WO2023243753A1 - 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템 및 그 시스템의 동작 방법 - Google Patents

액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템 및 그 시스템의 동작 방법 Download PDF

Info

Publication number
WO2023243753A1
WO2023243753A1 PCT/KR2022/008658 KR2022008658W WO2023243753A1 WO 2023243753 A1 WO2023243753 A1 WO 2023243753A1 KR 2022008658 W KR2022008658 W KR 2022008658W WO 2023243753 A1 WO2023243753 A1 WO 2023243753A1
Authority
WO
WIPO (PCT)
Prior art keywords
user
access point
authentication
identification information
information
Prior art date
Application number
PCT/KR2022/008658
Other languages
English (en)
French (fr)
Inventor
김진현
Original Assignee
(주)진앤현웰빙
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)진앤현웰빙 filed Critical (주)진앤현웰빙
Priority to PCT/KR2022/008658 priority Critical patent/WO2023243753A1/ko
Publication of WO2023243753A1 publication Critical patent/WO2023243753A1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Definitions

  • the present invention relates to a service provision system using a secure connection through an access point and a method of operating the system. More specifically, the present invention relates to a disposable identity authentication dynamic ID (OTID) including a password using identification information (BSID) of the access point. ) relates to a service provision system that enhances security and safety by generating and using it for secure access and a method of operating the system.
  • OID disposable identity authentication dynamic ID
  • BSID identification information
  • user terminals capable of high-speed wireless data communication, such as desktops, laptops, smartphones, and tablet PCs, are widely used.
  • Online service providers provide an environment where customers can access and use services after going through a user identity authentication process using a user terminal.
  • the technical problem to be solved by the present invention is to generate a disposable identity authentication dynamic ID (OTID) containing a password using the identification information of an access point that provides an offline Wi-Fi connection environment, while also generating a one-time identity authentication dynamic ID (OTID) including a password by wiretapping communication packets. Even if the disposable identity authentication dynamic ID is stolen, the dynamic ID is discarded the next time the service is accessed, thereby providing a service provision system and method of operation that can improve security and safety.
  • OTI disposable identity authentication dynamic ID
  • a method of providing a service using a secure connection through an access point includes a management server providing user registration information input from a user terminal to an authentication server, and the authentication server generating user identification information based on the user registration information; providing the user identification information generated by the authentication server to the management server, and transmitting the generated user identification information from the management server to the user terminal; Receiving, by the access point, a disposable identity authentication dynamic ID (OTID) generated by the user terminal using the user identification information and a Wi-Fi connection permission request; The access point receiving the disposable identity authentication dynamic ID and the access point's providing a user authentication request along with identification information to the authentication server; performing user authentication, by the authentication server, using the user identification information and the identification information of the access point; The authentication server providing a user authentication result to the access point; and determining, by the access point, whether to allow the user terminal to connect to Wi-Fi based on the user authentication result.
  • OTI disposable identity authentication dynamic ID
  • the user identification information may include a non-identification confirmation key generated by hashing the user registration information and a random table containing a plurality of characters.
  • the step of performing user authentication by the authentication server using the one-time user authentication dynamic ID and the identification information of the access point includes first character information included in the one-time user authentication dynamic ID and The random table is compared to extract the first numeric data at the location where the first character information is located, and the second character information included in the disposable personal authentication dynamic ID is moved in the random table by the amount of the first numeric data to obtain the third numeric data. Extract character information, extract second numeric data using the random table using the third character information, and a non-identification confirmation key including the second numeric data and a user corresponding to the non-identification confirmation key. It may include a step of searching for an ID.
  • a service provision system using a secure connection through an access point includes a management server that receives user registration information from a user terminal; an authentication server that generates user identification information from the user registration information, provides it to the user terminal, and performs user authentication according to a user authentication request from the user terminal; And receiving a Wi-Fi connection request containing a disposable identity authentication dynamic ID and user registration information generated from the user identification information from the user terminal, and providing the user authentication request along with the identification information of the access point to the authentication server, It includes an access point that determines whether to allow the user terminal to access Wi-Fi according to the result of the user authentication.
  • the management server may generate a service page based on the identification information of the access point provided from the authentication server and provide the service page to the user terminal.
  • the management server receives and stores service reservation information from the user terminal, and the authentication server determines whether the identification information of the access point matches the offline store information included in the service reservation information. can do.
  • the method and system for providing a service using a secure connection through an access point can provide a system where a user can safely access the system using an access point in an offline store.
  • the user terminal stores the user identification information generated from the authentication server during the creation of user registration information, and can perform user authentication by presenting a one-time personal authentication dynamic ID generated using the user identification information when using an offline store. .
  • the one-time identity authentication dynamic ID is generated by the user terminal using user identification information, random table, and time information, so even if the Wi-Fi packet transmitted through the access point is intercepted by wiretapping or wiretapping, the one-time identity authentication dynamic ID is used. Access to the user's account may not be possible. Therefore, user information using offline stores can be safely protected.
  • FIG. 1 is a diagram illustrating the configuration of a service provision system using a secure connection through an access point according to an embodiment of the present invention.
  • Figure 2 is a diagram for explaining the operation of a service provision system using a secure connection through an access point according to an embodiment of the present invention.
  • 3 and 4 are data flow diagrams for explaining the operation method of a service provision system using a secure connection through an access point according to an embodiment of the present invention.
  • Figures 5 to 7 are diagrams for explaining the process of generating a disposable identity authentication dynamic ID in a service provision system using a secure connection through an access point according to an embodiment of the present invention.
  • FIGs 8 and 9 are diagrams for explaining a process in which the authentication server of a service provision system using a secure connection through an access point of the present invention extracts user registration information from a one-time identity authentication dynamic ID (OTID).
  • OID identity authentication dynamic ID
  • FIG. 10 is a conceptual diagram illustrating a function of group chatting between user terminals connected to a management server through an access point in a service provision system using a secure connection through an access point according to an embodiment of the present invention.
  • Figure 11 is a flowchart for explaining the access authentication and service check-in process in a service provision system using a secure connection through an access point according to an embodiment of the present invention.
  • One component is said to be “connected to” or “coupled to” another component when it is directly connected or coupled to another component or with an intervening other component. Includes all cases. On the other hand, when one component is referred to as “directly connected to” or “directly coupled to” another component, it indicates that there is no intervening other component. “And/or” includes each and every combination of one or more of the mentioned items.
  • first, second, etc. are used to describe various components, it goes without saying that these components are not limited by these terms. These terms are merely used to distinguish one component from another. Therefore, of course, the first component mentioned below may also be the second component within the technical spirit of the present invention.
  • FIG. 1 is a diagram illustrating a service provision system 1 using a secure connection through an access point according to some embodiments of the present invention.
  • a service providing system 1 using a secure connection through an access point may include an access point 110, a management server 100, and an authentication server 200. there is.
  • the management server 100 can process website access for membership registration on the homepage or other websites, provision of service menus, etc.
  • the management server 100 may provide information about services to the user terminal 10, and may receive and process a series of requests related to service check-in, access authentication, chatting, ordering, and payment from the user terminal 10.
  • the management server 100 may include at least one server installed to operate services provided in various places, such as multi-use establishments such as screen golf courses, cafes, or PC rooms, businesses, and public institutions.
  • the management server 100 may receive user registration information before receiving order or reservation information from the user terminal 10.
  • User registration information may include information to identify the user, such as an ID and password (PW) entered by the user.
  • PW ID and password
  • the management server 100 may transmit user registration information provided by the user to the authentication server 200.
  • the management server 100 may complete the user registration process by receiving user identification information generated by the authentication server 200 based on the user registration information and transmitting it to the user terminal 10.
  • the management server 100 may provide a service page to the user terminal 10 using the identification information of the access point 110 after the user terminal 10 completes Wi-Fi connection to the access point 110.
  • the management server 100 may store offline store information corresponding to the identification information (MAC address and BSSID) of the access point 110.
  • the offline store information may include service information of the offline store where the access point 110 specified through identification information is installed. For example, if the offline store is a cafe, menu information that can be ordered online through the user terminal 10. may be included in offline store information.
  • the management server 100 identifies the user terminal 10 as the corresponding The menu screen of the cafe can be transmitted and order information can be provided from the user terminal 10.
  • the management server 100 may create a session through which a plurality of user terminals 10 connected to the access point 110 can communicate with each other through the access point 110 .
  • a plurality of user terminals 11 to 14 connected to a session created by the management server 100 through the same access point 110, that is, the access point 110 installed in one store. ) can participate in a group chat managed by the management server 100 and transmit and receive message data between user terminals 11 to 14.
  • the authentication server 200 may receive user registration information from the management server 100 and generate user identification information based on the provided user registration information.
  • the user registration information provided is the ID and password (PW) entered by the user. It may contain information to identify the user, such as the user's mobile phone number.
  • User identification information may include a non-identification confirmation key generated by hashing user registration information and a random table containing a plurality of characters.
  • the user identification information is stored in the user terminal 10 and can then be used to generate a one-time personal authentication dynamic ID (OTID) for requesting Wi-Fi connection to the access point 110.
  • OID personal authentication dynamic ID
  • the authentication server 200 may perform authentication of the user terminal 10 used by the user visiting the store. Specifically, the authentication server 200 may receive the disposable identity authentication dynamic ID (OTID) generated by the user terminal 10 through the access point 110 and perform user authentication. The authentication server 200 may compare the user registration information extracted as a result of user authentication with the user ID included in the user registration information provided to generate user identification information to determine whether the user matches.
  • OID disposable identity authentication dynamic ID
  • the authentication server 200 may perform user authentication using identification information of the access point 110.
  • the authentication server 200 stores a database about the MAC addresses and BSSID of access points installed in offline stores, and includes identification information provided from the access point 110 for authentication, that is, the MAC address and BSSID of the access point 110.
  • User authentication can be performed by determining whether it matches the information stored in the database.
  • the authentication server 200 may transmit the user authentication result to the access point 110 so that the access point 110 can determine whether to allow the user terminal 10 to access Wi-Fi.
  • the user terminal 10 may include a device that can connect to the access point 110 through Wi-Fi, such as a laptop, tablet PC, or smartphone. Additionally, the user terminal 10 can connect to the management server 100 and the authentication server 200 using a cellular network without Wi-Fi connection through the access point 110.
  • the user terminal 10 can store and execute applications, web applications, SDK (Software Development Kit), etc. for accessing services provided by the system 1 of the present invention and performing user authentication.
  • the access point 110 provides a Wi-Fi connection environment and can determine whether to allow the user terminal 10 to access Wi-Fi.
  • the access point 110 may receive a Wi-Fi access permission request message including a one-time user authentication dynamic ID (OTID) from the user terminal 10 and use the received message to provide a user authentication request to the authentication server 200.
  • OID one-time user authentication dynamic ID
  • the access point 110 may transmit unique identification information of the access point 110 to the authentication server 200.
  • Identification information of the access point 110 may include a Media Access Control (MAC) address and a Basic Service Set Identifier (BSSID).
  • MAC Media Access Control
  • BSSID Basic Service Set Identifier
  • the access point 110 may allow the user terminal 10 to access Wi-Fi based on the user authentication result transmitted from the authentication server 200. As a result of user authentication, if the information of the user wishing to access the access point 110 matches the information of the user registered through the management server 100, the access point 110 may allow the user terminal 10 to access Wi-Fi. there is. If the user authentication results do not match, the access point 110 may reject the Wi-Fi connection of the user terminal 10.
  • Figure 2 is a diagram for explaining the operation of a service provision system using a secure connection through an access point according to an embodiment of the present invention.
  • the method of operating a service providing system using a secure connection through an access point includes a step of the management server receiving user registration information (S110), and the authentication server receiving user registration information based on the user registration information.
  • a step of receiving a user authentication request (S140), a step of performing user authentication using the disposable identity authentication dynamic ID and the identification information of the access point (S150), and the access point is connected to the Wi-Fi of the user terminal based on the user authentication result. It may include a step (S160) of determining whether to allow access.
  • 3 and 4 are data flow diagrams for explaining the operation method of a service provision system using a secure connection through an access point according to an embodiment of the present invention.
  • a process in which the management server 100 receives and processes user information and service reservation information from the user terminal 10 is shown.
  • a step (S201) of receiving user registration information from the user terminal 10 is performed. This may correspond to the step of creating a user account by entering personal information of the user who wishes to order a service.
  • the management server 100 may store user registration information and provide the user registration information to the authentication server 200 to generate user identification information (S202).
  • the authentication server 200 may generate user identification information based on user registration information (S203).
  • User identification information may include a non-identification confirmation key generated by hashing user registration information and a random table containing a plurality of characters.
  • Hash functions for generating hashes include, for example, MD4 function, MD5 function, SHA-0 function, SHA-1 function, SHA-224 function, SHA-256 function, SHA-384 function, SHA-512 function and HAS-160 function. It may include, but the present invention is not limited thereto.
