 아니라 사용자 모바일 기기(100)의 IP 주소도 함께 전송한다는 점에 특징이 있다. 이를 위해 본인 인증 서비스 서버(200)는 전체 절차의 전반부(도 5의 S72 참조)에 미리 사용자 모바일 기기(100)의 IP 주소를 확인하는 과정을 수행하고 있다.
도 6 ~ 도 10에서, '모바일 인증기(40)'는 서비스 인증 또는/및 사용자 인증을 수행하는 별도의 인증용 모바일 기기일 수도 있고, 인증 기능을 대행하는 에이전트 프로그램 또는 모바일 앱일 수도 있다. 또한, 도 6 ~ 도 10에서는 '모바일 인증기(40)'가 '사용자 단말기(10)'와 분리된 장치인 것으로 도시되어 있지만, 반드시 이와 같을 필요는 없다. 만일 '사용자 단말기(10)가 진정한 사용자가 사용하는 단말기인 경우라면, 모바일 인증기로서의 기능도 함께 수행할 수도 있다. 예를 들어, 모바일 인증앱 또는 이러한 기능을 실행하는 위젯 형태의 프로그램이 사용자 단말기에 설치될 수 있으며, 모바일 OS가 제공하는 방식에 따라서 하나의 서비스 앱 위에 별도의 윈도우 레이어로 구성된 모바일 인증앱으로 구성될 수도 있다. 또한, 도 6 ~ 도 10에서는 '온라인 서비스 서버(20)'와 '인증 서버(30)'가 각각 별도로 구비된 경우를 가정하고 있지만, 온라인 서비스 서버(20)가 인증 서버의 역할도 함께 수행할 수도 있을 것이다.
또한 이하 설명할 도 6 ~ 도 10의 인증 절차에서의 각 단계에 관한 식별번호(즉, S111, S112, S113 등)는 각 단계를 구분 설명하기 위한 것일 뿐, 절차적 순서를 정의한 것은 아님을 명확히 해둔다. 논리적으로 어느 한 단계가 실행된 이후에야 다른 단계가 실행될 수 있는 경우가 아닌 이상, 각 단계는 그 식별번호의 선후와 상관없이 병렬적으로 또는 동시에 실행될 수도 있음은 물론이다. 경우에 따라서는 그 식별번호의 선후와 다른 순서로 각 단계가 실행될 수도 있음도 자명하다. 본 발명의 핵심적 기술 특징이 충분히 반영될 수 있는 한도에서, 각 단계의 순서 또한 다양한 변형이 가능할 것이기 때문이다. 다만, 이하에서는 설명의 집중 및 편의 상, 도면에 도시된 순서에 따라 각 단계를 설명하기로 한다. 이하, 첨부된 도면들을 참조하여 본 발명의 실시예들을 상세히 설명한다.
도 6은 본 발명의 실시예에 따른 사용자 중심의 서비스 인증 기술의 흐름을 도시한 도면이고, 도 7은 기존의 서비스 중심의 사용자 인증에 관한 실시 예시와 본 발명의 실시예에 따른 사용자 중심의 서비스 인증에 관한 실시 예시를 도시한 도면이다.
본 발명의 실시예에 따른 사용자 중심의 서비스 인증 기술은, 사용자가 온라인 서비스를 사용하는데 있어서, 서비스 중심에서 온라인 서비스 서버가 사용자 암호를 검증하는 것이 아니라, 사용자 중심에서 서비스 암호를 검증함으로써 사용자가 암호를 외우거나 입력하지 않고서도 사용자 중심에서 서비스를 인증하는 방법 및 시스템에 관한 것이다.
보다 구체적으로는 서비스가 먼저 서비스 암호를 사용자 단말기의 화면 상에 제시하고 이때 제시된 서비스 암호와 사용자의 모바일 인증기에 표시된 서비스 암호 간의 서로 일치하는지를 판단하여, 모바일 인증기로부터 상호 간의 암호 일치에 따른 검증값이 인증 서버로 전달되면, 사용자 단말기에 서비스를 제공하는 사용자 중심의 서비스 인증 기술이 제공된다. 이하, 이에 관하여 도 6 및 도 7을 참조하여 구체적으로 설명하기로 한다.
도 6을 참조하면, 사용자는 온라인 서비스를 사용하고자 하는 단말기(10)에 사용자 ID를 입력한다[도 6의 S111 참조].
종래 기술에 의할 때, 특정 온라인 서비스를 사용하고자 하는 사용자는 도 7의 (A)에 도시된 바와 같이 자신의 단말기의 화면 상에 표출되는 입력폼에 사용자 ID와 사용자 암호(User Password)를 입력하고 로그인 버튼을 선택하여 서비스 사용을 위한 사용자 인증을 요청한다. 이와 달리, 본 발명의 실시예에 따른 사용자 중심의 서비스 인증 기술에서는 도 7의 (B)의 우측 화면에서와 같은 입력폼(도면부호 12 참조) 중 상단의 ID 입력창(도면번호 13 참조)에 자신의 사용자 ID만을 입력한다.
이러한 사용자 ID의 입력에 따라, 사용자 단말기(10)는 서비스 사용을 하고자 하는 온라인 서비스 서버(20)로 입력된 사용자 ID를 전송한다[도 6의 S112 참조]. 예를 들어, 사용자 단말기(10)는 사용자가 ID 입력창에 아이디 문자열과 엔터키가 입력되거나 또는 아이디 문자열을 입력한 이후 ID 입력창 밖으로 커서가 움직이는 이벤트가 발생되면, 입력된 사용자 ID를 온라인 서비스 서버(20)로 전송할 수 있다.
사용자 ID를 수신한 온라인 서비스 서버(20)는 해당 ID가 서비스에 가입되어 있는 등록된 ID인지를 확인하고[도 6의 S113 참조], 만일 가입된 ID로 판단된 경우 인증 서버(30)로 서비스 암호를 요청한다[도 6의 S114 참조]. 여기서, 서비스 암호는 사용자가 접속한 서비스가 해당 서비스를 제공하는 진정한 서비스 주체에 의한 서비스인지를 확인하기 위한 용도의 암호를 의미한다. 동시에 서비스 암호는 서비스에 접속한 사용자가 해커나 악의적 접속자가 아닌 진정한 사용자인지를 판단하는데도 활용된다. 경우에 따라서, 도 6의 S114의 서비스 암호 요청 과정에서 사용자 ID도 인증 서버(30)로 전송될 수 있다.
