KR100450953B1

KR100450953B1 - 암호를 이용한 사용자 인증방법

Info

Publication number: KR100450953B1
Application number: KR10-2002-0011496A
Authority: KR
Inventors: 이건학
Original assignee: 삼성전자주식회사
Priority date: 2002-03-05
Filing date: 2002-03-05
Publication date: 2004-10-02
Also published as: KR20030071989A; US20030172281A1; CN1442782A; US7451322B2; CN1254738C

Abstract

본 발명은 암호를 이용하여 사용자 인증을 하는 방법에 있어서, 높은 비용과 많은 시간을 필요로 하지 않으며 간단한 프로세싱만으로도 보안성을 높이고, 암호가 다른 사람에게 노출되어도 안전하며, 한가지 암호를 여러 경우에 공통으로 사용한다해도 입력 암호를 서로 다르게 할 수 있도록 하여 보안성을 높이며, 사용자가 암호를 용이하게 기억할 수 있도록 하면서도 암호 변경 효과를 나타낼 수 있도록 한다. 이를 위한 본 발명의 사용자 인증방법은, 미리 정해진 다수의 자릿수의 암호를 사용자로 부터 입력하는 과정과, 입력 암호보다 적은 다수의 자릿수로 미리 정해진 실제 암호가 입력 암호에 포함되어 있는가를 검사하는 과정과, 입력 암호중에 실제 암호가 포함되어 있는 경우에는 입력 암호에 대하여 승인을 하는 과정과, 입력 암호중에 실제 암호가 포함되어 있지 않은 경우에는 입력 암호에 대한 승인을 거부하는 과정을 구비한다.

Description

암호를 이용한 사용자 인증방법{USER AUTHENTICATION METHOD USING PASSWORD}

본 발명은 사용자를 인증하는 방법에 관한 것으로, 특히 암호(password)를 이용하여 사용자 인증을 하는 방법에 관한 것이다.

통상적으로 사용자 인증은 온라인(on-line) 서비스 제공자, 잠금 장치, 보안 장치 등에 있어서 허가된 사용자에게만 사용 승인을 해야할 경우에 사용자를 확인하기 위해 이루어지고 있다. 사용자의 신분을 확실하게 확인하기 위해서는 허가된 사용자만 알고 있거나 소유하고 있는 것 또는 그 사용자만의 신체적 특징이나 습관 등과 같은 고유의 것이 이용될 수 있다. 이들 중에 가장 기본적이고 일반적인 것은 허가된 사용자만이 알고 있는 캐릭터(character)들로 이루어진 암호(password)를이용하는 것이다. 여기서 캐릭터는 문자, 숫자, 기호, 부호 등을 포함한다.

이러한 암호를 이용하여 사용자 인증을 하는 경우에 보안성을 높이기 위해서는 암호의 고도화가 필요하다. 이를 위해 복잡한 수학적 연산을 필요로 하는 암호화 알고리즘(algorithm) 방식이 많이 이용되어왔다. 특히 높은 보안 정책이 요구되는 경우에는 더욱 고도의 수학적 연산이나 확률적 계산을 이용한 조합을 이용하였다.

상기한 바와 같이 종래의 암호화방식은 복잡한 수학적 공식의 알고리즘을 이용하기 때문에 이에 따른 높은 비용과 많은 시간 및 빠른 프로세싱이 요구되었었다. 하지만 높은 보안 정책을 요구하지 않고 단순한 암호 절차를 필요로 하는 경우에는 고도의 암호를 필요치 않기 때문에 상기한 요구들이 소모적인 오버헤드(overhead)가 될 수 있다.

