WO2018216991A1

WO2018216991A1 - 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증방법

Info

Publication number: WO2018216991A1
Application number: PCT/KR2018/005799
Authority: WO
Inventors: 전승주
Original assignee: 전승주
Priority date: 2017-05-22
Filing date: 2018-05-21
Publication date: 2018-11-29
Also published as: CN110582986A; KR101809976B1; US10615975B2; MY189678A; CN110582986B; US20200076589A1

Abstract

본 발명은 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증방법에 관한 것으로서, 보다 상세하게는 스마트 단말기 기반의 보안인증 환경에서 다중 사용자로부터 정보를 수집하고, 수집된 다중 사용자 정보를 인증요소로 조합하여 보안키를 생성하도록 함에 있어서 다중 사용자의 인증요소를 무작위로 다차원 교차조합하여 새로운 보안키를 생성하도록 하는 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증방법에 관한 것이다. 본 발명에 따르면 스마트 단말기를 통하여 자동으로 수집한 식별정보들을 인증요소로 활용하고, 이들의 무작위적 다차원 교차조합을 통하여 보안키를 생성함으로써 다자간 협력으로 강화된 보안서비스를 제공할 수 있어서 기존의 인증·암호화 기술과 결합하여 다양한 응용 분야에 적용할 수 있는 효과가 있다.

Description

[규칙 제26조에 의한 보정 19.06.2018]　다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증방법

본 발명은 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증방법에 관한 것으로서, 보다 상세하게는 스마트 단말기 기반의 보안인증 환경에서 다중 사용자로부터 정보를 수집하고, 수집된 다중 사용자 정보를 인증요소로 조합하여 보안키를 생성하도록 함에 있어서 다중 사용자의 인증요소를 무작위로 다차원 교차조합하여 새로운 보안키를 생성하도록 하는 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증방법에 관한 것이다,

정보·통신기술의 발전으로 온라인에 정보가 집중화되면서 정보보호 및 보안의 중요성은 더욱 높아지고 있다. 정보보호는 컴퓨터를 이용한 정보시스템이나 유무선 인터넷과 같은 네트워크를 통하여 전달되는 정보의 위·변조, 유출, 무단침입, 서비스거부 등을 비롯한 각종 불법 행위로부터 조직 혹은 개인의 컴퓨터와 정보를 안전하게 보호하고, 물리적 공간에서의 보안 침해사고 방지, 타산업과의 융합 시스템에서의 보안을 제공하기 위한 기술로, 공통기반 보안, 네트워크 보안, 디바이스 보안, 서비스 보안, 융합보안 기술로 구분한다.

전통적으로 보안은 물리보안과 정보보안으로 구분돼 따로 성장해 왔으나 최근 출입통제, 주차시설 관리, CCTV영상보안 같은 물리적 보안 산업이 컴퓨터, 네트워크상의 정보를 보호하는 IT 정보보안 기술과 접목되면서 물리보안과 정보보안의 경계가 허물어지고 둘의 영역이 합쳐지는 융합보안이라는 영역이 생겨났다. 또한, IT기술이 자동차, 조선, 의료, 전력 등 기존 산업에 활용되면서 IT와 산업간 융합에서 발생하는 보안문제를 다루는 것이 새로운 융합보안에 포함된다.

암호와 인증은 컴퓨터 시스템 내부에 저장된 데이터와 통신 구간을 암호화하여 기밀성을 확보하고 시스템에 접속하고자 하는 사용자를 인증하기 위한 기술을 의미한다. 공통 기반 보안 기술로서 적용범위는 웹서버와 브라우저간의 송수신 암호화하는 Web보안, DB보안, XML보안, 네트워크보안, 스마트폰 보안 등과 암호, 인증, 전자서명 등의 PKI(Public Key Infrastructure) 등이 될 수 있다.