이때, 전술한 도 6의 S113은 다음과 같이 변형될 수도 있다. 만일 해당 서비스가 사용자의 선택에 따라서 통상의 인증 절차(사용자 ID와 사용자 암호의 입력을 요구하는 인증 절차)와 본 발명의 실시예에 따른 사용자 중심의 서비스 인증 절차 중 어느 하나를 선택할 수도 있도록 구현된 경우라면, 도 6의 S113은 사용자 ID가 등록된 ID인지를 확인하는 절차 이외에도 사용자 중심의 서비스 인증 방식에 추가로 가입되어 있는 사용자인지를 확인하는 절차도 함께 수행될 수 있다. 만일 사용자 중심의 서비스 인증 방식에 가입되어 있지 않은 사용자로 판별된 경우, 온라인 서비스 서버(20)는 도 7의 (A)에서와 같은 통상적인 사용자 인증을 위한 입력폼이 사용자 단말기(10)의 화면 상에 표출되도록 하고 사용자 암호 입력창에 커서가 표시되도록 할 수 있다. 다만, 이하에서는 설명의 편의 및 집중을 위해 해당 사용자가 본 발명의 실시예에 따른 사용자 중심의 서비스 인증 방식에 가입된 사용자인 경우를 가정하여 설명하기로 한다.
온라인 서비스 서버(20)로부터의 서비스 암호 요청에 따라, 인증 서버(30)는 서비스 암호를 생성한다[도 6의 S115 참조]. 이때, 서비스 암호는 임의의 랜덤값, 난수값, OTP(one time password) 등이 사용될 수 있으며, 그 생성 방식 또한 특별한 제한이 없음은 물론이다. 또한, 경우에 따라서 해당 사용자 ID에 상응하는 특정 정보를 암호 생성의 시드값으로 하여 서비스 암호를 생성할 수도 있고, 서비스 암호의 생성 과정에서 암호 생성 조건으로서 시간, 시도 횟수 등을 추가로 활용할 수도 있을 것이다. 이는 이후 설명할 각종 암호값들에도 동일 또는 유사하게 적용될 수 있다.
인증 서버(30)는 생성한 서비스 암호를 해당 사용자 ID에 상응하여 미리 등록된 모바일 인증기(40)로 전달할 수 있다[도 6의 S116 참조]. 이때, 모바일 인증기(40)가 인증 앱인 경우, 해당 인증 앱의 푸시 ID에 근거하여 해당 서비스 암호를 푸시 메시지로 인증 앱으로 전달할 수 있다. 다른 예로서, ARS를 이용하거나, SMS를 이용하는 방식으로 서비스 암호를 전달할 수도 있을 것이다. 또한 경우에 따라서 후술할 암호 조건값도 모바일 인증기(40)로 추가 전달될 수 있음은 물론이다.
또한, 인증 서버(30)는 생성한 서비스 암호를 온라인 서비스 서버(20)로 전송할 수 있다. 이때, 필요에 따라서는 서비스 암호와 함께 암호 조건값도 함께 온라인 서비스 서버(20)로 전송할 수 있다[도 6의 S117 참조]. 여기서, 암호 조건값이란, 서비스 암호가 일치하는지 여부를 승인할 수 있는 최대 유효시간(예를 들어, 1분 등)이거나, 생성된 서비스 암호를 취소할 수 있도록 로그인 창 하단에 표시될 취소 버튼의 표출 여부 등일 수 있다(도 7의 (B)의 도면번호 12의 입력폼 참조).
온라인 서비스 서버(20)를 해당 정보들을 사용자 단말기(10)로 전송하고[도 6의 S118 참조], 사용자 단말기(10)는 수신된 서비스 암호 또는/및 암호 조건이 단말 화면 상에 표출될 수 있도록 한다[도 6의 S119 참조]. 이때, 도 6의 S119에 따라 사용자 단말기(10)에 표출되는 화면의 예시가 도 7의 (B)의 도면번호 12의 입력폼 중 도면번호 14를 통해 도시되어 있다.
이와 같이 사용자 단말기(10) 화면 상에 서비스 암호 또는/및 암호 조건이 표시된 이후에는, 서비스 인증의 완료 여부에 관한 주기적 확인 과정이 추가될 수 있다[도 6의 S120 참조]. 즉, 사용자 단말기(10)는 온라인 서비스에 서비스 암호의 검증값이 도착하여 서비스 인증이 이루어졌는지를 주기적으로 확인할 수 있다. 물론 이때, 기술적 구현 방식에 따라서 온라인 서비스 서버(10)가 사용자 단말기(10)에 먼저 통지하는 방식으로 구성할 수도 있음도 자명하다.
또한, 앞선 도 6의 S116에 따라 서비스 암호가 모바일 인증기(40)로 전달되면, 모바일 인증기(40)는 단말기 화면 상에 또는 앱 화면 상에 수신한 서비스 암호를 표출할 수 있다[도 6의 S121 참조]. 이때, 모바일 인증기(40)에 서비스 암호가 표출되는 예시가 도 7의 (B)의 좌측 화면의 도면번호 44를 통해 도시되고 있다.
도 7의 (B)의 도면번호 14 및 도면번호 44의 서비스 암호 표시창을 참조하면, 양자 모두 서비스 암호 표시창 안에 서비스 암호가 표시됨과 아울러, 암호 조건으로서 해당 서비스 암호의 검증 유효 시간이 서비스 암호 표시창에 타임 랩스 바(Time Lapse Bar) 형태로 표시되고 있음을 확인할 수 있다. 즉, 서비스 암호 표시창에는 서비스 암호와 함께 서비스 암호의 표시 조건으로서 검증 유효 시간의 경과 또는 잔여 유효 시간이 표시창 내에서 표출됨으로써, 해당 서비스 암호의 유효 시간을 사용자가 시각적으로 확인할 수 있도록 할 수 있다. 이와 같이, 구성에 따라서 서비스 암호 표시창에 자동으로 서비스 암호가 표시되고, 서비스 암호 조건에 따라서 서비스 암호 검증 유효 시간이 함께 표시되거나 시간에 관계 없이 서비스 암호 표시를 취소할 수 있다. 또한 구성에 따라서 서비스 암호 조건은 별도의 전송되는 변수가 아닌 서비스 암호 표시창에 고정형태로 사전에 적용되어 구성될 수도 있음은 자명하다.