한편 암호를 이용한 인증에 있어서 사용자가 암호를 입력하는 도중에 다른 사람이 보거나 다른 사유로 인해 암호가 다른 사람에게 노출될 경우, 노출된 암호를 다른 사람이 사용하여도 인증이 이루어지게 되는 문제점이 있었다. 특히 대부분의 사용자들이 기억하기 쉽도록 단순한 한가지 암호를 정하여 여러 경우에 공통으로 사용하고 있는 실정에서 암호 노출은 개인 정보 유출뿐 아니라 심각한 사회 문제를 유발시킬 수도 있다. 아울러 암호가 노출되었을 때 다른 사람이 기억하기 곤란하도록 긴 자릿수의 암호를 사용하는 경우에는 사용자 자신도 기억하기 곤란하게된다. 또한 보안성을 높이기 위해 일정 기간마다 암호를 변경하도록 하는 경우, 잦은 암호 변경에 따른 사용자의 부주의로 인해 암호 분실이나 혼동이 빈번히 발생하고 있으며, 이로 인해 발생되는 인증 거부는 별도의 절차를 통해 해결해야만 하는 불편함이 있었다.

따라서 본 발명의 목적은 높은 비용과 많은 시간을 필요로 하지 않으며 간단한 프로세싱만으로도 보안성을 높일 수 있는 사용자 인증방법을 제공함에 있다.

본 발명의 다른 목적은 암호가 다른 사람에게 노출되어도 안전한 사용자 인증방법을 제공함에 있다.

본 발명의 또다른 목적은 한가지 암호를 여러 경우에 공통으로 사용한다해도 입력 암호를 서로 다르게 할 수 있도록 하여 보안성을 높일 수 있는 사용자 인증방법을 제공함에 있다.

본 발명의 또다른 목적은 사용자가 암호를 용이하게 기억할 수 있도록 하면서도 암호 변경 효과를 나타낼 수 있는 사용자 인증방법을 제공함에 있다.

도 1은 본 발명이 적용되는 사용자 인증장치의 예를 보인 블록 구성도,

도 2는 본 발명의 실시예에 따른 사용자 인증 처리 흐름도.

상술한 목적들을 달성하기 위한 본 발명의 사용자 인증방법은, 미리 정해진 다수의 자릿수의 암호를 사용자로 부터 입력하는 과정과, 입력 암호보다 적은 다수의 자릿수로 미리 정해진 실제 암호가 입력 암호에 포함되어 있는가를 검사하는 과정과, 입력 암호중에 실제 암호가 포함되어 있는 경우에는 입력 암호에 대하여 승인을 하는 과정과, 입력 암호중에 실제 암호가 포함되어 있지 않은 경우에는 입력암호에 대한 승인을 거부하는 과정을 구비함을 특징으로 한다.

이하 본 발명의 바람직한 실시예를 첨부한 도면을 참조하여 상세히 설명한다. 하기 설명 및 첨부 도면에서 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략한다.

도 1은 본 발명이 적용되는 사용자 인증장치의 예를 개략적으로 보인 블록구성도이다. 도 1의 사용자 인증장치의 키입력 장치(104)를 통해 사용자가 암호를 입력하면, CPU(Central Processing Unit)(100)는 사용자가 입력하는 암호를 메모리(102)에 미리 저장되어 있는 암호와 비교하여, 입력 암호를 승인하거나 승인을 거부하게 되며, 이러한 인증 결과를 표시장치(106)를 통해 표시한다.

아울러 인증 결과에 따라 로그인(log-in), 사용 허가, 잠금 해제, 출입 허가 등과 같은 각종 동작들 중에서 도 1의 사용자 인증장치를 채용한 기기나 장비에서 해당하는 동작이 실행된다. 이와 같이 인증 결과에 따라 이루어지는 동작은 통상적인 것이므로, 이에 대한 상세한 설명은 생략한다.