사용자 인증기술과 관련하여, 온라인 서비스들의 비대면 특성으로 서비스를 받는 사용자가 적절한 사용자인지 인증하는 과정이 필요하다. 만약, 사용자를 올바르게 인증할 수 없다면 서비스 종류에 따라 개인정보 등이 노출될 수 있으므로 사용자 인증을 통하여 안전성과 신뢰성을 확보하는 것이 필수이다. 이와 같이 서비스를 받는 사용자가 적법한지 여부를 판별하기 위해 사용되는 요소를 인증요소라 한다.

서비스 제공 과정에서 사용자를 확인하기 위한 보안시스템에서 보안키를 특정 장치 및 특정 사용자에게 고유한 인증요소로부터 생성하기 위한 기술이 개시된다.

도 1은 종래기술에 따른 보안키 생성장치의 구성을 나타낸 블럭도이다.

종래 기술의 보안키 생성장치(10)는 저장장치(20)에 연결되고, 저장장치(20)의 고유 식별자인 미디어 ID와 사용자(1)를 인증하기 위한 인증정보를 이용하여 보안키를 생성한다.

보안키 생성장치(10)는 저장장치(20)에 연결되고, 저장장치(20)로부터 원시 ID를 제공 받는다. 상기 원시 ID는 저장장치(20)의 고유 식별자인 미디어 ID 연산에 이용되는 하나 이상의 식별용 데이터로, 상기 미디어 ID와는 다른 데이터이다. 보안키 생성장치(10)는 상기 원시 ID로부터 상기 미디어 ID를 생성한다. 즉, 보안키 생성장치(10)는 저장장치(20)로부터 상기 미디어 ID를 직접 제공받는 것이 아니라, 상기 미디어 ID를 생성할 수 있는 소스 데이터인 원시 ID를 제공받는 것이다. 이것은 상기 미디어 ID가 노출되는 것을 방지하기 위한 것으로, 보안키 생성장치(10)는 상기 원시 ID로부터 상기 미디어 ID를 생성하기 위하여 사용되는 데이터를 저장할 수 있다.

보안키 생성장치(10)는 ID 연산부(12), 인증정보 제공부(14) 및 보안키 생성부(16)를 포함할 수 있다. ID 연산부(12)는 저장장치(20)에 저장된 원시 ID를 제공받아, 상기 원시 ID로부터 상기 저장장치(20)의 고유 식별자인 미디어 ID를 연산한다.

그런데, 이러한 방식으로 보안키를 생성하기 위해서는 사용자에게 속하는 고유한 정보를 바탕으로 하는 인증정보를 이용해야 하는데, 보안키를 생성하기 위해 일반적인 보안키 생성 알고리즘을 사용하기 때문에 인증정보가 노출된다면 보안키도 노출될 위험이 있다.

(특허문헌 0001) KR 10-2013-0140968 A

(특허문헌 0002) KR 10-2015-0006402 A

(특허문헌 0003) KR 10-2015-0050130 A

(특허문헌 0004) KR 10-0757982 B1

전술한 문제점을 해결하기 위한 본 발명은 사용자의 개입없이 복수의 사용자단말기로부터 인증요소를 자동으로 수집하고, 수집된 복수의 사용자단말기의 인증요소를 무작위적으로 다차원 교차조합하여 보안키를 생성함으로써 보안성을 높일 수 있으며, 제한된 횟수 또는 기간 동안만 사용되는 보안키를 매번 다르게 생성할 수 있도록 하는 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증방법을 제공하는 것을 목적으로 한다.