상술한 바에 따라, 만일 해당 서비스 암호의 유효 시간이 경과되는 경우, 전술한 도 6의 S115, S116, S117, S118, S119, S121이 재수행되고, 갱신된 서비스 암호가 각 화면 상에 다시 표시될 수 있다. 이때, 검증 유효 시간에 관한 시각적 표시도 갱신된다.
또한, 도 7에서는 하나의 화면에 사용자 ID와 서비스 암호가 동시에 표출되는 경우를 예시하고 있지만, 사용자 ID 입력 화면과 서비스 암호 표시 화면은 서로 다른 화면에 구성될 수도 있음은 자명하다.
상술한 바와 같이, 모바일 인증기(40)의 화면을 통해서 서비스 암호가 표출되면, 사용자는 모바일 인증기(40) 화면 상에 표출된 서비스 암호(도 7의 (B)의 도면번호 44 참조)와 사용자 단말기(10)의 화면 상에 표출된 서비스 암호(도 7의 (B)의 도면번호 14 참조) 간의 일치 여부를 확인할 수 있다. 만일 그 2개의 서비스 암호가 일치하는 경우, 사용자는 자신이 접속한 서비스가 진정한 서비스 주체에 의한 서비스임을 확인할 수 있게 된다. 이에 따라 사용자가 해당 서비스에 대한 동의를 입력하면, 모바일 인증기(40)는 인증 서버(30)로 서비스 암호 검증값을 전송한다[도 6의 S122 참조].
여기서, 해당 서비스에 대한 사용자 동의는 다음과 같은 방법들이 이용될 수 있다. 일 예로, 도 7의 (B)의 좌측 도면 하단의 로그인 버튼(45)을 선택하는 방식이 이용될 수 있다. 다른 예로서, 도 6의 S116 단계에 따른 서비스 암호의 전달이 푸시 메시지로 이루어진 경우에는 그 푸시 메시지에 관한 응답으로서 동의를 하는 방식이 이용될 수 있다. 또 다른 예로서, ARS를 이용하여 서비스 암호를 음성으로 들려준 후 사용자의 동의시 *, #버튼을 누르게 할 수 있고, SMS를 이용하여 사용자가 동의 여부를 문자로 회신을 주거나, SMS에 포함된 특정 주소를 클릭하게 하여 동의를 구할 수도 있음은 자명하다. 도 7의 (B)의 좌측 도면의 하단에는 사용자 동의를 위한 로그인 버튼(45)만이 표시되고 있지만, 취소 버튼이 더 표시될 수도 있음은 자명하다.
또한 여기서, 도 6의 S122를 통해서 인증 서버(30)로 전달되는 서비스 암호 검증값은 모바일 인증기(40)가 수신한 서비스 암호와 동일한 값일 수도 있지만, 경우에 따라서는 이와 다른 값이 이용되거나 또는 추가될 수도 있다. 예를 들어, 서비스 암호 검증값은 해당 값이 사용자의 모바일 인증기(40)로부터 발송된 것임을 검증할 수 있도록, 공개키 기반의 거래부인방지 기술이나 OTP를 이용한 데이터 연동 OTP 값이 이용되거나 더 추가될 수 있는 것이다. 다만, 이하에서는 설명의 편의 및 집중을 위해, 서비스 암호와 동일한 서비스 암호 검증값이 인증 서버(30)로 전송되는 것으로 가정하여 설명하기로 한다.
상술한 과정을 통해서, 서비스 암호와 일치하는 서비스 검증값이 수신되면[도 6의 S123 참조], 인증 서버(30)는 인증 성공을 알리는 인증 결과를 온라인 서비스 서버(20)로 전송하고[도 6의 S124 참조], 이에 따라 온라인 서비스 서버(20)는 해당 사용자 단말기(10)를 통한 서비스 사용을 허용한다[도 6의 S125 참조].
이상의 절차들을 통해서 확인할 수 있는 바와 같이, 본 발명의 실시예에 따른 사용자 중심의 서비스 인증 기술에 의하면, 해당 서비스가 진정한 서비스 주체에 의한 서비스임을 확인할 수 있고, 이와 동시에 해당 서비스 암호에 기초한 검증값이 사전 등록된 모바일 인증기(40)로부터 인증 서버(30)로 전달되는 과정을 통해서 사용자 진위 여부도 확인 가능한 바, 사용자 인증과 서비스 인증을 매우 간편한 방법으로 함께 처리할 수 있는 효과가 있다.
도 9 및 도 10은 본 발명의 다른 실시예에 따른 악의적 접속자의 접속 차단 기술을 설명하기 위한 도면이다. 본 발명의 실시예에 따른 악의적 접속자의 접속 차단 기술은, 사용자 암호 없이 사용자 ID와 사용자의 모바일 단말기를 이용하여 사용자 본인임을 인증하는 시스템에서 악의적 공격을 차단하는 방법 및 시스템에 관한 것이다.
보다 구체적으로는 사용자 ID와 모바일 인증기로 사용자 인증을 대신하는 온라인 서비스를 도용하기 위하여 해커에 의해 서비스에 정상 사용자 ID가 입력되면 모바일 인증기에 해당 서비스 접속을 승인, 취소, 해지, 차단하는 접속 판단 요청정보가 전달되고, 사용자가 주어진 시간 내에 접속 차단 명령을 선택하면 해당 ID에 대한 접속이 사전에 지정된 조건에 따라 해당 서비스에서 차단되도록 하며, 사용자가 주어진 시간 내에 접속을 승인했다 하더라도 해당 인증기에서 사전에 지정된 시간 내에 접속을 재차 해지할 수 있도록 하는 기술이 제공된다. 이하, 이에 관하여 도 9 및 도 10을 참조하여 구체적으로 설명하기로 한다. 이하의 설명 과정에서 앞서 설명한 내용과 중복될 수 있는 부분에 관한 설명은 생략하기로 한다.