상기한 바와 같은 사용자 인증장치에 적용되는 본 발명에 있어서 사용자가 키입력 장치(104)를 통해 입력하도록 하는 입력 암호는 미리 정해진 다수의 자릿수를 가지게 되며, 입력 암호보다 적은 다수의 자릿수를 가지는 실제 암호와 위장 암호로 이루어진다. 여기서 실제 암호는 사용자와 사용자 인증장치간에 사전에 정해된 캐릭터들로 이루어지는 암호를 의미하며 메모리(102)에 저장되고, 위장 암호는 사용자가 랜덤(random)하게 선택하게 되는 캐릭터들로 이루어지는 암호를 의미한다. 그리고 실제 암호를 이루는 캐릭터들이 순서나 중복 여부에 관계없이 입력 암호중에 모두 포함되어 있다면 입력 암호를 승인하도록 하며, 그렇지 않으면 승인을 거부하도록 한다.

통상적으로 암호를 이용한 사용자 인증에 있어서 문자와 숫자를 조합한 8자리 암호를 많이 이용하여 왔었다. 이를 감안하여 하기의 설명에서는 입력 암호를 16자리 암호로 정하며, 종래에 사용하던 암호와 비슷하게 문자와 숫자를 조합하여 만든 실제 암호 8자리와 위장 암호 8자리를 순서에 무관하게 임의로 입력하도록 하는 것으로 예를 든다.

예를들어 실제 암호가 "PSWD1234"라고 했을 경우 입력 암호는 다음과 같은 다양한 입력을 가질 수 있다. 첫번째로 순서가 바뀌고 중복이 없는 경우의 예로서, '5 2 FG P E 4 Y WD Q 1 6 S 0 3 '를 들 수 있다. 여기서 밑줄 및 진한 글자로 표시한 '2P4WD1S3'가 실제 암호이고 '5FGEYQ60'가 위장 암호에 해당한다. 두번째로 순서가 바뀌고 중복이 있는 경우의 예로서, ' 2 2F DP E 4 Y W D 1 6 S S03'를 들 수 있다. 이는 '2', 'D', 'S'가 중복된 경우이며, 밑줄 및 진한 글자로 표시한 '2DP4W1S3'가 실제 암호이고 '2FEYD6S0'가 위장 암호이다.

이제 상기한 도 1의 사용자 인증장치에 적용되는 경우 본 발명의 실시예에 따른 CPU(100)의 사용자 인증 처리 흐름을 보인 도 2를 참조하면, 사용자가 키입력 장치(104)를 통해 암호를 입력하는 경우, CPU(100)는 (200)∼(202)단계에서 16자리의 암호가 입력되면, (204)단계에서 입력 암호에 미리 정해진 실제 암호가 캐릭터들의 순서에 관계없이 모두 포함되어 있는지 여부를 검사한다. 이때 입력 암호에 실제 암호가 캐릭터들의 순서에 관계없이 모두 포함되어 있는지 여부는 입력 암호의 캐릭터들을 하나씩 실제 암호의 캐릭터들과 비교하여 검사하면 된다.

만일 입력 암호에 실제 암호가 모두 포함되어 있으면 (206)단계로 진행하며, 하나라도 포함되어 있지 않으면 (214)단계에서 입력 암호에 대한 승인을 거부하고, 상기한 (200)단계로 진행한다. 이때 승인 거부의 표시에 대한 통상적인 예를 들면, 표시 장치(106)를 통해 정해진 경고 메시지를 표시하여 사용자에게 알린다. 상기한 ' 2 2F DP E 4 Y W D 1 6 S S03'처럼 실제 암호가 중복된 경우에도 입력 암호에 실제 암호가 모두 포함되어 있게 되므로 (206)단계로 진행하게 된다.

상기한 (206)단계에서는 메모리(102)에 저장되는 하기 표 1의 예와 같은 승인 암호 리스트에서 입력 암호와 동일한 승인 암호가 있는가를 검사한다.