  • the authentication server 200 may transmit the generated user identification information to the management server 100 (S204).
  • the user identification information may include a symmetric key shared with the user terminal 10 to generate a hash value.
  • the management server 100 may transmit the user identification information provided from the authentication server 200 to the user terminal 10 (S205).
  • the user terminal 10 may store user identification information (S206).
  • the user terminal 10 can use the stored user identification information in the Wi-Fi connection and user authentication process described later in FIG. 4.
  • the process of creating service reservation information, creating a reservation, and processing the order may proceed.
  • the creation of such a service reservation is necessary when a reservation is required before using an offline store where the system 1 according to an embodiment of the present invention is installed.
  • a user provides service reservation information outside of an offline store. This may include cases where service check-in and access authentication are used through the system (1).
  • the following processes may not be included in the case of using services that do not require a reservation, simple access authentication, and ordering through a user terminal at an offline store.
  • the user terminal 10 may generate service reservation information through user manipulation (S207) and provide it to the management server 100 (S208).
  • the management server 100 may process and store service reservation information provided from the user terminal 10 (S209).
  • service reservation information may include information on an offline store to be visited by a user using the user terminal 10. Offline store information may be provided to the authentication server 200 for subsequent user authentication.
  • Payment may be made during the processing of service reservation information, and the management server 100 may transmit the processing result of such service reservation to the user terminal 10 (S210).
  • the user terminal 10 may generate a one-time personal authentication dynamic ID (OTID) using the user identification information (S301). This corresponds to the task for user authentication when connecting to Wi-Fi using the access point 110.
  • OID personal authentication dynamic ID
  • the user terminal 10 may generate a first hash value using the non-identification confirmation key included in the usage identification information previously provided from the authentication server 200 and the time information.
  • Hash functions for generating the first hash value include, for example, MD4 function, MD5 function, SHA-0 function, SHA-1 function, SHA-224 function, SHA-256 function, SHA-384 function, SHA-512 function, and It may include the HAS-160 function, but the present invention is not limited thereto.
  • Figures 5 to 7 are diagrams for explaining the process of generating a disposable identity authentication dynamic ID in a service provision system using a secure connection through an access point according to an embodiment of the present invention.
  • the user terminal 10 may generate a second hash value using the generated first hash value and a symmetric key shared with the authentication server 200.
  • the user terminal 10 can generate a second hash value with a length of 32 bytes as shown in FIG. 5, and extract first numeric data from the second hash value.
  • "0xB3" corresponding to the lowest byte is extraction information, and the user terminal 10 can use this extraction information to extract data to be converted into a one-time identity authentication dynamic ID (OTID).
  • OID identity authentication dynamic ID
  • the user terminal 10 can use the data located in the order specified by the "0xB3" extraction information value as the extraction data starting point and extract data up to the pre-arranged extraction data end point according to the hash value interpretation protocol.
  • the user terminal 10 can extract consecutive 4-byte data values 07, 08, 09, and 01.
  • the random table consists of a plurality of characters divided into rows and columns, and a number corresponding to each position is assigned. For example, x is assigned 02, a is 03, B is 04, w is 05, v is 06, i is 07, J is 08, t is 09, and u is 10 (0a).
  • the user terminal 10 sequentially compares the extracted first numeric data, that is, 07, 08, 09, and 01, with the stored random table to generate first character information I, J, t, and x to be used as a one-time identity authentication dynamic ID. It can be extracted.
  • the user terminal 10 may extract the first digits of the non-identification confirmation key according to the number of extracted first numerical data.
  • the non-identification confirmation key is a hash value generated by hashing the user registration information in the authentication server 300.
  • the non-identification confirmation key can be expressed as “0x02, 0x03, 0x08, 0x0a, 0x09, 0x07, ⁇ ”. Since the number of extracted first numerical data is 4, the user terminal 10 can extract the first 4 digits of the non-identification confirmation key, that is, 0x02, 0x03, 0x08, and 0x0a.
  • the user terminal 10 can extract characters by comparing the first digits of the non-identification key, that is, 0x02, 0x03, 0x08, and 0x0a, with the random table stored in the storage unit. Referring to FIG. 6, the user terminal 10 compares the first digits of the non-identification confirmation key, that is, 0x02, 0x03, 0x08, and 0x0a, with the random table stored in the storage unit, and 2 ⁇ W, 3 ⁇ a, 8 ⁇ J, 10. The letters W, a, J, and u can be extracted as follows: (0a) ⁇ u.
  • the user terminal 10 moves the extracted characters (W, a, J, u) on the random table by the number of the first numeric data (07, 08, 09, 01) whose arrangement order matches, thereby generating the second character information. can be collected. For example, the user terminal 10 moves back 07 steps from W of the random table to t, moves back 08 steps from a of the random table to H, moves back 09 steps from J of the random table to R, and u of the random table. You can move back by 01 and extract H to extract the second character information, t, H, R, H, to be used as a disposable identity authentication dynamic ID.
  • the user terminal 10 uses a disposable identity authentication dynamic ID (OTID) including first character information (i, J, t, x) and second character information (t, H, R, H). can be created.
  • OID disposable identity authentication dynamic ID
  • the user authentication process in an offline store can be performed using the disposable identity authentication dynamic ID (OTID) generated in this way.
  • the user terminal 10 may provide a service access request to the management server 100 using user registration information (S302).
  • the user registration information may include the user ID and password created during the user registration process.
  • the management server 100 may allow access to the user terminal 10 after performing a user authentication process using user registration information.
  • the user terminal 10 may request Wi-Fi connection to the access point 110 using the generated disposable identity authentication dynamic ID and user registration information (S304).
  • the access point 110 may transmit the generated disposable identity authentication dynamic ID and user registration information to the authentication server 200 (S305). At this time, the access point 110 may also transmit identification information of the access point 110.
  • the identification information of the access point 110 may be used by the authentication server 200 to identify the business name and location of the offline store from which the user wishes to receive services. Identification information of the access point 110 may include a Media Access Control (MAC) address and a Basic Service Set Identifier (BSSID) of the access point 110.
  • MAC Media Access Control
  • BSSID Basic Service Set Identifier
  • the authentication server 200 can verify the one-time personal authentication dynamic ID (S306). This is explained in more detail using Figures 8 and 9.
  • FIGs 8 and 9 are diagrams for explaining a process in which the authentication server of a service provision system using a secure connection through an access point of the present invention extracts user registration information from a one-time identity authentication dynamic ID (OTID).
  • OID identity authentication dynamic ID
  • the authentication server 200 receives a user authentication request using a one-time user authentication dynamic ID (OTID) generated by the user terminal 10 from the access point 110, and sends a one-time user authentication dynamic ID (OTID) to the access point 110. ) can be compared with the first character information included in the random table to extract numeric data at the position where the first character information is located in the random table.
  • OID one-time user authentication dynamic ID
  • the first character information included in the disposable identity authentication dynamic ID (OTID) is (i, J, t, x), and the second character information is (t, H, R, H).
  • the authentication server 200 generates a disposable identity authentication dynamic ID (OTID) including first character information (i, J, t, x) and second character information (t, H, R, H) in the user terminal 10. You can verify the one-time identity authentication dynamic ID by reversing the process of creating it.
  • the authentication server 200 compares the first character information (i, J, t, x) included in the disposable identity authentication dynamic ID (OTID) with a random table, and selects the first character information (i, J , t, x) can be extracted.
  • OID disposable identity authentication dynamic ID
  • it is numeric data such as i ⁇ 07, J ⁇ 08, t ⁇ 09, and x ⁇ 01.
  • the authentication server 200 compares the second character information (t, H, R, H) included in the disposable identity authentication dynamic ID (OTID) with the random table, and selects the second character information (t, H) from the random table. , R, H) on the random table by the number of the numerical data (07, 08, 09, 01) extracted in FIG. 6 to extract the third character information.
  • the authentication server 200 moves forward by 07 from t of the random table to W, moves forward by 08 from H of the random table to a, moves forward 09 from R of the random table to J, and H of the random table.
  • u can be extracted by moving forward by 01.
  • the authentication server 200 compares the extracted characters (W, a, J, u) with the random table to extract numeric data at the positions where the characters (W, a, J, u) extracted from the random table are located. You can. For example, numeric data such as W ⁇ 0x02, a ⁇ 0x03, J ⁇ 0x08, u ⁇ 0x0a can be extracted.
  • the authentication server 200 may retrieve the non-identification confirmation key including the extracted numeric data (0x02, 0x03, 0x08, 0x0a) and the corresponding user ID (ID) from the storage unit.
  • the non-identification confirmation key and the user ID (ID) matching it are stored in the database (DB), which is a storage unit of the authentication server 200.
  • the non-identification confirmation key is “0x02, 0x03, 0x08, 0x0a, 0x03, 0x07, ... ”, the user ID is “TEST” and the non-identification confirmation key is “0x02, 0x03, 0x08, 0x0a, 0x09, 0x06, ... ”, the user ID is “Joonir”.
  • non-identification confirmation keys containing numeric data (0x02, 0x03, 0x08, 0x0a) extracted from the authentication server 200, and non-identification keys including 0x02, 0x03, 0x08, and 0x0a.
  • User IDs corresponding to the confirmation key are “TEST”, “Joonir”, “iota”, “charis”, and “yum”.
  • the authentication server 200 uses the non-identification confirmation key and visual information in the same manner as the method of generating a one-time identity authentication dynamic ID (OTID) in the user terminal 10.
  • OID one-time identity authentication dynamic ID
  • a third hash value can be generated using
  • a fourth hash value can be generated using a symmetric key shared with the third hash value.
  • the authentication server 200 can extract numeric data by interpreting the fourth hash value, and sequentially compare it with the random table stored in the storage unit to extract the fourth character information.
  • the authentication server 200 provides a non-identification confirmation key that matches the fourth character information and the first character information (i, J, t, x) included in the disposable identity authentication dynamic IDf (OTID) and user identification information matching the same.
  • the user ID (ID) can be searched in the database (DB) stored in the storage unit.
  • the authentication server 200 may perform verification by comparing the user identification information retrieved from the database and the user identification information provided from the user terminal 10 to determine whether they match. As a result of the verification, if the user identification information retrieved from the database and the user identification information provided from the user terminal 10 match, the verification is successful. If they do not match, the verification fails.
  • the authentication server 200 may use the identification information of the access point provided from the access point 110 for authentication.
  • the authentication server 200 stores a database about the MAC addresses and BSSID of access points installed in offline stores, and includes identification information provided from the access point 110 for authentication, that is, the MAC address and BSSID of the access point 110.
  • User authentication can be performed by determining whether it matches the information stored in the database.
  • the authentication server 300 may transmit the user authentication result to the access point 110 (S307).
  • the access point 110 may determine whether to allow the user terminal 10 to access Wi-Fi based on the user authentication result (S309). As described above, if verification is successful, the access point 110 may allow the user terminal 10 to access Wi-Fi, and if verification fails, the access point 110 may deny the user terminal 10 access to Wi-Fi.
  • the access point 110 may transmit Wi-Fi connection information to the user terminal 10 (S310). Thereafter, data communication between the user terminal 10 and the management server 100 or the user terminal 10 and the authentication server 200 may be performed through a Wi-Fi network using the access point 110.
  • the authentication server 200 may provide user registration information and identification information of the access point 110 to the management server 100 (S308).
  • the management server 100 may create a service page based on the identification information of the access point 110 provided from the authentication server 200 and provide the service page to the user terminal 10.
  • the management server 100 may store offline store information corresponding to the identification information (MAC address and BSSID) of the access point 110.
  • the offline store information may include service information of the offline store where the access point 110 specified through identification information is installed. For example, if the offline store is a cafe, menu information that can be ordered online through the user terminal 10 may be included in the offline store information.
  • the management server 100 may create a service page based on offline store information.
  • This service page may include, for example, a menu page for receiving menu order information through the user terminal 10.
  • the generated menu can be provided to the user terminal 10, and since user authentication has been completed through the authentication server 200 and the user terminal 10 is connected to the access point 110, separate user authentication is required. may not be required. Thereafter, ordering and payment processes with the management server 100 may be performed based on the service page displayed on the user terminal 10.
  • the service provision system 1 using a secure connection through an access point can provide a system in which a user can safely access the system using the access point 110 in an offline store.
  • the user terminal 10 stores user identification information generated from the authentication server 200 during the creation of user registration information, and presents a one-time identity authentication dynamic ID generated using the user identification information when using an offline store, thereby allowing the user Authentication can be performed.
  • the one-time identity authentication dynamic ID is generated by the user terminal 10 using user identification information, random table, and time information, even if the Wi-Fi packet transmitted through the access point 110 is intercepted by wiretapping or wiretapping, etc. Access to a user's account using a one-time user authentication dynamic ID may not be possible. Therefore, user information using offline stores can be safely protected.
  • Figure 11 is a flowchart for explaining the access authentication and service check-in process in a service provision system using a secure connection through an access point according to an embodiment of the present invention.
  • the access authentication and service check-in process by the system of the present invention includes a step of the user terminal 10 connecting to the access point 110 (S210), a step of performing user authentication (S220), and access authentication or A step of performing service check-in (S230) may be included.
  • the user terminal 10 connects to the access point 110 (S210) and performs user authentication using the disposable identity authentication dynamic ID (OTID) and the identification information of the access point (S220), which is a series of processes described above. It can proceed through .
  • the management server 100 can control the door lock, etc. to allow a user with the user terminal 10 connected through the access point 110 to enter. Additionally, when a user with the user terminal 10 enters an offline store, the management server 100 may perform service check-in based on service reservation information and notify the store management system of the user's entry.
  • Computer-readable recording media include all types of recording devices that store data that can be read by a computer device. Examples of computer-readable recording media include hard disks, ROMs, RAM, CD-ROMs, hard disks, magnetic tapes, floppy disks, and optical data storage devices, as well as carrier waves (e.g., transmission via the Internet). It also includes implementation in the form of.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 방법이 제공된다. 상기 방법은, 관리 서버가 사용자 단말로부터 입력받은 사용자 등록 정보를 인증 서버에 제공하고, 상기 인증 서버가 상기 사용자 등록 정보에 기초하여 사용자 식별 정보를 생성하는 단계; 상기 인증 서버가 생성된 사용자 식별 정보를 상기 관리 서버에 제공하고, 상기 관리 서버로부터 상기 사용자 단말에 생성된 사용자 식별 정보를 전송하는 단계; 액세스 포인트가 상기 사용자 단말이 상기 사용자 식별 정보를 이용하여 생성한 일회용 본인인증 동적ID와, 와이파이 접속 허가 요청을 제공받는 단계;상기 액세스 포인트가 상기 일회용 본인인증 동적ID 및 상기 액세스 포인트의 식별 정보와 함께 사용자 인증 요청을 상기 인증 서버로 제공하는 단계; 상기 인증 서버가 상기 사용자 식별 정보와 상기 액세스 포인트의 식별 정보를 이용하여 사용자 인증을 수행하는 단계; 상기 인증 서버가 상기 액세스 포인트에 사용자 인증 결과를 제공하는 단계; 및 상기 액세스 포인트가 상기 사용자 인증 결과에 기초하여 상기 사용자 단말의 와이파이 접속 허가 여부를 결정하는 단계를 포함한다.