전술한 문제점을 해결하기 위해 안출된 본 발명은 제1사용자단말기(30)의 요청에 의해 복수의 스마트 단말기에서 인증요소를 수집하여 보안키를 생성하는 보안인증시스템(100)을 이용한 보안인증방법으로서, 사용자가 제1사용자단말기(30)로 서비스시스템(50)에 접속하여 접근권한의 승인이나 콘텐츠, 정보, 금융서비스, 출입 인증 중 어느 하나의 서비스를 요청하고, 상기 제1사용자단말기(30)가 상기 보안인증시스템(100)에 접속하여 보안인증을 위한 보안키를 요청하는 제1단계와; 상기 보안인증시스템(100)에 포함된 수집부(104)가 상기 사용자가 사용하는 제1사용자단말기(30) 및 다른 사용자의 제2사용자단말기(40)에 인증요소의 제공을 요청하는 제2단계와; 상기 수집부(104)가 상기 제1사용자단말기(30) 및 상기 제2사용자단말기(40)로부터 제공되는 복수의 인증요소를 인증요소데이터베이스(116)에 저장하는 제3단계와; 상기 보안인증시스템(100)에 포함된 조합부(106)가 상기 복수의 인증요소를 무작위적으로 다차원 교차조합하여 보안키를 생성하고, 생성된 상기 보안키를 상기 제1사용자단말기(30)에 제공하는 제4단계;를 포함한다.

상기 조합부(106)는 상기 인증요소를 추출할 사용자와, 상기 사용자에게서 추출할 인증요소의 수를 무작위적으로 선택하여 추출하는 것을 특징으로 한다.

상기 인증요소는 RFID태그, WIFI SSID, 비콘, 센서값의 정보를 포함하는 영역감지정보와; 사용자의 이메일주소, 아이디, 비밀번호를 포함하는 지식기반정보와; 센서, UUID(Universal Unique Identifier; 범용단일식별자), 상태정보, MAC 어드레스를 포함하는 상태정보와; 전화번호, NFC태그, QR코드, 바코드를 포함하는 소유정보;를 포함한다.

상기 보안키는 보안인증을 위해 사용된 후에 삭제 또는 폐지되는 1회용 보안키와, 정해진 기간이 지나면 삭제 또는 폐지되는 기간한정 보안키 중 어느 하나인 것을 특징으로 한다.

본 발명에 따르면 스마트 단말기를 통하여 자동으로 수집한 식별정보들을 인증요소로 활용하고, 이들의 무작위적 다차원 교차조합을 통하여 보안키를 생성함으로써 다자간 협력으로 강화된 보안서비스를 제공할 수 있어서 기존의 인증·암호화 기술과 결합하여 다양한 응용 분야에 적용할 수 있는 효과가 있다.

또한 보안키의 생성에 사용되는 인증요소를 무작위적으로 선택하여 매번 생성되는 보안키가 서로 다르기 때문에 보안성을 향상시킬 수 있는 효과가 있다.

도 1은 종래기술에 따른 보안키 생성장치의 구성을 나타낸 블럭도.

도 2는 본 발명의 실시예에 따른 보안인증시스템의 연결상태를 나타낸 블럭도.

도 3은 보안인증시스템과 다른 구성요소 사이의 데이터 흐름을 나타낸 개념도.

도 4는 보안인증시스템의 내부 구성요소를 나타낸 블럭도.

도 5는 인증요소의 종류와 세부 내용을 나타낸 표.

도 6은 보안키의 생성을 위한 조합 방식을 나타낸 블럭도.

도 7은 다차원 교차조합에 의해 생성된 보안키에 포함된 인증요소의 내용을 나타낸 표.

도 8은 무작위적 다차원 교차조합에 의해 생성된 보안키에 포함된 인증요소의 내용을 나타낸 표.

이하에서 도면을 참조하여 본 발명의 실시예에 따른 "다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증방법"을 설명한다.

도 2는 본 발명의 실시예에 따른 보안인증시스템의 연결상태를 나타낸 블럭도, 도 3은 보안인증시스템과 다른 구성요소 사이의 데이터 흐름을 나타낸 개념도이다.

먼저 본 발명에 사용되는 "다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증시스템"(이하, '보안인증시스템'이라 함)을 설명하고, 보안인증시스템(100)을 이용하여 진행되는 보안인증방법을 설명한다.