도 9는 사용자의 서비스 암호 없이 사용자의 ID와 모바일 기기를 이용하여 사용자 인증을 하는 시스템에 있어서, 접속자를 인증한 이후 해당 접속자의 서비스 접속을 취소하는 흐름을 도시한 도면이다.
도 9를 참조하면, 사용자가 단말기(10)를 이용하여 서비스에 접속한 후 ID를 입력하면[도 9의 S131 참조], 사용자 단말기(10)는 입력된 사용자 ID를 온라인 서비스 서버(20)로 전송한다[도 9의 S132 참조]. 온라인 서비스 서버(20)는 수신한 사용자 ID가 가입된(등록된) ID인지를 확인하고[도 9의 S133 참조], 등록된 ID인 경우 인증 서버(30)로 해당 사용자 ID에 관한 인증을 요청한다[도 9의 S134 참조]. 이때, 도 9의 S134에서 온라인 서비스 서버(20)는 인증에 필요한 사용자 정보, 단말기 정보, 서버 정보 등을 인증 서버(30)로 함께 전송할 수 있다.
여기서, 상기 사용자 정보는 접속한 사용자의 ID를 포함한 개인식별정보이며, 상기 단말기 정보는 접속한 단말기의 IP주소(공인 또는 사설 IP), 접속한 클라이언트 종류와 버전 등 서버 변수를 통하여 자동으로 온라인 서비스 서버가 알아 낼 수 있는 정보이며, 상기 서버 정보는 온라인 서비스 서버의 IP 주소와 인증을 요청한 접속 클라이언트와의 접속을 위해 생성한 서버의 세션 ID 등일 수 있다. 또한 구성에 따라서 클라이언트 단말기에 대응하기 위하여 자동으로 생성되는 세션 ID 이외에 온라인 서비스 서버가 클라이언트 단말기와의 통신을 위하여 임의의 고유값을 생성하는 모든 기술은 이하 세션 ID로 총칭한다.
사용자 ID의 인증 요청에 따라, 인증 서버(30)는 해당 사용자 ID에 연동된(즉, 해당 사용자 ID에 관하여 사전에 등록된) 모바일 앱의 푸시 ID를 조회하고[도 9의 S135 참조], 해당 푸시 ID를 이용하여 인증 요청 푸시 메시지(즉, 인증 요청값을 포함하는 푸시 메시지)를 모바일 인증기(40)로 전달한다[도 9의 S136 참조].
이때, 상기 인증 요청값은 인증요청 ID, 인증요청 시도횟수, 인증요청 현재시간, 서버 IP주소, 서버 세션 ID, 접속한 사용자 단말기의 공인 IP주소, 접속한 사용자 단말기의 사설 IP주소, 접속한 사용자 단말기의 브라우져 버전 등 온라인 서비스 서버(20)로부터 전달받았거나 인증 서버(30)에 사전에 등록된 다양한 값들 중 적어도 하나일 수 있다.
상기 푸시 메시지의 수신에 따라, 모바일 인증기(40)는 인증 앱을 구동하고[도 9의 S137 참조], 해당 푸시 메시지의 수신에 따른 상술한 정보 또는 이를 가공한 정보와 함께 사용자의 접속 동의 여부를 표시할 수 있다[도 9의 S138 참조]. 이때, 인증 앱 화면에는 사용자로부터 지정된 시간 내에 접속 동의 또는 취소의 입력을 받을 수 있는 항목들이 표출될 수 있다.
만일 사용자로부터 접속 동의 입력이 존재하는 경우[도 9의 S139 참조], 모바일 인증기(40)는 인증 동의값을 생성하여 인증 서버(30)에 전송한다[도 9의 S140 참조]. 이때, 인증 동의값은 모바일 앱이 구동되는 모바일 인증기(40)의 환경값(예를 들어, 해당 모바일 기기의 IP 주소, 프로세스 ID, 기기 시간, 통신사에서 부여해준 시간 등)과 인증 서버(30)로부터 받은 정보 중 적어도 하나에 근거하여 생성될 수 있다.
인증 서버(30)는 수신된 인증 동의값이 정당한 모바일 인증기(40)(또는 인증앱)으로부터 전달된 것인지를 검증하고[도 9의 S141 참조], 해당 인증값이 정당한 모바일 인증기(40)로부터 수신된 것이 맞는 경우, 온라인 서비스 서버(20)로 인증 성공 메시지를 전달한다[도 9의 S142 참조].
도 9에서는 인증 서버(30)가 모바일 인증기(40)로부터 인증 동의값을 직접 수신하는 경우를 도시하였지만, 인증 동의값은 온라인 서비스 서버(20)를 경유하거나 또는 제3의 별도의 중계 서버를 경유하여 인증 서버(30)로 전달될 수도 있음은 자명하다.
인증 성공 메시지의 수신에 따라, 온라인 서비스 서버(20)는 해당 사용자 단말기(10)에 관한 사용자 인증을 완료하고 이에 따른 서비스를 개시한다[도 9의 S143 참조].
이상에서 설명한 도 9의 S131 ~ S143까지의 과정은 종래 기술(도 8 참조)에서와 실질적으로 동일하다. 다만, 앞서도 설명한 바이지만, 사용자들은 종종 모바일 인증기(40)에 표시되는 암호 등을 정확히 확인하지 않는 이유로 혹은 조작 미숙, 실수로 인해 악의의 접속자에 의한 서비스 사용을 허용하는 일이 종종 발생한다. 따라서 사용자의 실수로 악의적 접속자에 의한 서비스 사용을 일단 허용한 이후라도 이를 취소(즉, 그 접속을 해지)할 수 있는 방법이 필요하다. 이를 위해서 본 발명의 실시예에서는 도 9의 S144 ~ S149에 따라 악의적 접속자의 접속을 해지할 수 있는 방법을 제안한다.