Description

액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템 및 그 시스템의 동작 방법
본 발명은 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템 및 그 시스템의 동작 방법에 관한 것으로, 더욱 구체적으로는 액세스 포인트의 식별 정보(BSID)를 이용하여 비밀번호가 포함된 일회용 본인인증 동적ID(OTID)를 생성하여 보안 접속에 이용함으로써 보안성과 안전성을 강화한 서비스 제공 시스템 및 그 시스템의 동작 방법에 관한 것이다.
전기전자통신 기술이 발달하면서 데스크탑, 노트북, 스마트폰, 태블릿 PC와 같은 고속의 무선 데이터 통신이 가능한 사용자 단말이 널리 이용되고 있다. 온라인 상의 서비스 제공자들은 고객으로 하여금 사용자 단말을 이용하여 사용자 본인인증 과정을 거친 후 서비스 접속 및 이용할 수 있는 환경을 제공한다.
한편, 오프라인 사업장에서도 서비스 체크인, 출입인증, 채팅, 주문 및 결제에 이르는 일련의 과정을 사용자 단말을 이용하여 손쉽게 이용할 수 있는 환경이 제공됨으로써 사용자들의 편의성이 향상될 수 있다. 그런데, 오프라인에서 사업자가 제공하는 액세스 포인트(AP)를 통한 와이파이 접속 환경을 이용하는 경우 사용자의 아이디 및 패스워드가 포함된 데이터 패킷은 흔히 WPA(Wi-Fi Protected Access)와 같은 암호화 방식을 통해 전송된다. 다만 WPA 규격을 이용한 데이터 통신은 이미 발견되었거나 잠재적인 보안 취약점을 이용한 해킹 위험성을 완전히 제거할 수 없고, 결제 수단을 내재하고 있는 사용 환경 상 아이디 및 패스워드가 탈취되는 경우 피해 규모는 상상 이상으로 증가할 수 있다.
따라서, 무선 단말을 이용한 오프라인 상에서의 편리한 서비스 이용이라는 향상된 사용자 경험의 제공과, 뛰어난 보안성 및 안전성이 양립될 수 있는 서비스 제공 시스템의 도입이 요구되고 있다.
본 발명이 해결하고자 하는 기술적 과제는 오프라인 상에서 와이파이 접속 환경을 제공하는 액세스 포인트의 식별 정보 등을 이용하여 비밀번호가 포함된 일회용 본인인증 동적ID(OTID)를 생성하는 한편, 통신 패킷의 도감청 등에 의해 일회용 본인인증 동적ID가 탈취된 경우에도 다음 서비스 접속 시에는 해당 동적ID를 폐기함으로써 보안성과 안전성을 향상시킬 수 있는 서비스 제공 시스템 및 이의 동작 방법을 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상술한 기술적 과제를 해결하기 위한 본 발명의 일 실시예에 따른 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 방법은, 관리 서버가 사용자 단말로부터 입력받은 사용자 등록 정보를 인증 서버에 제공하고, 상기 인증 서버가 상기 사용자 등록 정보에 기초하여 사용자 식별 정보를 생성하는 단계; 상기 인증 서버가 생성된 사용자 식별 정보를 상기 관리 서버에 제공하고, 상기 관리 서버로부터 상기 사용자 단말에 생성된 사용자 식별 정보를 전송하는 단계; 액세스 포인트가 상기 사용자 단말이 상기 사용자 식별 정보를 이용하여 생성한 일회용 본인인증 동적ID(OTID)와, 와이파이 접속 허가 요청을 제공받는 단계;상기 액세스 포인트가 상기 일회용 본인인증 동적ID 및 상기 액세스 포인트의 식별 정보와 함께 사용자 인증 요청을 상기 인증 서버로 제공하는 단계; 상기 인증 서버가 상기 사용자 식별 정보와 상기 액세스 포인트의 식별 정보를 이용하여 사용자 인증을 수행하는 단계; 상기 인증 서버가 상기 액세스 포인트에 사용자 인증 결과를 제공하는 단계; 및 상기 액세스 포인트가 상기 사용자 인증 결과에 기초하여 상기 사용자 단말의 와이파이 접속 허가 여부를 결정하는 단계를 포함한다.
본 발명의 몇몇 실시예에서, 상기 인증 서버로부터 상기 관리 서버에 상기 액세스 포인트의 식별 정보를 제공하는 단계; 및 상기 관리 서버가 상기 액세스 포인트의 식별 정보에 기초하여 생성된 서비스 페이지를 상기 사용자 단말에 제공하는 단계를 더 포함할 수 있다.
본 발명의 몇몇 실시예에서, 상기 사용자 식별 정보는 상기 사용자 등록 정보를 해시하여 생성한 비식별확인키와 복수의 문자를 포함하는 랜덤테이블을 포함할 수 있다.
본 발명의 몇몇 실시예에서, 상기 인증 서버가 상기 일회용 본인인증 동적ID와 상기 액세스 포인트의 식별 정보를 이용하여 사용자 인증을 수행하는 단계는, 상기 일회용 본인인증 동적ID에 포함된 제1 문자정보와 상기 랜덤테이블을 비교하여 제1 문자 정보가 있는 위치의 제1 숫자데이터를 추출하고, 상기 랜덤테이블에서 상기 일회용 본인인증 동적ID에 포함된 제2 문자정보를 상기 제1 숫자데이터만큼 이동시켜 제3 문자정보를 추출하고, 상기 제3 문자정보를 이용하여 상기 랜덤테이블을 이용하여 제2 숫자데이터를 추출하고, 및 상기 제2 숫자데이터를 포함하는 비식별확인키 및 비식별확인키에 대응하는 사용자 아이디를 검색하는 단계를 포함할 수 있다.
상술한 기술적 과제를 해결하기 위한 본 발명의 다른 실시예에 따른 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템은, 사용자 단말로부터 사용자 등록 정보를 제공받는 관리 서버; 상기 사용자 등록 정보로부터 사용자 식별 정보를 생성하여 상기 사용자 단말로 제공하고, 상기 사용자 단말의 사용자 인증 요청에 따라 사용자 인증을 수행하는 인증 서버; 및 상기 사용자 단말로부터 상기 사용자 식별 정보로부터 생성된 일회용 본인인증 동적ID 및 사용자 등록 정보가 포함된 와이파이 접속 요청을 제공받고, 상기 인증 서버로 액세스 포인트의 식별 정보와 함께 상기 사용자 인증 요청을 제공하고, 상기 사용자 인증의 결과에 따라 상기 사용자 단말의 와이파이 접속 허가 여부를 결정하는 액세스 포인트를 포함한다.
본 발명의 몇몇 실시예에서, 상기 관리 서버는, 상기 인증 서버로부터 제공받은 상기 액세스 포인트의 식별 정보에 기초하여 서비스 페이지를 생성하여 상기 사용자 단말에 제공할 수 있다.
본 발명의 몇몇 실시예에서, 상기 관리 서버는 상기 사용자 단말로부터 서비스 예약 정보를 제공받아 저장하고, 상기 인증 서버가 액세스 포인트의 식별 정보와 상기 서비스 예약 정보에 포함된 오프라인 매장 정보의 일치 여부를 판단할 수 있다.
기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명의 실시예에 따른 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 방법 및 그 시스템은, 사용자가 오프라인 매장에서 액세스 포인트를 이용하여 안전하게 시스템에 접속할 수 있는 시스템을 제공할 수 있다.
또한 사용자 단말은 사용자 등록 정보의 생성 과정에서 인증 서버로부터 생성된 사용자 식별 정보를 저장하고, 오프라인 상점 이용 시 사용자 식별 정보를 이용하여 생성된 일회용 본인인증 동적ID를 제시함으로써 사용자 인증을 수행할 수 있다.
이때 일회용 본인인증 동적ID는 사용자 식별 정보, 랜덤 테이블 및 시각 정보를 이용하여 사용자 단말에 의해 생성되므로, 액세스 포인트를 통해 전송되는 와이파이 패킷이 도청 또는 감청 등에 의해 탈취되는 경우에도 일회용 본인인증 동적ID를 이용한 사용자의 계정의 접근은 불가능할 수 있다. 따라서 오프라인 상점을 이용하는 사용자 정보를 안전하게 보호할 수 있다.
본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 청구범위의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 실시예에 따른 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템의 구성을 설명하기 위한 도면이다.
도 2는 본 발명의 실시예에 따른 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템의 동작을 설명하기 위한 도면이다.
도 3 내지 도 4는 본 발명의 실시예에 따른 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템의 동작 방법을 설명하기 위한 데이터 흐름도이다.
도 5 내지 7은 본 발명의 실시예에 따른 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템에서 일회용 본인인증 동적ID의 생성 과정을 설명하기 위한 도면들이다.
도 8 내지 9는 본 발명의 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템의 인증 서버가 일회용 본인인증 동적ID (OTID)로부터 사용자 등록 정보를 추출하는 과정을 설명하기 위한 도면이다.
도 10은 본 발명의 실시예에 따른 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템에서 액세스 포인트를 통해 관리 서버에 접속한 사용자 단말들끼리 그룹 채팅하는 기능을 설명하기 위한 개념도이다.
도 11은 본 발명의 실시예에 따른 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템에서 출입인증 및 서비스 체크인 과정을 설명하기 위한 순서도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