No	승인 암호
1	30S61QDWY4EPGF25
2	A0187W2R3PSD4T5S
3	3S1E7LG742FPDW58
4	D42A3PS01HDW6D97
···	···
30	62ABPR4YWDQ16S03

상기 표 1과 같은 승인 암호 리스트는 최근 입력되어 승인된 암호들이 후술하는 바와 같이 등록되는 리스트로서, 상기 표 1에서는 최대 30개까지 등록이 되는 예를 보인다. 이처럼 승인 암호 리스트에 등록 가능한 개수를 30개로 정하는 것은 하루에 한번씩 로그인한다는 가정 하에 한 달을 기준으로 설정한 것으로, 필요에 따라 그 수를 얼마든지 달리 할 수도 있다.

상기한 (206)단계의 검사 결과, 승인 암호 리스트에 입력 암호와 동일한 승인 암호가 있다면, 상기한 (214)단계로 진행하여 입력 암호에 대한 승인을 거부하고 상기한 (200)단계로 진행한다. 이러한 경우의 예를 들면, 입력 암호가 '30S61QDWY4EPGF25'이고 승인 암호 리스트에 상기한 표 1과 같이 승인 암호가 등록되어 있다고 가정할 때, 입력 암호 '30S61QDWY4EPGF25'와 동일한 승인 암호 '30S61QDWY4EPGF25'가 승인 암호 리스트에 이미 등록되어 있는 경우이다. 이처럼 승인 암호 리스트를 사용하여 입력 암호가 승인 암호 리스트에 이미 등록되어 있는 승인 암호와 동일한 경우에 승인을 거부하도록 하므로써 동일한 암호의 재사용 및 중복을 금지하여 보안성을 높일 수 있게 된다.

이와 달리 상기한 (206)단계의 검사 결과, 승인 암호 리스트에 입력 암호와 동일한 승인 암호가 없으면, (208)단계에서 입력 암호에 포함된 실제 암호와 동일한 위치의 실제 암호를 포함하는 승인 암호가 일정 개수만큼 승인 암호 리스트에 있는가를 검사한다. 예를 들어 입력 암호가 '52FGPE4YWDQ16S03'이고 이중에서 실제 암호가 'WDQ16S03'이며, 승인 암호 리스트에 상기한 표 1과 같이 승인 암호들이 등록되어 있다고 가정할 때, 입력 암호 '52FGPE4YWDQ16S03'와 상기한 표 1의 승인 암호 '62ABPR4YWDQ16S03'는 실제 암호가 서로 동일한 위치에 있게 된다. (208)단계에서는 이처럼 입력 암호의 실제 암호와 동일한 위치의 실제 암호를 포함하는 승인 암호가 일정 개수, 예를 들어 5개만큼 승인 암호 리스트에 있는가를 검사하는 것이다. 이는 실제 암호가 동일한 위치에 반복되게 입력되는 경우 입력 암호 노출시 실제 암호가 파악될 가능성이 높아지기 때문에 이를 방지하기 위한 것이다.

상기한 (208)단계에서 입력 암호에 포함된 실제 암호와 동일한 위치의 실제암호를 포함하는 승인 암호가 승인 암호 리스트에 일정 개수만큼 있다면 상기한 (214)단계로 진행하여 입력 암호에 대하여 승인을 거부한다. 이와 달리 상기한 (208)단계에서 입력 암호에 포함된 실제 암호와 동일한 위치의 실제 암호를 포함하는 승인 암호가 승인 암호 리스트에 없거나 있다해도 일정 개수에 미달할 경우에는 (210)단계에서 입력 암호에 대해 승인을 하고, (212)단계로 진행한다. 이때 승인의 표시에 대한 통상적인 예를 들면, 표시 장치(106)를 통해 정해진 승인 메시지를 표시하여 사용자에게 알린다. 이와 아울러 로그인, 사용 허가, 잠금 해제, 출입 허가 등과 같은 각종 동작들 중에서 도 1의 사용자 인증장치를 채용한 기기나 장비에서 해당하는 동작이 실행되게 된다.