본 발명의 실시예에 의할 때, 앞선 단계에 따라 악의적 접속자의 서비스 사용을 허용하였음을 인지한(혹은 자신의 조작 실수를 인지한) 사용자는 소정의 제한된 시간 내에 해당 서비스에 대한 접속 해지(또는 취소)를 요청할 수 있다. 이를 위해, 접속 동의가 이루어진 이후에도 지정된 일정 시간 동안, 모바일 인증기(40)의 앱 화면 상에는 해당 서비스에 관한 접속 해지 요청 버튼이 활성화될 수 있다[도 9의 S144 참조].
이때, 접속 해지는 사전에 지정된 시간 내(예를 들어, 접속 동의 후 3분, 또는 세션 ID가 유효한 시간 내 등)에서만 가능하도록 하는 등 정책적으로 제한할 수 있다. 이러한 경우, 지정된 시간이 초과되면 앱 화면을 초기화시키거나 인증 앱을 종료시킬 수 있다. 물론, 접속 해지 요청에 관한 시간 제한은 필수적 사항이 아님은 물론이다.
이에 따라 사용자가 접속 해지를 요청하면[도 9의 S145 참조], 모바일 인증기(40)는 접속 해지값을 생성하고 이를 인증 서버(30)로 전송한다[도 9의 S146 참조]. 이때, 접속 해지값 또한 모바일 앱이 구동되는 모바일 인증기(40)의 환경값(예를 들어, 해당 모바일 기기의 IP 주소, 프로세스 ID, 기기 시간, 통신사에서 부여해준 시간 등)과 인증 서버(30)로부터 받은 정보 중 적어도 하나에 근거하여 생성될 수 있다.
접속 해지값이 수신되면, 인증 서버(30)는 해당 접속 해지값이 정당한 모바일 인증기(40)로부터 전달된 것인지를 검증하고[도 9의 S147 참조], 정당한 모바일 인증기(40)로부터 전달된 것이 맞는 경우, 온라인 서비스 서버(20)에게 접속 해지 요청 메시지를 전송한다[도 9의 S148 참조]. 이에 따라 온라인 서비스 서버(20)는 기존의 서비스 접속을 해지 처리할 수 있다[도 9의 S149 참조].
도 10은 사용자의 서비스 암호 없이 사용자의 ID와 모바일 기기를 이용하여 사용자 인증을 하는 시스템에 있어서, 악의적인 접속자가 사용자의 ID로 인증을 시도하는 경우 이를 차단하는 흐름을 도시한 도면이다. 여기서, 도 10의 S151, S152, S153, S154, S155, S156, S157은 앞서 설명한 도 9에서와 실질적으로 동일한 과정들인 바, 이에 대한 중복되는 설명은 생략하기로 한다.
도 10은 악의적인 접속자가 자신의 단말기(도 10의 사용자 단말기(10) 참조)를 이용하여 타인의 사용자 ID를 이용하여 서비스에 접속하려고 시도하는 경우에, 이를 미연에 차단하는 방법에 관한 것이다. 즉, 도 10은 악의적 접속자의 서비스 접속을 위한 인증 요청에 따라, 진정한 사용자의 모바일 인증기(40)로 인증 요청값을 포함하는 푸시 메시지가 전달된 경우를 도시한 것이다.
상술한 바와 같이 인증 요청값이 수신되면, 모바일 인증기(40)는 화면을 통해서 해당 푸시 메시지 수신에 따른 전술한 정보들 또는 이를 가공한 정보와 함께 사용자의 접속 동의, 취소, 차단을 표시한다[도 9의 S158 참조]. 이때, 사용자로부터 제한된 시간 내 접속 차단 또는 취소 요청이 입력되면[도 9의 S159 참조], 모바일 인증기(40)는 접속 차단값을 생성하여 이를 인증 서버(30)로 전송한다[도 9의 S160 참조].
이때, 접속 차단값 또한 모바일 앱이 구동되는 모바일 인증기(40)의 환경값(예를 들어, 해당 모바일 기기의 IP 주소, 프로세스 ID, 기기 시간, 통신사에서 부여해준 시간 등)과 인증 서버(30)로부터 받은 정보 중 적어도 하나에 근거하여 생성될 수 있다.
접속 차단값이 수신되면, 인증 서버(30)는 해당 접속 차단값이 정당한 모바일 인증기(40)로부터 전달된 것인지를 검증하고[도 9의 S161 참조], 정당한 모바일 인증기(40)로부터 전달된 것이 맞는 경우, 온라인 서비스 서버(20)에게 접속 차단 요청 메시지를 전송한다[도 9의 S162 참조]. 이에 따라 온라인 서비스 서버(20)는 악의적 접속자에 의한 접속 시도를 차단 처리하고[도 9의 S163 참조], 이를 해당 사용자 단말기(10)로 안내할 수 있다[도 9의 S164 참조].
또한, 구성 방식에 따라서, 온라인 서비스 서버(20) 또는 인증 서버(30)는 차단되도록 보내온 사용자 ID, 차단된 단말기 IP주소, 차단 시간(개시 시간, 마감 시간 등), 유효 시간을 보관 관리하고 있다가 접속한 사용자 단말기에서 동일한 조건으로 인증 요청이 수행되는 경우, 자체적으로 사용자 인증 요청을 차단할 수도 있다. 또한 이때, 사전에 지정한 주기에 따라 유효 시간을 검사하여 해당 차단 조건을 갱신할 수 있다.
상술한 본 발명의 실시예들에 따른 인증 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다.
이상에서는 본 발명의 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 쉽게 이해할 수 있을 것이다.