본 발명의 보안인증시스템(100)은 업무를 위해 컴퓨터 시스템에 접근하는 사용자의 신원을 확인하여 시스템에 대한 접근권한을 승인하는 목적으로 사용된다. 또한 콘텐츠나 정보, 문서의 유출을 방지하기 위해 접근을 차단하고, 금융서비스에 있어서 비대면으로 본인을 확인하고, 통제구역에 대한 출입을 관리하기 위해 사용자의 보안인증이 필요한 서비스에 사용된다. 보안인증시스템(100)이 제공하는 보안인증 절차를 통해 사용자는 정당한 사용자 인증을 수행할 수 있다.

사용자는 스마트폰이나 태블릿PC와 같은 스마트 단말기를 사용하여 보안인증시스템(100)에 접근하며, 보안인증시스템(100)에 제공하는 보안인증 서비스 또는 보안키를 사용하여 사용자 인증 절차를 수행한다.

본 발명에서는 사용자 인증 절차를 위해 보안인증 서비스를 요청하는 사용자의 단말기를 제1사용자단말기(30)라고 정의하고, 제1사용자단말기(30)에서 사용될 보안키를 생성하기 위해 인증요소를 수집하는 사용자의 단말기를 제2사용자단말기(40)라고 정의한다. 즉, 보안인증시스템(100)에 접속하는 복수의 단말기 중에서 보안인증 서비스를 요청하는 쪽이 제1사용자단말기(30)가 되고, 나머지가 제2사용자단말기(40)가 된다. 보안인증시스템(100)은 제1사용자단말기(30) 및 제2사용자단말기(40)로부터 인증요소를 수집한다.

서비스시스템(50)은 사용자에게 작업에 필요한 인터페이스나 데이터를 제공하고, 다양한 형태의 정보나 콘텐츠, 금융서비스 등을 제공하는 시스템으로서, 사용자 인증을 통해 동일성이 확인된 사용자에게만 서비스를 제공한다. 업무처리를 위해 직원들이 접근하는 회사 인트라넷 시스템과 같이, 접근권한을 부여받은 사용자에게만 접속할 수 있도록 제한되는 것이 일반적이다. 이를 위해 보안인증시스템(100)의 인증절차를 요구하게 되는데, 사용자는 보안인증시스템(100)이 생성하여 전달하는 보안키를 사용한다. 보안인증시스템(100)에서 생성하는 보안키를 수신하여 서비스시스템(50)에 접근하기 위해서는 사용자가 보안인증시스템(100)과 서비스시스템(50)에 사용자로 등록되어야 하며, 접근권한을 가진 사용자의 사용자정보는 보안인증시스템(100)과 서비스시스템(50)에 저장된다.

도 3에 도시된 바와 같이, 사용자가 제1사용자단말기(30)로 서비스시스템(50)에 접속하여 작업진행 승인이나 콘텐츠, 정보, 금융서비스, 출입 인증 등의 서비스를 사용할 수 있도록 접근권한을 요청한다(①).

서비스시스템(50)은 접근권한을 요청한 사용자를 인증하기 위해 제1사용자단말기(30)에 보안인증을 요청한다(②).

사용자는 제1사용자단말기(30)로 보안인증시스템(100)에 접속하여 보안인증을 위한 보안키를 요청한다(③).

보안인증시스템(100)은 보안키의 생성을 위해 제1사용자단말기(30)뿐만 아니라 다른 사용자의 제2사용자단말기(40)에도 인증요소의 제공을 요청한다(④) 사용자가 인증요소의 제공에 동의하는 경우에는 제1사용자단말기(30) 및 제2사용자단말기(40)가 보안키의 생성에 사용될 수 있는 각종 정보를 포함하는 인증요소를 보안인증시스템(100)에 제공한다(⑤) 통상적으로는 보안인증의 요청 때마다 인증요소를 수집하지 않고, 보안인증시스템(100)의 인증요소 제공에 동의하는 모든 사용자단말기로부터 자동으로 인증요소를 수집하여 저장해두게 될 것이다. 보안인증시스템(100)은 수집된 인증요소를 무작위적으로 다차원 교차조합하여 보안키를 생성하고, 생성된 보안키를 제1사용자단말기(30)에 제공한다(⑥).