하나의 구성 요소가 다른 구성 요소와 "연결된(connected to)" 또는 "커플링된(coupled to)" 이라고 지칭되는 것은, 다른 구성 요소와 직접 연결 또는 커플링된 경우 또는 중간에 다른 구성 요소를 개재한 경우를 모두 포함한다. 반면, 하나의 구성 요소가 다른 구성 요소와 "직접 연결된(directly connected to)" 또는 "직접 커플링된(directly coupled to)"으로 지칭되는 것은 중간에 다른 구성 요소를 개재하지 않은 것을 나타낸다. "및/또는"은 언급된 아이템들의 각각 및 하나 이상의 모든 조합을 포함한다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성 요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성 요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
비록 제1, 제2 등이 다양한 구성 요소들을 서술하기 위해서 사용되나, 이들 구성 요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성 요소를 다른 구성 요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성 요소는 본 발명의 기술적 사상 내에서 제2 구성 요소 일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
도 1은 본 발명의 몇몇 실시예에 따른 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템(1)을 설명하기 위한 도면이다.
도 1을 참조하면, 본 발명의 몇몇 실시예에 따른 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템(1)은 액세스 포인트(110), 관리 서버(100) 및 인증 서버(200)를 포함할 수 있다.
관리 서버(100)는 홈페이지 또는 기타 웹사이트에 대한 회원등록, 서비스 메뉴 제공 등을 위한 웹사이트 접속을 처리할 수 있다. 관리 서버(100)는 사용자 단말(10)에 서비스에 대한 정보를 제공하고, 사용자 단말(10)로부터 서비스 체크인, 출입인증, 채팅, 주문 및 결제와 관련된 일련의 요청을 수신하여 처리할 수 있다.
관리 서버(100)는 스크린 골프장, 카페 또는 PC방 등과 같은 다중이용업소, 기업체, 공기관 등 다양한 장소에서 제공하는 서비스 운영을 위해 설치되는 적어도 하나의 서버를 포함할 수 있다.
관리 서버(100)는 사용자 단말(10)로부터 주문 또는 예약 정보를 제공받기 이전에, 사용자 등록 정보를 수신할 수 있다. 사용자 등록 정보는 사용자가 입력한 아이디(ID), 패스워드(PW)와 같이 사용자를 식별하기 위한 정보를 포함할 수 있다.
관리 서버(100)는 사용자로부터 제공된 사용자 등록 정보를 인증 서버(200)에 전송할 수 있다. 관리 서버(100)는 인증 서버(200)가 사용자 등록 정보에 기초하여 생성한 사용자 식별 정보를 수신하고, 이를 사용자 단말(10)에 전달함으로써 사용자 등록 과정을 완료할 수 있다.
또한 관리 서버(100)는 사용자 단말(10)이 액세스 포인트(110)에 대한 와이파이 접속이 완료된 이후에, 액세스 포인트(110)의 식별 정보를 이용하여 사용자 단말(10)에 서비스 페이지를 제공할 수 있다. 이를 위해 관리 서버(100)는 액세스 포인트(110)의 식별 정보(MAC 주소 및 BSSID)에 대응한 오프라인 매장 정보를 저장할 수 있다. 상기 오프라인 매장 정보는 식별 정보를 통해 특정된 액세스 포인트(110)가 설치된 오프라인 매장의 서비스 정보 등을 포함할 수 있으며, 예를 들어 오프라인 매장이 카페인 경우 사용자 단말(10)을 통해 온라인 주문 가능한 메뉴 정보가 오프라인 매장 정보에 포함될 수 있다.
예를 들어 인증 서버(200)로부터 제공받은 액세스 포인트(110)의 식별 정보가 '서울시 강남구 봉은사로 543'에 위치한 카페에 설치된 액세스 포인트인 경우, 관리 서버(100)는 사용자 단말(10)이 해당 카페의 메뉴 화면을 전송하고, 사용자 단말(10)로부터 주문 정보를 제공받을 수 있다.
관리 서버(100)는 액세스 포인트(110)에 접속된 복수의 사용자 단말(10)이 서로 액세스 포인트(110)를 통해 통신할 수 있는 세션을 생성할 수 있다. 예를 들어 도 10에 도시된 것과 같이 동일한 액세스 포인트(110), 즉 하나의 매장에 설치된 액세스 포인트(110)를 통해 관리 서버(100)가 생성한 세션에 접속한 복수의 사용자 단말(11~14)들은 관리 서버(100)에 의해 관리되는 그룹 채팅에 참여하고, 사용자 단말(11~14) 사이에 메시지 데이터를 송수신할 수 있다.
인증 서버(200)는 관리 서버(100)로부터 사용자 등록 정보를 제공받고, 제공된 사용자 등록 정보에 기초하여 사용자 식별 정보를 생성할 수 있다. 제공된 사용자 등록 정보는 사용자가 입력한 아이디(ID), 패스워드(PW). 사용자자의 핸드폰 번호와 같이 사용자를 식별하기 위한 정보를 포함할 수 있다.
사용자 식별 정보는 사용자 등록 정보를 해시하여 생성한 비식별확인키와 복수의 문자를 포함하는 랜덤테이블을 포함할 수 있다. 사용자 식별 정보는 사용자 단말(10)에 저장되어, 이후 액세스 포인트(110)에 대하여 와이파이 접속을 요청하기 위한 일회용 본인인증 동적ID(OTID)를 생성하는 것에 이용될 수 있다.
인증 서버(200)는 매장에 방문한 사용자가 이용하는 사용자 단말(10)의 인증을 수행할 수 있다. 구체적으로, 인증 서버(200)는 사용자 단말(10)이 생성한 일회용 본인인증 동적ID(OTID)를 액세스 포인트(110)를 통해 전달받고 사용자 인증을 수행할 수 있다. 인증 서버(200)는 사용자 인증의 결과로서 추출한 사용자 등록 정보를 사용자 식별 정보 생성을 위해 제공받은 사용자 등록 정보에 포함된 사용자 아이디와 비교함으로써 사용자의 일치 여부를 결정할 수 있다.
몇몇 실시예에서 인증 서버(200)는 액세스 포인트(110)의 식별 정보를 이용하여 사용자 인증을 수행할 수도 있다. 인증 서버(200)는 오프라인 매장에 설치된 액세스 포인트들의 MAC 주소 및 BSSID에 관한 데이터베이스를 저장하고 있으며, 인증을 위하여 액세스 포인트(110)로부터 제공받은 식별 정보, 즉 액세스 포인트(110)의 MAC 주소 및 BSSID가 데이터베이스에 저장된 정보와 일치하는지 여부를 판단함으로써 사용자 인증을 수행할 수 있다.
인증 서버(200)는 사용자 인증 결과를 액세스 포인트(110)에 전송함으로써 액세스 포인트(110)가 사용자 단말(10)의 와이파이 접속 허가 여부를 결정하도록 할 수 있다.
*사용자 단말(10)은 노트북, 태블릿 PC, 스마트폰과 같이 와이파이(Wi-Fi)를 통해 액세스 포인트(110)에 접속할 수 있는 장치를 포함할 수 있다. 또한, 사용자 단말(10)은 액세스 포인트(110)를 통한 와이파이 접속 없이 셀룰러 네트워크 등을 이용하여 관리 서버(100) 및 인증 서버(200) 등에 접속할 수 있다. 사용자 단말(10)은 본 발명의 시스템(1)이 제공하는 서비스에 접속하고 사용자 인증을 수행하기 위한 애플리케이션, 웹 애플리케이션, SDK(Software Development Kit) 등을 저장하고 실행할 수 있다.
액세스 포인트(110)는 와이파이 접속 환경을 제공하고, 사용자 단말(10)의 와이파이 접속 허용 여부를 결정할 수 있다. 액세스 포인트(110)는 사용자 단말(10)로부터 일회용 본인인증 동적ID(OTID)를 포함하는 와이파이 접속 허용 요청 메시지를 수신하고, 이를 이용하여 인증 서버(200)로 사용자 인증 요청을 제공할 수 있다. 앞서 설명한 것과 같이, 상기 사용자 인증 과정에서 액세스 포인트(110)는 액세스 포인트(110) 고유의 식별 정보를 인증 서버(200)에 전송할 수 있다.
이러한 액세스 포인트(110)의 식별 정보는 MAC(Media Access Control) 주소와 BSSID(Basic Service Set Identifer)를 포함할 수 있다.
액세스 포인트(110)는 인증 서버(200)로부터 전송되는 사용자 인증 결과에 기반하여 사용자 단말(10)의 와이파이 접속을 허가할 수 있다. 사용자 인증의 결과 액세스 포인트(110)에 접속하고자 하는 사용자의 정보가 관리 서버(100)를 통해 등록한 사용자의 정보와 일치하는 경우 액세스 포인트(110)는 사용자 단말(10)의 와이파이 접속을 허용할 수 있다. 사용자 인증의 결과 불일치하는 경우 액세스 포인트(110)는 사용자 단말(10)의 와이파이 접속을 거절할 수 있다.
도 2는 본 발명의 실시예에 따른 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템의 동작을 설명하기 위한 도면이다.
도 2를 참조하면, 본 발명의 실시예에 따른 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템의 동작 방법은 관리 서버가 사용자 등록 정보를 수신하는 단계(S110), 인증 서버가 사용자 등록 정보에 기초하여 사용자 식별 정보를 생성하는 단계(S120), 액세스 포인트가 사용자 단말로부터 일회용 본인인증 동적ID와 와이파이 접속 허가 요청을 수신하는 단계(S130), 인증 서버가 액세스 포인트의 식별 정보 및 일회용 본인인증 동적ID와 함께 사용자 인증 요청을 수신하는 단계(S140), 일회용 본인인증 동적ID 및 액세스 포인트의 식별 정보를 이용하여 사용자 인증을 수행하는 단계(S150), 액세스 포인트가 사용자 인증 결과에 기초하여 사용자 단말의 와이파이 접속 허가 여부를 결정하는 단계(S160)를 포함할 수 있다.
도 2의 각 단계를 도 3 및 4의 데이터 흐름도를 이용하여 더욱 자세하게 설명한다.