Claims (14)

  1. SMS(Short Message Service)를 이용하여 사용자 인증을 수행하는 인증 서비스 시스템으로서, 인증 서비스 컴포넌트 및 검증 컴포넌트를 포함하고,
    상기 인증 서비스 컴포넌트는,
    인증 기본 정보로서 수신된 사용자 정보를 상기 검증 컴포넌트로 전달하고, 사용자 인증을 위해 접속된 모바일 기기의 접속 정보인 IP 주소를 확인하고, 확인된 상기 모바일 기기의 IP 주소 및 상기 모바일 기기로부터 입력된 SMS 인증값을 상기 검증 컴포넌트로 전달하며,
    상기 검증 컴포넌트는,
    상기 전달된 사용자 정보에 상응하여 해당 사용자의 인증에 사용될 SMS 인증값을 생성하고 생성된 SMS 인증값을 해당 사용자 정보에 상응하는 등록된 모바일 기기로 전송하고, 상기 등록된 모바일 기기에 대하여 통신사가 할당한 IP 주소를 확인하고, 상기 인증 서비스 컴포넌트로부터 전달된 SMS 인증값과 상기 생성된 SMS 인증값 간의 일치 여부 및 상기 인증 서비스 컴포넌트로부터 전달된 IP 주소와 상기 확인된 통신사 할당 IP 주소 간의 일치 여부에 따라 사용자 인증의 적부에 관한 검증을 수행하는, 인증 서비스 시스템.
  2. 제1항에 있어서,
    상기 SMS 인증값은 상기 등록된 모바일 기기에 대하여 통신사가 할당한 IP 주소의 전부 또는 일부를 시드값으로 활용하여 생성한 인증값인 것을 특징으로 하는, 인증 서비스 시스템.
  3. 제1항에 있어서,
    상기 사용자 인증이 해당 사용자의 모바일 기기에 설치된 모바일 앱을 통해 실행되고 있는 경우,
    상기 인증 서비스 컴포넌트는, 상기 모바일 앱의 푸시 ID를 수신하고, 수신된 푸시 ID를 상기 검증 컴포넌트로 전달하며,
    상기 검증 컴포넌트는, 푸시 인증값을 생성하고, 상기 푸시 ID를 참조하여 생성된 푸시 인증값을 푸시 메시지로 상기 모바일 앱으로 전송하며, 상기 푸시 인증값을 사용자 인증 과정의 추가 인증요소로 활용하는, 인증 서비스 시스템.
  4. 제3항에 있어서,
    상기 인증 서비스 컴포넌트는, 접속된 모바일 기기로부터 수신된 푸시 인증값을 상기 검증 컴포넌트로 전달하고,
    상기 검증 컴포넌트는, 상기 인증 서비스 컴포넌트로부터 전달된 푸시 인증값과 상기 생성된 푸시 인증값 간의 추가 일치 여부를 상기 사용자 인증의 적부에 관한 검증에 활용하는, 인증 서비스 시스템.
  5. 제1항에 있어서,
    상기 사용자 인증을 위해 접속된 모바일 기기와 상기 SMS 인증값을 수신하는 등록된 모바일 기기가 서로 다른 기기인 경우,
    상기 검증 컴포넌트는, 상기 접속된 모바일 기기의 IP 주소에 상응하여 획득되는 위치 정보와 상기 등록된 모바일 기기의 현재 GPS 정보에 상응하여 획득되는 위치 정보 간을 비교하여 서로 사전 지정된 위치 범위 내에 있는지 여부에 따라 상기 사용자 인증의 적부에 관한 검증을 수행하는, 인증 서비스 시스템.
  6. 제1항에 있어서,
    상기 인증 서비스 컴포넌트는, 사용자가 접속하고자 하는 서비스에 관한 서비스 서버 또는 해당 서비스 서버에 관한 인증 절차를 대행하는 인증 대행 서버에 구현되고,
    상기 검증 컴포넌트는, 통신사 서버 또는 상기 인증 대행 서버에 구현되는, 인증 서비스 시스템.
  7. 사용자 중심의 인증을 수행하는 인증 시스템으로서,
    온라인 서비스 서버에 관한 인증 절차를 대행하는 인증 서비스 컴포넌트와, 상기 온라인 서비스 서버에 접속하는 접속 단말기에 관한 인증 절차를 대행하는 모바일 인증 에이전트 컴포넌트를 포함하고,
    상기 인증 서비스 컴포넌트는,
    인증 기본 정보로서 상기 접속 단말기로부터 입력된 사용자 정보에 상응하는 모바일 인증 에이전트 컴포넌트를 확인하고, 확인된 모바일 인증 에이전트 컴포넌트 및 상기 접속 단말기가 접속하고자 하는 온라인 서비스 서버로 인증 암호값을 각각 전송하고, 상기 모바일 인증 에이전트 컴포넌트로부터 상기 인증 암호값에 상응하는 암호 검증값 또는 인증 동의값이 수신되는 경우 상기 온라인 서비스 서버로 인증 성공 메시지를 전송하는 것을 특징으로 하는, 인증 시스템.
  8. 제7항에 있어서,
    상기 인증 서비스 컴포넌트는, 상기 온라인 서비스 서버로 상기 인증 암호값에 대한 암호 유효시간 정보를 상기 추가 전송하고,
    상기 온라인 서비스 서버는, 인증 암호 표시창을 통해서 상기 인증 암호값과 상기 암호 유효시간이 함께 표시되도록 하는 GUI(Graphical User Interface)가 상기 접속 단말기의 화면 상에 표출되도록 하는 것을 특징으로 하는, 인증 시스템.
  9. 제8항에 있어서,
    상기 인증 서비스 컴포넌트는, 상기 모바일 인증 에이전트 컴포넌트로 상기 인증 암호값에 대한 암호 유효시간 정보를 상기 추가 전송하고,
    상기 모바일 인증 에이전트 컴포넌트는, 인증 암호 표시창을 통해서 상기 인증 암호값과 상기 암호 유효시간이 함께 표시되도록 하는 GUI(Graphical User Interface)가 인증기 화면 상에 표출되도록 하는 것을 특징으로 하는, 인증 시스템.
  10. 제9항에 있어서,
    상기 인증 암호값은 상기 인증 암호 표시창 내에 숫자열 또는 문자열로 표시되고, 상기 암호 유효시간은 상기 인증 암호 표시창 내에서 타임 랩스 바(Time Lapse Bar) 형태로 표시되어 암호 유효시간의 경과를 시각적으로 안내하는 것을 특징으로 하는, 인증 시스템.
  11. 제10항에 있어서,
    상기 인증 서비스 컴포넌트는, 상기 암호 유효시간의 경과에 따라 상기 인증 암호값을 갱신 생성하여 상기 온라인 서비스 서버 및 상기 모바일 인증 에이전트 컴포넌트로 재전송하고,
    상기 인증 암호값의 갱신에 따라 인증 암호값과 암호 유효시간은 상기 인증 암호 표시창 내에서 갱신 표출되는 것을 특징으로 하는, 인증 시스템.
  12. 제7항에 있어서,
    상기 인증 성공 메시지의 전송에 따라 상기 접속 단말기에 관한 온라인 서비스 서버로의 서비스 사용이 허용된 이후, 상기 모바일 인증 에이전트 컴포넌트로부터 상기 인증 서비스 컴포넌트로 접속 해지값이 수신되는 경우,
    상기 인증 서비스 컴포넌트는, 상기 접속 해지값의 전송 주체가 서비스 접속자에 상응하는 등록된 모바일 인증 에이전트 컴포넌트인지 여부를 확인하고, 등록된 모바일 인증 에이전트 컴포넌트로부터 상기 접속 해지값이 수신된 것으로 확인된 경우 상기 온라인 서비스 서버로 접속 해지 요청 메시지를 전송하는 것을 특징으로 하는, 인증 시스템.
  13. 제7항에 있어서,
    상기 인증 암호값을 수신한 모바일 인증 에이전트 컴포넌트로부터 상기 인증 서비스 컴포넌트로 접속 차단값이 수신되는 경우,
    상기 인증 서비스 컴포넌트는, 상기 접속 차단값의 전송 주체가 서비스 접속자에 상응하는 등록된 모바일 인증 에이전트 컴포넌트인지 여부를 확인하고, 등록된 모바일 인증 에이전트 컴포넌트로부터 상기 접속 차단값이 수신된 것으로 확인된 경우 상기 온라인 서비스 서버로 접속 차단 요청 메시지를 전송하는 것을 특징으로 하는, 인증 시스템.
  14. 제13항에 있어서,
    상기 인증 서비스 컴포넌트는, 상기 접속 차단이 이루어진 접속 단말기에 관한 관련 정보를 보관하고, 접속 차단된 접속 단말기로부터 동일 조건의 인증 요청이 재차 시도되는 경우 해당 인증 요청을 자동 차단하는 것을 특징으로 하는, 인증 시스템.
PCT/KR2017/003340 2016-04-25 2017-03-28 인증 방법 및 시스템 WO2017188610A1 (ko)