제1사용자단말기(30)는 보안인증시스템(100)으로부터 전송된 보안키를 별도의 알고리즘을 사용하여 해쉬값(HASH)으로 변환한다. 그리고 제1사용자단말기(30)는 생성된 해쉬값을 보안인증시스템(100)에 전송한다(⑦).

보안인증시스템(100)은 전송된 해쉬값이 정상적으로 생성된 보안키의 해쉬값과 같은지를 확인한다. 이를 위해 제1사용자단말기(30)와 같은 알고리즘을 이용하여 보안키를 해쉬값으로 변환한다. 경우에 따라서는 제1사용자단말기(30)에 보안키를 전송하기 전 또는 후에 해당 보안키에 대한 해쉬값을 생성하여 미리 저장해두고, 제1사용자단말기(30)로부터 해쉬값이 전송되면 저장된 해쉬값을 호출하여 서로 비교한다.

해쉬값의 비교를 통해 동일한 보안키인 것으로 확인되면, 보안인증시스템(100)은 서비스시스템(50)에 보안인증이 정상적으로 처리되었음을 통지한다(⑧).

보안인증 통과에 대한 통지를 받은 서비스시스템(50)은 제1사용자단말기(30)에 접근권한이 승인되었음을 통지하며, 사용자는 서비스시스템(50)에 접속하여 정상적인 업무를 수행할 수 있다(⑨).

사용자 인증이 완료된 경우, 서비스시스템(50)은 제1사용자단말기(30) 또는 사용자에게 정해진 서비스를 정상적으로 제공한다.

제1사용자단말기(30)에 제공되는 보안키는 임시적으로 저장되며, 보안키가 보안인증에 사용이 되거나 사용기한이 경과했을 때 삭제되도록 설정된다. 제1사용자단말기(30)에서 보안키가 삭제되는 경우에 보안인증시스템(100)에 삭제 상태값을 전달하여 삭제 사실을 인식하도록 한다.

도 4는 보안인증시스템의 내부 구성요소를 나타낸 블럭도이다.

보안인증시스템(100)에 포함된 제어부(102)는 내부 구성요소의 동작을 제어하며, 각 구성요소 사이의 데이터 변환과 저장 등의 동작을 실행한다.

수집부(104)는 스마트 단말기와 같은 사용자단말기(30, 40)에서 수집할 수 있는 각종 인증요소를 자동으로 또는 사용자의 선택에 따른 수동으로 수집한다. 수집부(104)에 의해 수집되어 보안키의 생성에 사용되는 구체적인 데이터를 인증요소라고 정의한다.

도 5는 인증요소의 종류와 세부 내용을 나타낸 표이다.

본 발명에서 보안키의 생성에 사용되는 인증요소는 영역감지정보와 지식기반정보, 장치정보, 소유정보로 이루어진다.

영역감지정보는 RFID태그와 WIFI SSID, 비콘, 센서값(근접센서, 조도센서, 진동센서) 등의 정보를 포함한다.

지식기반정보는 사용자의 지식에 기반하여 설정 및 저장되는 정보로서, 사용자의 이메일 주소, 아이디, 비밀번호 등을 포함한다. 아이디는 안드로이드 아이디일 수 있다.

장치정보는 센서, UUID(Universal Unique Identifier; 범용단일식별자), 상태정보, MAC 어드레스 등을 포함한다. 상태정보는 현재 스마트 단말기의 상태를 확인하기 위한 각종 정보로서 음량, 진동/벨 상태 등이 포함된다.

소유정보는 사용자가 단말기를 사용할 때 지정되는 전화번호, NFC태그, QR코드, 바코드 등을 포함한다.