상기한 (212)단계에서는 새로이 승인한 입력 암호를 상기한 표 1과 같은 승인 암호 리스트에 새로운 승인 암호로서 추가로 등록하고 상기한 (200)단계로 진행한다. 이때 상기한 바와 같이 승인 암호 리스트에 등록될 수 있는 승인 암호의 개수를 30개로 제한하는 경우에, 이미 승인 암호 리스트에 승인 암호가 30개가 등록되어 있다면, 가장 오래전에 등록된 승인 암호를 삭제하는 대신에 새로운 승인 암호를 등록한다.

따라서 사용자는 입력 암호 중에 일부의 실제 암호만 위치에 관계없이 한번 입력하고 나머지 암호는 위장 암호로서 임으로 랜덤하게 입력시키면 되기 때문에, 사용자가 기억하기 쉽고 암호를 잃어버리는 경우가 적으며, 매번 변경된 다른 암호를 입력하는 것과 비슷한 효과를 얻을 수 있다. 특히 최근 입력된 암호를 승인 암호 리스트에 저장시켜 비교하는 방식이기 때문에 1회용 암호라 할 수 있으며, 그러면서도 실제 암호는 유지하기 때문에 빈번한 암호 변경에 따른 사용자의 혼란을 줄일 수 있고, 사용자의 편의를 증대시킬 수 있다.

이러한 본 발명은 보안을 요하는 장비나 기기에 기본으로 설정하여 이용이 가능하고, 웹(WEB)이나 인터넷을 통한 홈쇼핑 등의 개인 확인 및 결재 인증 등에서 해킹을 통해 손쉽게 빠져 나갈 수 있는 암호 방식의 인증 절차에 적극 활용할 수 있다. 이뿐만 아니라 각종 디지털 제품에 적용이 가능하며, 특히 셋탑 박스(Set-top Box)나 VOD(Video On Demand) 서비스와 같은 유료화 콘텐츠에 적용하기 적절하다. 그리고 주위 친한 사람을 통해 ID(Identification)와 암호를 가르쳐 주고 어떤 업무를 대행하게 하더라도 1회용 위장 암호이기 때문에 이후에 별다른 암호 변경이 없이도 종래에 비해 안심하고 계속 이용할 수 있다.

한편 상술한 본 발명의 설명에서는 구체적인 실시예에 관해 설명하였으나, 여러가지 변형이 본 발명의 범위에서 벗어나지 않고 실시할 수 있다. 특히 본 발명의 실시예에서는 입력 암호를 16자리로 하고 실제 암호와 위장 암호의 자릿수를 동일하게 8자리로 하며 문자와 숫자를 조합하여 사용하는 예를 들었으나, 이는 얼마든지 다르게 적용할 수 있다. 또한 보안성을 높이기 위해 승인 암호 리스트를 이용하는 예를 들었으나, 생략할 수도 있을 것이다. 따라서 발명의 범위는 설명된 실시예에 의하여 정할 것이 아니고 특허청구범위와 특허청구범위의 균등한 것에 의해 정하여져야 한다.

상술한 바와 같이 본 발명은 복잡한 수학적 공식의 알고리즘을 이용하지 않고 위장 암호를 이용하여 1회용 입력 암호를 사용하도록 함으로써 높은 비용과 많은 시간을 필요로 하지 않으며 간단한 프로세싱만으로도 보안성을 높일 수 있게 된다. 또한 이전에 승인된 입력 암호에 대하여는 승인을 거부함으로써 입력 암호가 다른 사람에게 노출되어도 안전하게 되고, 한가지 암호를 여러 경우에 공통으로 사용한다해도 입력 암호를 서로 다르게 할 수 있도록 하여 보안성을 높일 수 있으며 암호 변경 효과를 나타낼 수 있게 된다. 그리고 사용자는 실제 암호만 기억하면 되므로 기억이 용이한 반면에 입력 암호의 자릿수는 실제 암호보다 더 길게 되므로 다른 사람이 기억하기 곤란하게 할 수 있게 된다.