Priority Applications (6)

Application Number Priority Date Filing Date Title
CN201780025398.6A CN109076080B (zh) 2016-04-25 2017-03-28 认证方法及系统
BR112018071839-4A BR112018071839A2 (pt) 2016-04-25 2017-03-28 método de autenticação e sistema
JP2019507057A JP6799142B2 (ja) 2016-04-25 2017-03-28 認証方法及びシステム
US15/540,034 US20180219851A1 (en) 2016-04-25 2017-03-28 Method and system for authentication
MX2018012991A MX2018012991A (es) 2016-04-25 2017-03-28 Metodo y sistema de autenticacion.
EP17789795.6A EP3451613B1 (en) 2016-04-25 2017-03-28 Authentication method and system

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
KR20160049777 2016-04-25
KR10-2016-0049777 2016-04-25
KR10-2016-0069790 2016-06-03
KR20160069790 2016-06-03

Publications (1)

Publication Number Publication Date
WO2017188610A1 true WO2017188610A1 (ko) 2017-11-02

Family

ID=60159957

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2017/003340 WO2017188610A1 (ko) 2016-04-25 2017-03-28 인증 방법 및 시스템

Country Status (8)

Country Link
US (1) US20180219851A1 (ko)
EP (1) EP3451613B1 (ko)
JP (1) JP6799142B2 (ko)
KR (1) KR102035312B1 (ko)
CN (1) CN109076080B (ko)
BR (1) BR112018071839A2 (ko)
MX (1) MX2018012991A (ko)
WO (1) WO2017188610A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107948204A (zh) * 2017-12-29 2018-04-20 咪咕文化科技有限公司 一键登录方法及系统、相关设备以及计算机可读存储介质

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5959070B2 (ja) 2014-07-30 2016-08-02 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 情報処理装置、端末、プログラム及び方法
WO2017009915A1 (ja) * 2015-07-10 2017-01-19 富士通株式会社 機器認証システム、管理装置及び機器認証方法
KR20180073041A (ko) * 2016-12-22 2018-07-02 삼성전자주식회사 전자 장치, 그 제어 방법 및 컴퓨터 판독가능 기록 매체
JP7092802B2 (ja) * 2018-01-16 2022-06-28 マクセル株式会社 使用者認証システムおよび携帯端末
CN109218334B (zh) * 2018-11-13 2021-11-16 迈普通信技术股份有限公司 数据处理方法、装置、接入控制设备、认证服务器及系统
US11641363B2 (en) * 2019-01-14 2023-05-02 Qatar Foundation For Education, Science And Community Development Methods and systems for verifying the authenticity of a remote service
JP6818309B1 (ja) * 2019-04-16 2021-01-20 株式会社シー・オー・コンヴ 期限管理サーバー、エージェント・プログラム及び端末貸出システム
KR102308103B1 (ko) * 2020-03-18 2021-10-01 한용완 일용근로자 일정 관리 시스템
CN113194465B (zh) * 2021-04-20 2023-11-24 歌尔股份有限公司 终端间的ble连接验证方法、装置及可读存储介质
WO2023022243A1 (ko) * 2021-08-17 2023-02-23 한용완 일용근로자 일정 관리 시스템
CN113709259B (zh) * 2021-10-29 2022-03-25 天聚地合(苏州)数据股份有限公司 对象的访问方法及服务系统
WO2024025562A1 (en) * 2022-07-29 2024-02-01 Visa International Service Association Stateless token replay protection
CN117155993B (zh) * 2023-10-27 2024-01-26 深圳品阔信息技术有限公司 在线状态计算方法、设备和介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080006061A (ko) * 2006-07-11 2008-01-16 김월영 Usb 토큰을 이용한 otp(일회용 암호)발생 방법 및인증방법,시스템,usb 토큰
KR20130118550A (ko) * 2012-04-20 2013-10-30 주식회사 엑스엘게임즈 사용자 인증 시스템 및 방법
KR20130128089A (ko) * 2012-05-16 2013-11-26 효성에프엠에스 주식회사 휴대폰 인증 시스템 및 그 방법
KR20140001442A (ko) * 2012-06-27 2014-01-07 네이버 주식회사 단문 메시지 서비스를 이용한 모바일 단말에서의 결제 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
KR101570314B1 (ko) * 2014-10-07 2015-11-18 (주)이스톰 원 타임 패스워드를 이용한 서비스 검증 방법
KR20160038450A (ko) * 2014-09-30 2016-04-07 에스케이텔레콤 주식회사 네트워크 기반의 인증 서비스 제공 방법 및 인증 서버

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030233580A1 (en) * 2002-05-29 2003-12-18 Keeler James D. Authorization and authentication of user access to a distributed network communication system with roaming features
US7774811B2 (en) * 2004-08-26 2010-08-10 Sony Corporation Method and system for use in displaying multimedia content and status
US7418257B2 (en) * 2004-08-31 2008-08-26 Pantech & Curitel Communications, Inc. Mobile communication terminal, wireless data service authentication server, system for automatically blocking voice call connection, and method of processing various messages in mobile communication terminal
JP2007043493A (ja) * 2005-08-03 2007-02-15 Pioneer Electronic Corp 議事進行を進捗管理する会議支援システム、会議支援方法、及び会議支援プログラム
CN101278538A (zh) * 2005-10-05 2008-10-01 普里瓦斯菲尔公司 用于用户认证的方法和设备
JP4127842B2 (ja) * 2006-06-05 2008-07-30 株式会社東芝 情報処理装置
US8732019B2 (en) * 2006-07-21 2014-05-20 Say Media, Inc. Non-expanding interactive advertisement
CN101102192A (zh) * 2007-07-18 2008-01-09 北京飞天诚信科技有限公司 认证设备、方法和系统
JP4477661B2 (ja) * 2007-09-28 2010-06-09 富士通株式会社 中継プログラム、中継装置、中継方法
CA2632793A1 (en) * 2008-04-01 2009-10-01 Allone Health Group, Inc. Information server and mobile delivery system and method
JP5248927B2 (ja) * 2008-06-06 2013-07-31 株式会社日本総合研究所 認証システム、認証方法および認証プログラム
CN101369893B (zh) * 2008-10-06 2010-08-18 中国移动通信集团设计院有限公司 一种对临时用户进行局域网络接入认证的方法
KR20110037666A (ko) * 2009-10-07 2011-04-13 주식회사 다날 휴대용 단말기를 이용한 복수 단계 인증 전자 결제 방법
US8763097B2 (en) * 2011-03-11 2014-06-24 Piyush Bhatnagar System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication
CN102624724B (zh) * 2012-03-06 2014-12-17 深信服网络科技(深圳)有限公司 安全网关及利用网关安全登录服务器的方法
US9355231B2 (en) * 2012-12-05 2016-05-31 Telesign Corporation Frictionless multi-factor authentication system and method
KR101294805B1 (ko) * 2012-12-21 2013-08-08 (주)씽크에이티 2-채널 앱인증 방법 및 시스템
US9338156B2 (en) * 2013-02-22 2016-05-10 Duo Security, Inc. System and method for integrating two-factor authentication in a device
KR101513694B1 (ko) * 2013-02-26 2015-04-22 (주)이스톰 Otp 인증 시스템 및 방법
WO2014133300A1 (ko) * 2013-02-26 2014-09-04 (주)이스톰 Otp 인증 시스템 및 방법
JP2014215620A (ja) * 2013-04-22 2014-11-17 株式会社日立システムズ 認証システムおよび認証方法
KR101331575B1 (ko) * 2013-06-18 2013-11-26 (주)씽크에이티 전화인증 우회 해킹 차단 방법 및 시스템
MY175911A (en) * 2013-06-20 2020-07-15 Entrust Datacard Denmark As Method and system protecting against identity theft or replication abuse
KR101371054B1 (ko) * 2013-07-31 2014-03-07 이니텍(주) 일회용 비밀번호와 서명 패스워드를 이용한 비대칭키 전자 서명 및 인증 방법
CN103795724B (zh) * 2014-02-07 2017-01-25 陈珂 一种基于异步动态口令技术的保护账户安全的方法
WO2015130700A1 (en) * 2014-02-26 2015-09-03 Secureauth Corporation Security object creation, validation, and assertion for single sign on authentication
US9537661B2 (en) * 2014-02-28 2017-01-03 Verizon Patent And Licensing Inc. Password-less authentication service
KR102485830B1 (ko) * 2015-02-13 2023-01-09 삼성전자주식회사 보안 정보의 처리
CN104639562B (zh) * 2015-02-27 2018-03-13 飞天诚信科技股份有限公司 一种推送认证的系统和设备的工作方法
US20160266733A1 (en) * 2015-03-11 2016-09-15 Case Global, Inc. Event and staff management systems and methods
CN105024819B (zh) * 2015-05-29 2019-02-12 北京中亦安图科技股份有限公司 一种基于移动终端的多因子认证方法及系统
US10299118B1 (en) * 2015-06-01 2019-05-21 Benten Solutions Inc. Authenticating a person for a third party without requiring input of a password by the person
CA2995394C (en) * 2015-08-12 2024-01-16 Haventec Pty Ltd System of device authentication