여러 가지 스마트 단말기에서 수집할 수 있는 인증요소는 스마트 단말기의 종류별로 다르기 때문에 정보를 올바르게 판단하고 빠른 시간 안에 인증요소 정보를 수집해야 한다. 이를 위해 수집하려는 인증요소를 특성에 따라 구분하고, 다중 스레드 방식으로 정보를 수집하는 알고리즘을 적용하는 것이 바람직하다.

본 발명에서 보안키의 생성에 사용되는 인증요소의 종류는 보안시스템(100)을 구성하는 관리자가 설정한다. 관리자는 서비스시스템(50)의 특성에 따라 적절한 종류의 인증요소를 수집함으로써 부가적인 서비스를 제공할 수 있다.

경우에 따라서는 사용자로 가입하는 과정에서 사용자가 인증요소를 선택하여 지정할 수도 있다.

수집부(104)는 스마트 단말기의 백그라운드 서비스로 동작하며, 사용자인증이 필요한 모바일 애플리케이션에서 호출할 경우에는 인증요소를 수집하여 해당 애플리케이션으로 정보를 공유해준다. 수집부(104)에 의해 수집된 인증요소는 인증요소데이터베이스(116)에 저장된다.

조합부(106)는 수집된 다중 인증요소를 이용하여 다중 교차조합을 통해 암호화 및 복호화에 사용될 보안키를 생성한다. 조합부(106)는 복수의 사용자단말기(30, 40)로부터 수집된 복수의 인증요소를 무작위적으로 추출하고, 다차원 교차조합을 통해 다양한 종류의 보안키를 생성할 수 있다. 경우에 따라서는 하나의 사용자단말기(30, 40)에서 사용될 보안키를 둘 이상 생성할 수 있다

사용자데이터베이스(114)는 보안인증시스템(100)과 서비스시스템(50)을 사용할 수 있도록 가입된 사용자의 신상정보를 저장한다. 보안인증시스템(100)은 보안키의 생성과 인증을 요청하는 사용자의 정보가 없는 경우에는 사용자에게 가입절차를 밟도록 요청한다. 사용자가 입력한 사용자정보를 추후 사용자의 로그인이나 접속시에 호출하여 사용자 인증을 하게 된다.

도 6은 보안키의 생성을 위한 조합 방식을 나타낸 블럭도이다.

수집된 인증요소는 각 사용자별로 저장되는데, 조합부(106)는 각각의 사용자별로 저장된 인증요소 중에서 선택적으로 추출하여 조합하게 된다.

조합부(106)에 의해 생성된 보안키는 보안키데이터베이스(118)에 저장된다.

조합부(106)는 보안키를 생성함에 있어서 1회용으로 사용되도록 하거나, 일정한 기한 내에만 사용가능하도록 설정할 수 있다. 1회용 보안키인 경우에는 보안인증을 위해 사용된 후에는 바로 삭제 또는 폐지되도록 한다. 사용가능 기간이 정해진 기간한정 보안키인 경우에는 정해진 기간이 지나면 바로 삭제 또는 폐지되도록 한다. 보안키의 존속 기간은 사용자에 의해 정해진다.

암호화부(108)는 다중 교차조합으로 생성된 보안키를 사용하여 콘텐츠나 정보의 암호화를 진행한다.

조합부(106)는 수집된 다중 사용자의 인증요소 중에서 미리 정해진 규칙없이 무작위적으로 추출하여 사용하게 된다. 도 6에 도시된 바와 같이, 복수의 사용자별로 수집된 인증요소는 다양한 종류가 포함된다. 본 발명에서는 네 명의 사용자(A, B, C, D)별로 각각 수집된 다양한 형태의 인증요소를 A(N), B(N), C(N), D(N)으로 표시한다. 도 6에서는 네 명의 사용자에 대해 각각 네 개씩의 인증요소가 저장되어 있는 것으로 설명하지만, 사용자의 수나 인증요소의 수는 상황에 따라 달라질 수 있다. 또한 상대적으로 많은 종류의 인증요소를 수집한 사용자와 적은 종류의 인증요소를 수집한 사용자가 병존할 수 있다.