Claims

암호를 이용한 사용자 인증방법에 있어서,

미리 정해진 다수의 자릿수의 암호를 사용자로 부터 입력하는 과정과,

상기 입력 암호보다 적은 다수의 자릿수로 미리 정해진 실제 암호가 상기 입력 암호에 포함되어 있는가를 검사하는 과정과,

상기 입력 암호중에 상기 실제 암호가 포함되어 있는 경우에는 상기 입력 암호에 대하여 승인을 하는 과정과,

상기 입력 암호중에 상기 실제 암호가 포함되어 있지 않은 경우에는 상기 입력 암호에 대한 승인을 거부하는 과정을 구비함을 특징으로 하는 사용자 인증방법.
제1항에 있어서, 상기 입력 암호가, 상기 실제 암호와, 상기 사용자에 의해 랜덤하게 정해지는 위장 암호로 이루어짐을 특징으로 하는 사용자 인증방법.
제2항에 있어서, 상기 검사과정이, 상기 실제 암호를 이루는 캐릭터들이 순서나 중복 여부에 관계없이 상기 입력 암호중에 모두 포함되어 있는지 여부를 검사하는 과정임을 특징으로 하는 사용자 인증방법.
제2항 또는 제3항에 있어서, 상기 실제 암호와 상기 위장 암호의 자릿수가 서로 동일함을 특징으로 하는 사용자 인증방법.
암호를 이용한 사용자 인증방법에 있어서,

미리 정해진 다수의 자릿수의 암호를 사용자로 부터 입력하는 과정과,

상기 입력 암호보다 적은 다수의 자릿수로 미리 정해진 실제 암호가 상기 입력 암호에 포함되어 있는가를 검사하는 과정과,

상기 입력 암호중에 상기 실제 암호가 포함되어 있는 경우에는 승인 암호 리스트에 적어도 하나 이상 등록되어 있는 승인 암호들중에 상기 입력 암호와 동일한 승인 암호가 있는가를 검사하는 과정과,

상기 승인 암호 리스트에 상기 입력 암호와 동일한 승인 암호가 없으면 상기 실제 암호와 동일한 위치의 실제 암호를 포함하는 승인 암호가 일정 개수만큼 상기 승인 암호 리스트에 있는가를 검사하는 과정과,

상기 입력 암호에 포함된 상기 실제 암호와 동일한 위치의 실제 암호를 포함하는 승인 암호가 상기 승인 암호 리스트에 없거나 상기 미리 정해진 개수에 미달할 경우에는 상기 입력 암호에 대하여 승인을 하는 과정과,

상기 승인한 입력 암호를 새로운 승인 암호로서 상기 승인 암호 리스트에 추가로 등록하는 과정과,

상기 입력 암호중에 상기 실제 암호가 포함되어 있지 않거나, 상기 승인 암호 리스트에 상기 입력 암호와 동일한 승인 암호가 있거나, 상기 입력 암호에 포함된 상기 실제 암호와 동일한 위치의 자리를 포함하는 승인 암호가 상기 미리 정해진 개수만큼 상기 승인 암호 리스트에 있으면 상기 입력 암호에 대한 승인을 거부하는 과정을 구비함을 특징으로 하는 사용자 인증방법.
제5항에 있어서, 상기 입력 암호가, 상기 실제 암호와, 상기 사용자에 의해 랜덤하게 정해지는 위장 암호로 이루어짐을 특징으로 하는 사용자 인증방법.
제6항에 있어서, 상기 검사과정이, 상기 실제 암호를 이루는 캐릭터들이 순서나 중복 여부에 관계없이 상기 입력 암호중에 모두 포함되어 있는지 여부를 검사하는 과정임을 특징으로 하는 사용자 인증방법.
제6항 또는 제7항에 있어서, 상기 실제 암호와 상기 위장 암호의 자릿수가 서로 동일함을 특징으로 하는 사용자 인증방법.