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080006061A (ko) * 2006-07-11 2008-01-16 김월영 Usb 토큰을 이용한 otp(일회용 암호)발생 방법 및인증방법,시스템,usb 토큰
KR20130118550A (ko) * 2012-04-20 2013-10-30 주식회사 엑스엘게임즈 사용자 인증 시스템 및 방법
KR20130128089A (ko) * 2012-05-16 2013-11-26 효성에프엠에스 주식회사 휴대폰 인증 시스템 및 그 방법
KR20140001442A (ko) * 2012-06-27 2014-01-07 네이버 주식회사 단문 메시지 서비스를 이용한 모바일 단말에서의 결제 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
KR20160038450A (ko) * 2014-09-30 2016-04-07 에스케이텔레콤 주식회사 네트워크 기반의 인증 서비스 제공 방법 및 인증 서버
KR101570314B1 (ko) * 2014-10-07 2015-11-18 (주)이스톰 원 타임 패스워드를 이용한 서비스 검증 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of EP3451613A4 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107948204A (zh) * 2017-12-29 2018-04-20 咪咕文化科技有限公司 一键登录方法及系统、相关设备以及计算机可读存储介质
CN107948204B (zh) * 2017-12-29 2020-10-30 咪咕文化科技有限公司 一键登录方法及系统、相关设备以及计算机可读存储介质

Also Published As

Publication number Publication date
CN109076080A (zh) 2018-12-21
EP3451613A1 (en) 2019-03-06
BR112018071839A2 (pt) 2019-02-19
US20180219851A1 (en) 2018-08-02
MX2018012991A (es) 2019-01-17
JP6799142B2 (ja) 2020-12-09
JP2019517087A (ja) 2019-06-20
KR102035312B1 (ko) 2019-11-08
EP3451613A4 (en) 2019-11-13
EP3451613B1 (en) 2024-05-01
KR20170121683A (ko) 2017-11-02
CN109076080B (zh) 2021-11-23

Similar Documents

Publication Publication Date Title
WO2017188610A1 (ko) 인증 방법 및 시스템
US10666642B2 (en) System and method for service assisted mobile pairing of password-less computer login
WO2018012747A1 (ko) 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법
WO2017119548A1 (ko) 보안성이 강화된 사용자 인증방법
US20170055146A1 (en) User authentication and/or online payment using near wireless communication with a host computer
WO2015069018A1 (ko) 보안 로그인 시스템, 방법 및 장치
US11245526B2 (en) Full-duplex password-less authentication
WO2020050424A1 (ko) 블록체인 기반의 모바일 단말 및 IoT 기기 간의 다중 보안 인증 시스템 및 방법
US9332011B2 (en) Secure authentication system with automatic cancellation of fraudulent operations
WO2023146308A1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US20220116385A1 (en) Full-Duplex Password-less Authentication
WO2015126037A1 (ko) 일회용 랜덤키를 이용한 본인 확인 및 도용 방지 시스템 및 방법
WO2018151480A1 (ko) 인증 관리 방법 및 시스템
KR101001400B1 (ko) 온라인 상호 인증 방법 및 그 시스템
WO2023163514A1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2021060859A1 (ko) 단말의 네트워크 접속을 인증 및 제어하기 위한 시스템 및 그에 관한 방법
WO2020235933A1 (en) System and method for payment authentication
WO2015026083A1 (ko) 휴대폰 본인인증 도용방지와 스미싱 방지를 위한 문자메시지 보안시스템 및 방법
KR20170103691A (ko) Ip 주소와 sms를 이용한 인증 방법 및 시스템
KR101961714B1 (ko) 사용자 단말과의 복수 채널 인증 기반 보안 서비스 제공 시스템 및 방법, 그리고 컴퓨터 프로그램이 기록된 비휘발성 기록매체
WO2011074878A2 (ko) 서비스 보안 시스템 및 그 방법
WO2022163893A1 (ko) 결제 서비스 제공 방법 및 이를 수행하는 전자 장치
WO2015170847A1 (ko) 휴대 단말의 자세를 이용한 유효 세션 관리 방법 및 시스템
KR20220020175A (ko) 전산망 해킹방지 시스템 및 방법
WO2023167567A1 (ko) 인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 장치 및 방법

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 15540034

Country of ref document: US

ENP Entry into the national phase

Ref document number: 2019507057

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

REG Reference to national code

Ref country code: BR

Ref legal event code: B01A

Ref document number: 112018071839

Country of ref document: BR

WWE Wipo information: entry into national phase

Ref document number: 2017789795

Country of ref document: EP

ENP Entry into the national phase

Ref document number: 2017789795

Country of ref document: EP

Effective date: 20181126

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17789795

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 112018071839

Country of ref document: BR

Kind code of ref document: A2

Effective date: 20181024