다차원 교차조합이란 복수의 그룹에서 각각 추출된 인증요소를 1대1로 조합하는 것을 의미한다. 만약, 네 명의 사용자(A, B ,C, D)에서 각각 한 개씩의 인증요소를 추출하여 조합한다면 네 개의 인증요소가 포함된 하나의 보안키를 생성할 수 있다.

사용자의 수가 달라지거나, 한 사용자에서 추출하는 인증요소의 수를 달리하면 보안키에 포함되는 인증요소의 수도 달라지지만, 일정한 규칙에 따라 배열된 인증요소를 사용하기 때문에 규칙성을 가지게 된다.

이에 비해서 무작위적 다차원 교차조합이란 복수의 그룹에서 인증요소를 추출함에 있어서 사용자별로 동일한 수의 인증요소를 추출하지 않아도 되는 것을 의미한다. 즉, 특정 사용자에게서 몇 개의 인증요소를 추출할지가 정해지지 않아서 최종 보안키에 포함되는 인증요소의 수도 무작위적으로 정해지는 것을 의미한다.

도 7은 다차원 교차조합에 의해 생성된 보안키에 포함된 인증요소의 내용을 나타낸 표이며, 도 8은 무작위적 다차원 교차조합에 의해 생성된 보안키에 포함된 인증요소의 내용을 나타낸 표이다.

본 발명에 적용된 조합부(106)는 무작위적 다차원 교차조합에 의해 인증요소를 추출한다. 이 경우 각각의 보안키에 포함되는 인증요소의 수와 추출된 사용자는 무작위적으로 정해진다. 무작위적으로 교차조합하는 경우에는 일정한 규칙성을 찾을 수 없어서 보안성이 높아지기 때문에 기존 보안키 생성방법에 비해서 향상된 보안성을 가질 수 있다. 따라서 인증요소나 보안키 생성 알고리즘이 유출된다고 하더라도 동일한 보안키를 생성하기가 거의 불가능해지는 효과가 있다

한편, 개인의 신상정보, 전화번호, 주소, 이메일 주소 등 개인을 특정할 때 조합하여 사용할 수 있는 개인정보는 복호화가 가능한 블록암호화 알고리즘을 사용한다. 그리고 주민등록번호 및 계좌정보 암호화에 필요한 안전한 암호 알고리즘은 데이터 암복호화가 가능한 양방향 암호 알고리즘인 대칭키 암호 알고리즘을 사용한다. 이때에는 보안강도 112비트 이상을 제공하는 알고리즘을 선택하여 암호화하는 것이 바람직하다.

통상적으로는 한국인터넷진흥원에서 제공하는 국내 암호 알고리즘인 SEED, ARIA-128/192 /256 중 선택하여 암호화를 하게 된다. 복호화부(110)는 다중 인증요소를 교차조합하여 생성한 보안키를 사용하여 복호화를 진행한다. 복호화부(110)도 암호화부(108)가 사용하는 암호 알고리즘과 동일한 알고리즘을 사용하는 것으로 설정한다.

권한관리부(112)는 다중 인증요소를 교차조합하여 생성된 여러 개의 보안키를 사용하여 사용자별로 인증권한을 생성하고 관리한다. 또한, 다중 사용자를 위한 협업 문서보안 알고리즘을 개발하며, 문서생성 시에 문서에 대한 읽기, 수정, 삭제 등에 대한 권한키를 함께 적용시켜 문서에 접근하는 사용자의 인증요소로 생성된 키에 따른 권한을 적용한다. 문서 이력 변경사항 추적과 저장 알고리즘 개발은 문서에 대한 이력 변경사항을 기록으로 남기며, 이때 생성된 기록은 특정 기기, 위치, 환경에서만 접근이 가능하도록 암호화되어 임의의 접근을 방지한다

이와 같은 보안인증시스템(100)을 사용하여 다중 사용자의 인증요소를 무작위적 다차원 교차조합한 보안키를 생성할 수 있으며, 생성된 보안키를 사용자단말기(30, 40)에 제공하여 서비스시스템(50)에 대한 접근 절차에서 사용되도록 한다.