도 3 내지 도 4는 본 발명의 실시예에 따른 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템의 동작 방법을 설명하기 위한 데이터 흐름도이다.
먼저 도 3을 참조하면, 사용자 단말(10)로부터 관리 서버(100)가 사용자 정보 및 서비스 예약 정보를 수신하여 처리하는 과정이 도시된다. 먼저 사용자 단말(10)로부터 사용자 등록 정보를 입력받는 단계(S201)가 수행된다. 이는 서비스를 주문하고자 하는 사용자의 개인 정보 등을 입력함으로써 사용자 계정을 생성하는 단계에 해당할 수 있다. 관리 서버(100)는 사용자 등록 정보를 저장하는 한편, 사용자 식별 정보의 생성을 위해 사용자 등록 정보를 인증 서버(200)에 제공할 수 있다(S202).
인증 서버(200)는 사용자 등록 정보에 기초하여 사용자 식별 정보를 생성할 수 있다(S203). 사용자 식별 정보는 사용자 등록 정보를 해시하여 생성한 비식별확인키와 복수의 문자를 포함하는 랜덤테이블을 포함할 수 있다.
해시 생성을 위한 해시 함수는 예를 들어 MD4 함수, MD5 함수, SHA-0 함수, SHA-1 함수, SHA-224 함수, SHA-256 함수, SHA-384함수, SHA-512 함수 및 HAS-160 함수를 포함할 수 있으나, 본 발명이 이에 제한되는 것은 아니다.
인증 서버(200)는 생성된 사용자 식별 정보를 관리 서버(100)에 전송할 수 있다(S204). 사용자 식별 정보에는 상술한 비식별확인키, 랜덤테이블 이외에 사용자 단말(10)과 공유하여 해시값을 생성하기 위한 대칭키가 포함될 수 있다.
관리 서버(100)는 인증 서버(200)로부터 제공된 사용자 식별 정보를 사용자 단말(10)에 전달할 수 있다(S205). 사용자 단말(10)은 사용자 식별 정보를 저장할 수 있다(S206). 사용자 단말(10)은 저장된 사용자 식별 정보를 이용하여 이후 도 4에서 설명될 와이파이 접속 및 사용자 인증 과정에 사용할 수 있다.
이후에는 서비스 예약 정보를 생성하여 예약을 생성하고, 그 주문을 처리하는 과정이 진행될 수 있다. 이러한 서비스 예약의 생성은 본 발명의 실시예에 따른 시스템(1)이 설치된 오프라인 매장 이용 전에 예약이 필요한 경우에 필요한 것으로서, 예를 들어 스크린 골프장을 이용하기 위해 사용자가 오프라인 매장 외부에서 서비스 예약 정보를 생성하고, 시스템(1)을 통해 서비스 체크인 및 출입인증 등을 이용하는 경우가 포함될 수 있다. 그 밖에 예약이 필요하지 않은 서비스의 이용, 단순 출입인증 및 오프라인 매장에서 사용자 단말을 통한 주문의 경우는 하기 과정을 포함하지 않을 수 있다.
사용자 단말(10)은 사용자 조작에 의해 서비스 예약 정보를 생성하고(S207), 이를 관리 서버(100)로 제공할 수 있다(S208). 관리 서버(100)는 사용자 단말(10)로부터 제공된 서비스 예약 정보를 처리 및 저장할 수 있다(S209). 상술한 것과 같이, 서비스 예약 정보에는 사용자 단말(10)을 이용하는 사용자가 방문할 오프라인 매장 정보가 포함될 수 있다. 오프라인 매장 정보는 이후 사용자 인증을 위해 인증 서버(200)로 제공될 수 있다.
서비스 예약 정보의 처리 과정에서 결제가 진행될 수 있으며, 관리 서버(100)는 이와 같은 서비스 예약의 처리 결과를 사용자 단말(10)에 전송할 수 있다(S210).
이어서 도 4를 참조하면, 사용자 단말(10)은 사용자 식별 정보를 이용하여 일회용 본인인증 동적ID(OTID)를 생성할 수 있다(S301). 이는 액세스 포인트(110)를 이용한 와이파이 접속 시 사용자 인증을 위한 작업에 해당한다.
사용자 단말(10)은 앞서 인증 서버(200)로부터 제공된 사용 식별 정보에 포함된 비식별확인키와, 시각 정보를 이용하여 제1 해시값을 생성할 수 있다. 제1 해시 값을 생성하기 위한 해시 함수는 예를 들어 MD4 함수, MD5 함수, SHA-0 함수, SHA-1 함수, SHA-224 함수, SHA-256 함수, SHA-384함수, SHA-512 함수 및 HAS-160 함수를 포함할 수 있으나, 본 발명이 이에 제한되는 것은 아니다.
도 5 내지 7은 본 발명의 실시예에 따른 발명의 실시예에 따른 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템에서 일회용 본인인증 동적ID의 생성 과정을 설명하기 위한 도면들이다.
사용자 단말(10)은 생성된 제1 해시값과 인증 서버(200)와 공유된 대칭키를 이용하여 제2 해시값을 생성할 수 있다. 예를 들어 사용자 단말(10)은 도 5와 같이 32바이트 길이를 갖는 제2 해시값을 생성할 수 있으며, 제2 해시값에서 제1 숫자데이터를 추출할 수 있다. 해시값 해석 규약에 따라 최하위 바이트에 해당하는 "0xB3"는 추출정보이며, 사용자 단말(10)은 이 추출정보를 이용하여 일회용 본인인증 동적ID(OTID)로 변환할 데이터를 추출할 수 있다.
사용자 단말(10)은 "0xB3" 추출정보 값이 지정하는 순서에 위치한 데이터를 추출데이터 시작점으로 하여 해시값 해석 규약에 따라 미리 약속된 추출데이터 끝점까지의 데이터를 추출할 수 있다. 사용자 단말(10)은 연속된 4바이트의 데이터 값인 07, 08, 09, 01을 추출할 수 있다.
도 6을 참조하면, 랜덤테이블은 복수의 문자가 행과 열로 구분되며, 각 위치에 대응하는 숫자가 할당된다. 예를 들어, x는 02, a는 03, B는 04, w는 05, v는 06, i는 07, J는 08, t는 09, u는 10(0a)이 할당된다. 사용자 단말(10)은 추출된 제1 숫자데이터들, 즉 07, 08, 09, 01과 저장된 랜덤테이블을 순차적으로 비교하여 일회용 본인인증 동적ID로 사용할 제1 문자정보 I, J, t, x를 추출할 수 있다.
사용자 단말(10)은 추출된 제1 숫자데이터들의 개수에 맞게 비식별확인키의 앞 자리수들을 추출할 수 있다. 비식별확인키는 인증 서버(300)에서 사용자 등록 정보를 해시하여 생성한 해시값이다. 예를 들어 비식별확인키는 "0x02, 0x03, 0x08, 0x0a, 0x09, 0x07, 쪋"으로 표현될 수 있다. 사용자 단말(10)은 추출된 제1 숫자데이터들의 개수가 4개이므로, 비식별확인키의 앞 자리수들 4개, 즉 0x02, 0x03, 0x08, 0x0a를 추출할 수 있다.
사용자 단말(10)은 비식별확인키의 앞 자리수들 즉 0x02, 0x03, 0x08, 0x0a와 저장부에 저장된 랜덤테이블을 비교하여 문자들을 추출할 수 있다. 도 6을 참조하면 사용자 단말(10)은 비식별확인키의 앞 자리수들 즉 0x02, 0x03, 0x08, 0x0a와 저장부에 저장된 랜덤테이블을 비교하여 2→W, 3→a, 8→J, 10(0a)→u와 같이 W, a, J, u 문자들을 추출할 수 있다.
사용자 단말(10)은 추출한 문자들(W, a, J, u )을 배열순서가 일치하는 제1 숫자데이터들(07, 08, 09, 01)의 숫자만큼 랜덤테이블 상에서 이동하여 제2 문자정보를 수집할 수 있다. 예를 들어, 사용자 단말(10)은 랜덤테이블의 W에서 07만큼 뒤로 이동하여 t, 랜덤테이블의 a에서 08만큼 뒤로 이동하여 H, 랜덤테이블의 J에서 09만큼 뒤로 이동하여 R, 랜덤테이블의 u에서 01만큼 뒤로 이동하여 H를 추출하여 일회용 본인인증 동적 ID로 사용할 제2 문자정보, t, H, R, H를 추출할 수 있다.
도 7을 참조하면, 사용자 단말(10)은 제1 문자정보(i, J, t, x)와 제2 문자정보(t, H, R, H)를 포함하는 일회용 본인인증 동적ID(OTID)를 생성할 수 있다. 이와 같이 생성된 일회용 본인인증 동적ID(OTID)를 이용하여 오프라인 상점에서의 사용자 인증 과정이 수행될 수 있다.
다시 도 4를 참조하면, 사용자 단말(10)은 사용자 등록 정보를 이용하여 관리 서버(100)에 서비스 접속 요청을 제공할 수 있다(S302). 상기 사용자 등록 정보는 앞서 사용자 등록 과정에서 생성한 사용자의 ID와 패스워드를 포함할 수 있다. 관리 서버(100)는 사용자 등록 정보를 이용하여 사용자 인증 과정을 수행한 후, 사용자 단말(10)에 대한 접속을 허가할 수 있다.
사용자 단말(10)은 생성된 일회용 본인인증 동적ID와 사용자 등록 정보를 이용하여 액세스 포인트(110)로 와이파이 접속을 요청할 수 있다(S304).
액세스 포인트(110)는 생성된 일회용 본인인증 동적ID 및 사용자 등록 정보를 인증 서버(200)로 전송할 수 있다(S305). 이때, 액세스 포인트(110)는 액세스 포인트(110)의 식별 정보도 함께 보낼 수 있다. 액세스 포인트(110)의 식별 정보는 사용자가 서비스를 제공받고자 하는 오프라인 상점의 상호명과 위치를 인증 서버(200)가 식별하기 위해 사용될 수 있다. 액세스 포인트(110)의 식별 정보는 액세스 포인트(110)의 MAC(Media Access Control) 주소 및 BSSID(Basic Service Set Identifier)를 포함할 수 있다.
인증 서버(200)는 일회용 본인인증 동적ID를 검증할 수 있다(S306). 이는 도 8 내지 9를 이용하여 더욱 자세하게 설명한다.
도 8 내지 9는 본 발명의 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템의 인증 서버가 일회용 본인인증 동적ID(OTID)로부터 사용자 등록 정보를 추출하는 과정을 설명하기 위한 도면이다.
도 8을 참조하면, 인증 서버(200)는 사용자 단말(10)에서 생성된 일회용 본인인증 동적ID(OTID)를 이용한 사용자 인증 요청을 액세스 포인트(110)로부터 수신하고, 일회용 본인인증 동적ID(OTID)에 포함된 제1 문자정보와 랜덤테이블을 비교하여 랜덤테이블에서 제1 문자 정보가 있는 위치의 숫자데이터를 추출할 수 있다.
일회용 본인인증 동적ID(OTID)에 포함된 제1 문자정보는 (i, J, t, x)이고, 제2 문자정보는 (t, H, R, H)이다. 인증 서버(200)는 사용자 단말(10)에서 제1 문자 정보(i, J, t, x)와 제2 문자정보(t, H, R, H)를 포함하는 일회용 본인인증 동적ID(OTID)를 생성하는 과정을 역순으로 진행하여 일회용 본인인증 동적ID를 검증할 수 있다.
먼저, 인증 서버(200)는 일회용 본인인증 동적ID(OTID)에 포함된 제1 문자정보(i, J, t, x)와 랜덤테이블을 비교하여, 랜덤테이블에서 제1 문자정보(i, J, t, x)가 있는 위치의 숫자데이터들을 추출할 수 있다. 예를 들어, 도 8에서 i→07, J→08, t→09, x→01와 같은 숫자데이터이다.
이후, 인증 서버(200)는 일회용 본인인증 동적ID(OTID)에 포함된 제2 문자정보(t, H, R, H)와 랜덤테이블을 비교하여, 랜덤테이블에서 제2 문자정보(t, H, R, H)를 도 6에서 추출한 숫자데이터들 (07, 08, 09, 01)의 숫자만큼 랜덤테이블 상에서 이동하여 제3 문자정보를 추출할 수 있다. 예를 들어, 인증 서버(200)는 랜덤테이블의 t에서 07만큼 앞으로 이동하여 W, 랜덤테이블의 H에서 08만큼 앞으로 이동하여 a, 랜덤테이블의 R에서 09만큼 앞으로 이동하여 J, 랜덤테이블의 H에서 01만큼 앞으로 이동하여 u를 추출할 수 있다.
인증 서버(200)는 추출된 문자들 (W, a, J, u)와 랜덤테이블을 비교하여 랜덤테이블에서 추출된 문자들 (W, a, J, u)가 있는 위치의 숫자데이터들을 추출할 수 있다. 예를 들어 W→0x02, a→0x03, J→0x08, u→0x0a와 같은 숫자데이터들이 추출될 수 있다.
이후, 인증 서버(200)는 추출한 숫자데이터들(0x02, 0x03, 0x08, 0x0a)을 포함하는 비식별확인키와 그에 대응하는 사용자 아이디(ID)를 저장부에서 검색할 수 있다. 도 9를 참조하면, 인증 서버(200)의 저장부인 데이터베이스(DB)에는 비식별확인키와 그와 매칭되는 사용자 아이디(ID)가 저장된다. 예컨대, 비식별확인키가 “0x02, 0x03, 0x08, 0x0a, 0x03, 0x07, …”인 경우, 사용자 아이디(ID)는 “TEST”이며, 비식별확인키가 “0x02, 0x03, 0x08, 0x0a, 0x09, 0x06, …”인 경우, 사용자 아이디(ID)는 “Joonir”이다.
주목할 점은, 인증 서버(200)에서 추출한 숫자데이터들(0x02, 0x03, 0x08, 0x0a)을 포함하는 비식별확인키가 복수개일 수 있다는 점이다, 0x02, 0x03, 0x08, 0x0a을 포함하는 비식별확인키에 대응하는 사용자 아이디(ID)는 “TEST”, “Joonir”, “iota”, “charis”, “yum”이다.
인증 서버(200)는 추출한 숫자데이터들을 포함하는 비식별확인키가 복수개인 경우, 사용자 단말(10)에서 일회용 본인인증 동적ID(OTID)를 생성하는 방식과 동일하게, 비식별확인키와 시각정보를 이용하여 제3 해시값을 생성하고, 상기 제3 해시값과 공유된 대칭키를 이용하여 제4 해시값을 생성할 수 있다.
이후 인증 서버(200)는 제4 해시값을 해석하여 숫자데이터들을 추출하고, 이를 저장부에 저장된 랜덤테이블과 순차적으로 비교하여 제4 문자정보를 추출할 수 있다.
인증 서버(200)는 제4 문자정보와 일회용 본인인증 동적IDf(OTID)에 포함된 제1 문자정보(i, J, t, x)가 일치하는 비식별확인키와 그와 매칭되는 사용자 식별 정보, 예를 들어 사용자 아이디(ID)를 저장부에 저장된 데이터베이스(DB)에서 검색할 수 있다.
인증 서버(200)는 데이터베이스로부터 검색된 사용자 식별 정보와, 사용자 단말(10)로부터 제공받은 사용자 식별 정보를 비교하여 일치하는지 여부를 판단함으로써 검증을 수행할 수 있다. 검증 결과 데이터베이스로부터 검색된 사용자 식별 정보와, 사용자 단말(10)로부터 제공받은 사용자 식별 정보가 일치하면 검증이 성공한 것이고, 일치하지 않는 경우 검증이 실패한 것이다.
또한, 인증 서버(200)는 액세스 포인트(110)로부터 제공받은 액세스 포인트의 식별 정보를 인증에 사용할 수 있다. 인증 서버(200)는 오프라인 매장에 설치된 액세스 포인트들의 MAC 주소 및 BSSID에 관한 데이터베이스를 저장하고 있으며, 인증을 위하여 액세스 포인트(110)로부터 제공받은 식별 정보, 즉 액세스 포인트(110)의 MAC 주소 및 BSSID가 데이터베이스에 저장된 정보와 일치하는지 여부를 판단함으로써 사용자 인증을 수행할 수 있다.
인증 서버(300)는 사용자 인증 결과를 액세스 포인트(110)로 전송할 수 있다(S307). 액세스 포인트(110)는 사용자 인증 결과에 기초하여 사용자 단말(10)의 와이파이 접속 허가 여부를 결정할 수 있다(S309). 액세스 포인트(110)는 상술한 것과 같이 검증이 성공한 경우 사용자 단말(10)의 와이파이 접속을 허가하고, 검증이 실패한 경우 사용자 단말(10)의 와이파이 접속을 거부할 수 있다. 액세스 포인트(110)는 와이파이 접속 정보를 사용자 단말(10)에 전송할 수 있다(S310). 이후 사용자 단말(10)과 관리 서버(100) 또는 사용자 단말(10)과 인증 서버(200) 사이의 데이터 통신은 액세스 포인트(110)를 이용한 와이파이 네트워크를 통해 수행될 수 있다.
한편, 인증 서버(200)는 사용자 인증에 의해 검증이 성공한 경우 관리 서버(100)에 사용자 등록 정보와 액세스 포인트(110)의 식별 정보를 제공할 수 있다(S308). 관리 서버(100)는 인증 서버(200)로부터 제공받은 액세스 포인트(110)의 식별 정보에 기초하여 서비스 페이지를 생성하여 사용자 단말(10)에 제공할 수 있다.
관리 서버(100)는 액세스 포인트(110)의 식별 정보(MAC 주소 및 BSSID)에 대응한 오프라인 매장 정보를 저장할 수 있다. 상기 오프라인 매장 정보는 식별 정보를 통해 특정된 액세스 포인트(110)가 설치된 오프라인 매장의 서비스 정보 등을 포함할 수 있다. 예를 들어 오프라인 매장이 카페인 경우 사용자 단말(10)을 통해 온라인 주문 가능한 메뉴 정보가 오프라인 매장 정보에 포함될 수 있다.
관리 서버(100)는 오프라인 매장 정보에 기초하여 서비스 페이지를 생성할 수 있다. 이러한 서비스 페이지는 예를 들어 사용자 단말(10)을 통해 메뉴의 주문 정보를 제공받기 위한 메뉴 페이지를 포함할 수 있다. 생성된 메뉴는 사용자 단말(10)로 제공될 수 있으며, 앞서 인증 서버(200)를 통해 사용자 인증이 완료되어 액세스 포인트(110)에 사용자 단말(10)이 연결되어 있는 상태이므로, 별도의 사용자 인증은 요구되지 않을 수 있다. 이후 사용자 단말(10)에 표시된 서비스 페이지에 기초하여 관리 서버(100)와의 주문 및 결제 과정이 수행될 수 있다.
정리하면, 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템(1)은, 사용자가 오프라인 매장에서 액세스 포인트(110)를 이용하여 안전하게 시스템에 접속할 수 있는 시스템을 제공할 수 있다.
또한 사용자 단말(10)은 사용자 등록 정보의 생성 과정에서 인증 서버(200)로부터 생성된 사용자 식별 정보를 저장하고, 오프라인 상점 이용 시 사용자 식별 정보를 이용하여 생성된 일회용 본인인증 동적ID를 제시함으로써 사용자 인증을 수행할 수 있다.
이때 일회용 본인인증 동적ID는 사용자 식별 정보, 랜덤 테이블 및 시각 정보를 이용하여 사용자 단말(10)에 의해 생성되므로, 액세스 포인트(110)를 통해 전송되는 와이파이 패킷이 도청 또는 감청 등에 의해 탈취되는 경우에도 일회용 본인인증 동적ID를 이용한 사용자의 계정의 접근은 불가능할 수 있다. 따라서 오프라인 상점을 이용하는 사용자 정보를 안전하게 보호할 수 있다.
도 11은 본 발명의 실시예에 따른 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템에서 출입인증 및 서비스 체크인 과정을 설명하기 위한 순서도이다.
도 11을 참조하면 본 발명의 시스템에 의한 출입인증 및 서비스 체크인 과정은 사용자 단말(10)이 액세스 포인트(110)에 접속하는 단계(S210), 사용자 인증을 수행하는 단계(S220) 및 출입인증 또는 서비스 체크인을 수행하는 단계(S230)를 포함할 수 있다.
사용자 단말(10)이 액세스 포인트(110)에 접속(S210)하고, 일회용 본인인증 동적ID(OTID) 및 액세스 포인트의 식별 정보를 이용하여 사용자 인증을 수행하는 것(S220)은 앞서 설명한 일련의 과정을 거쳐 진행될 수 있다. 이와 같은 사용자 인증 과정이 완료되면, 관리 서버(100)는 액세스 포인트(110)를 통해 접속된 사용자 단말(10)을 가진 사용자가 출입할 수 있도록 도어의 잠금장치 등을 제어할 수 있다. 또한 관리 서버(100)는 사용자 단말(10)을 가진 사용자가 오프라인 매장에 입장하는 경우 서비스 예약 정보에 기초하여 서비스 체크인을 수행하는 한편, 매장 관리 시스템에 해당 사용자의 입장을 알릴 수 있다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 장치에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 하드디스크, ROM, RAM, CD-ROM, 하드 디스크, 자기 테이프, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.