이상 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 설명하였지만, 상술한 본 발명의 기술적 구성은 본 발명이 속하는 기술 분야의 당업자가 본 발명의 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해되어야 하고, 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

부호의 설명

30 : 제1사용자단말기 40 : 제2사용자단말기

50 : 서비스시스템 100 : 보안인증시스템

102 : 제어부 104 : 수집부

106 : 조합부 108 : 암호화부

110 : 복호화부 112 : 권한관리부

114 : 사용자데이터베이스 116 : 인증요소데이터베이스

118 : 보안키데이터베이스

본 발명은 보안인증방법으로 사용될 수 있다.

Claims

보안인증 서비스를 요청하는 사용자가 사용하는 제1사용자단말기(30)의 요청에 의해 복수의 스마트 단말기에서 인증요소를 수집하여 보안키를 생성하는 보안인증시스템(100)을 이용한 보안인증방법으로서,

보안인증 서비스를 요청하는 사용자가 제1사용자단말기(30)로 서비스시스템(50)에 접속하여 접근권한의 승인이나 콘텐츠, 정보, 금융서비스, 출입 인증 중 어느 하나의 서비스를 요청하고, 상기 제1사용자단말기(30)가 상기 보안인증시스템(100)에 접속하여 보안인증을 위한 보안키를 요청하는 제1단계와;

상기 보안인증시스템(100)에 포함된 수집부(104)가 상기 제1사용자단말기(30) 및 상기 보안인증 서비스를 요청하지 않은 사용자가 사용하는 제2사용자단말기(40)에 인증요소의 제공을 요청하는 제2단계와;

상기 수집부(104)가 상기 제1사용자단말기(30) 및 상기 제2사용자단말기(40)로부터 제공되는 복수의 인증요소를 인증요소데이터베이스(116)에 저장하는 제3단계와;

상기 보안인증시스템(100)에 포함된 조합부(106)가 상기 인증요소를 추출할 사용자와, 상기 사용자에게서 추출할 인증요소의 수를 무작위적으로 선택하여 추출하고, 추출된 상기 복수의 인증요소를 다차원 교차조합하여 보안키를 생성하고, 생성된 상기 보안키를 상기 제1사용자단말기(30)에 제공하는 제4단계와;

상기 제1사용자단말기(30)는 상기 조합부(106)로부터 제공된 상기 보안키를 해쉬값(HASH)으로 변환하여 상기 보안인증시스템(100)에 전송하는 제5단계와;

상기 보안인증시스템(100)은 상기 제1사용자단말기(30)로부터 전송된 해쉬값과 상기 조합부(106)가 생성한 보안키의 해쉬값이 동일한 경우, 상기 서비스시스템(50)에 보안인증이 정상적으로 처리되었음을 통지하는 제6단계;를 포함하는, 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증방법.
제1항에 있어서,

상기 인증요소는

RFID태그와 WIFI SSID, 비콘, 센서값의 정보로 구성되는 영역감지정보와;

사용자의 이메일 주소와 아이디, 비밀번호로 구성되는 지식기반정보와;

센서와 UUID(Universal Unique Identifier; 범용단일식별자), 상태정보, MAC 어드레스로 구성되는 상태정보와;

화번호와 NFC태그, QR코드, 바코드로 구성되는 소유정보;를 포함하는, 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증방법.
제1항에 있어서,

상기 보안키는

보안인증을 위해 사용된 후에 삭제 또는 폐지되는 1회용 보안키와, 정해진 기간이 지나면 삭제 또는 폐지되는 기간한정 보안키 중 어느 하나인 것을 특징으로 하는, 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증방법.