Claims (8)

  1. 관리 서버가 사용자 단말로부터 입력받은 사용자 등록 정보를 인증 서버에 제공하고, 상기 인증 서버가 상기 사용자 등록 정보에 기초하여 사용자 식별 정보를 생성하는 단계;
    상기 인증 서버가 생성된 사용자 식별 정보를 상기 관리 서버에 제공하고, 상기 관리 서버로부터 상기 사용자 단말에 생성된 사용자 식별 정보를 전송하는 단계;
    액세스 포인트가 상기 사용자 단말이 상기 사용자 식별 정보를 이용하여 생성한 일회용 본인인증 동적ID(OTID)와, 와이파이 접속 허가 요청을 제공받는 단계;
    상기 액세스 포인트가 상기 일회용 본인인증 동적ID 및 상기 액세스 포인트의 식별 정보와 함께 사용자 인증 요청을 상기 인증 서버로 제공하는 단계;
    상기 인증 서버가 상기 사용자 식별 정보와 상기 액세스 포인트의 식별 정보를 이용하여 사용자 인증을 수행하는 단계;
    상기 인증 서버가 상기 액세스 포인트에 사용자 인증 결과를 제공하는 단계; 및
    상기 액세스 포인트가 상기 사용자 인증 결과에 기초하여 상기 사용자 단말의 와이파이 접속 허가 여부를 결정하는 단계를 포함하는,
    액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 방법.
  2. 제 1항에 있어서,
    상기 인증 서버로부터 상기 관리 서버에 상기 액세스 포인트의 식별 정보를 제공하는 단계; 및
    상기 관리 서버가 상기 액세스 포인트의 식별 정보에 기초하여 생성된 서비스 페이지를 상기 사용자 단말에 제공하는 단계를 더 포함하는,
    액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 방법.
  3. 제 1항에 있어서,
    상기 사용자 식별 정보는 상기 사용자 등록 정보를 해시하여 생성한 비식별확인키와 복수의 문자를 포함하는 랜덤테이블을 포함하는,
    액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 방법.
  4. 제 3항에 있어서,
    상기 인증 서버가 상기 일회용 본인인증 동적ID와 상기 액세스 포인트의 식별 정보를 이용하여 사용자 인증을 수행하는 단계는,
    상기 일회용 본인인증 동적ID에 포함된 제1 문자정보와 상기 랜덤테이블을 비교하여 제1 문자 정보가 있는 위치의 제1 숫자데이터를 추출하고,
    상기 랜덤테이블에서 상기 일회용 본인인증 동적ID에 포함된 제2 문자정보를 상기 제1 숫자데이터만큼 이동시켜 제3 문자정보를 추출하고,
    상기 제3 문자정보를 이용하여 상기 랜덤테이블을 이용하여 제2 숫자데이터를 추출하고, 및
    상기 제2 숫자데이터를 포함하는 비식별확인키 및 비식별확인키에 대응하는 사용자 아이디를 검색하는 단계를 포함하는,
    액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 방법.
  5. 사용자 단말로부터 사용자 등록 정보를 제공받는 관리 서버;
    상기 사용자 등록 정보로부터 사용자 식별 정보를 생성하여 상기 사용자 단말로 제공하고, 상기 사용자 단말의 사용자 인증 요청에 따라 사용자 인증을 수행하는 인증 서버; 및
    상기 사용자 단말로부터 상기 사용자 식별 정보로부터 생성된 일회용 본인인증 동적ID 및 사용자 등록 정보가 포함된 와이파이 접속 요청을 제공받고, 상기 인증 서버로 액세스 포인트의 식별 정보와 함께 상기 사용자 인증 요청을 제공하고, 상기 사용자 인증의 결과에 따라 상기 사용자 단말의 와이파이 접속 허가 여부를 결정하는 액세스 포인트를 포함하는,
    액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템.
  6. 제 5항에 있어서,
    상기 인증 서버는 상기 사용자 인증이 성공적으로 수행된 경우 상기 관리 서버에 상기 액세스 포인트의 식별 정보를 제공하고,
    상기 관리 서버는, 상기 인증 서버로부터 제공받은 상기 액세스 포인트의 식별 정보에 기초하여 서비스 페이지를 생성하여 상기 사용자 단말에 제공하는,
    액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템.
  7. 제 5항에 있어서,
    상기 사용자 식별 정보는 상기 사용자 등록 정보를 해시하여 생성한 비식별확인키와 복수의 문자를 포함하는 랜덤테이블을 포함하는,
    액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템.
  8. 제 5항에 있어서,
    상기 인증 서버는,
    상기 일회용 본인인증 동적ID에 포함된 제1 문자정보와 상기 랜덤테이블을 비교하여 제1 문자 정보가 있는 위치의 제1 숫자데이터를 추출하고,
    기 랜덤테이블에서 상기 일회용 본인인증 동적ID에 포함된 제2 문자정보를 상기 제1 숫자데이터만큼 이동시켜 제3 문자정보를 추출하고,
    상기 제3 문자정보를 이용하여 상기 랜덤테이블을 이용하여 제2 숫자데이터를 추출하고,
    상기 제2 숫자데이터를 포함하는 비식별확인키 및 비식별확인키에 대응하는 사용자 아이디를 검색하는 것을 포함하는,
    액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템.
PCT/KR2022/008658 2022-06-17 2022-06-17 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템 및 그 시스템의 동작 방법 WO2023243753A1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/KR2022/008658 WO2023243753A1 (ko) 2022-06-17 2022-06-17 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템 및 그 시스템의 동작 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/KR2022/008658 WO2023243753A1 (ko) 2022-06-17 2022-06-17 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템 및 그 시스템의 동작 방법

Publications (1)

Publication Number Publication Date
WO2023243753A1 true WO2023243753A1 (ko) 2023-12-21

Family

ID=89191531

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2022/008658 WO2023243753A1 (ko) 2022-06-17 2022-06-17 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템 및 그 시스템의 동작 방법

Country Status (1)

Country Link
WO (1) WO2023243753A1 (ko)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120144193A1 (en) * 2009-07-09 2012-06-07 Le Saint Eric F Open protocol for authentication and key establishment with privacy
CN103763321A (zh) * 2014-01-22 2014-04-30 天津大学 Wlan网络中一种基于认证方法的嗅探防御方法
KR20150060611A (ko) * 2015-01-05 2015-06-03 김기범 Otid를 이용한 인터넷 보안 시스템
KR20170055665A (ko) * 2015-11-12 2017-05-22 에이티투소프트 주식회사 사용자 인증 시스템 및 인증 방법
KR102366505B1 (ko) * 2021-06-01 2022-02-23 (주)진앤현시큐리티 Otid를 이용한 보안인증 시스템 및 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120144193A1 (en) * 2009-07-09 2012-06-07 Le Saint Eric F Open protocol for authentication and key establishment with privacy
CN103763321A (zh) * 2014-01-22 2014-04-30 天津大学 Wlan网络中一种基于认证方法的嗅探防御方法
KR20150060611A (ko) * 2015-01-05 2015-06-03 김기범 Otid를 이용한 인터넷 보안 시스템
KR20170055665A (ko) * 2015-11-12 2017-05-22 에이티투소프트 주식회사 사용자 인증 시스템 및 인증 방법
KR102366505B1 (ko) * 2021-06-01 2022-02-23 (주)진앤현시큐리티 Otid를 이용한 보안인증 시스템 및 방법

Similar Documents

Publication Publication Date Title
WO2021002692A1 (en) Method for providing virtual asset service based on decentralized identifier and virtual asset service providing server using them
WO2015147547A1 (en) Method and apparatus for supporting login through user terminal
WO2013165227A1 (ko) 아이콘의 키워드를 이용하는 아이콘 패스워드 설정 장치 및 아이콘 패스워드 설정 방법
WO2011118871A1 (ko) 휴대단말기를 이용한 인증 방법 및 시스템
WO2013176491A1 (ko) 웹 서비스 사용자 인증 방법
US11824854B2 (en) Communication system and computer readable storage medium
WO2014042336A1 (ko) E-Business 거래에서의 전화인증방법, 그리고 E-Business 거래에서의 전화인증프로그램을 기록한 컴퓨터로 판독가능한 기록매체
WO2013085144A1 (en) Method of providing sns-group inviting service and sns server therefor
WO2017043717A1 (ko) 생체인식 본인인증 방법
WO2014112754A1 (ko) 웹 서비스 푸시 방법 및 이를 수행하는 웹 서비스 푸시 서버 및 웹 서비스 제공 서버
WO2022255757A1 (ko) Otid를 이용한 보안인증 시스템 및 방법
WO2012043963A1 (en) Authentication method and server
WO2021040283A1 (ko) 무선 ap 접속 정보에 기초하여 근태 관리를 수행할 수 있는 근태 관리 시스템 서버 및 그 동작 방법
WO2018128237A1 (ko) 사용자의 이용패턴 분석을 활용한 본인 인증 시스템 및 사용자 단말
WO2018169150A1 (ko) 잠금화면 기반의 사용자 인증 시스템 및 방법
WO2012074275A2 (ko) 인터넷 보안을 위한 본인인증 장치, 그 방법 및 이를 기록한 기록매체
WO2018032583A1 (zh) 一种终端位置信息获取方法及装置
WO2016182400A1 (ko) 통신정보 표시 및 접속기능이 구비된 모바일 장치 및 시스템과 그 방법
WO2016085079A1 (ko) 모바일 단말을 위한 간편 결제 보조 장치 및 방법
WO2017088529A1 (zh) 一种基于移动终端的蓝牙手表加密方法及蓝牙手表
WO2023243753A1 (ko) 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템 및 그 시스템의 동작 방법
WO2018151392A1 (ko) 메신저서비스를 이용한 스마트 로그인 방법 및 그 장치
WO2012169752A2 (ko) 접속 시도 기기 인증 시스템 및 방법
JP3398530B2 (ja) ネットワークシステムとその運用処理方法および使用アクセス方法
KR102720008B1 (ko) 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템 및 그 시스템의 동작 방법

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22946959

Country of ref document: EP

Kind code of ref document: A1