KR101080613B1 - User log-in method using one-time password issued by certificate log-in - Google Patents

User log-in method using one-time password issued by certificate log-in Download PDF

Info

Publication number
KR101080613B1
KR101080613B1 KR1020110061122A KR20110061122A KR101080613B1 KR 101080613 B1 KR101080613 B1 KR 101080613B1 KR 1020110061122 A KR1020110061122 A KR 1020110061122A KR 20110061122 A KR20110061122 A KR 20110061122A KR 101080613 B1 KR101080613 B1 KR 101080613B1
Authority
KR
South Korea
Prior art keywords
electronic signature
terminal
value
transaction server
time password
Prior art date
Application number
KR1020110061122A
Other languages
Korean (ko)
Inventor
김선종
Original Assignee
이니텍(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이니텍(주) filed Critical 이니텍(주)
Priority to KR1020110061122A priority Critical patent/KR101080613B1/en
Application granted granted Critical
Publication of KR101080613B1 publication Critical patent/KR101080613B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

PURPOSE: A user authentication method which uses a temporary password issued through a certificate log-in process is provided to input the temporary password issued through a trading server, thereby fundamentally excluding errors due to a time synchronization mismatch problem. CONSTITUTION: A trading server transmits a random Nonce value to an electronic signature terminal(110). A certificate, Nonce electronic signature value, VID-R value, and electronic signature terminal information are submitted to the trading server(120). The certificate and Nonce electronic signature value are verified(130). The certificate, VID(Vendor IDentification)-R(Random) value, electronic signature terminal information, temporary password expiration date information are recorded in database(140). A temporary password is transmitted to the electronic signature terminal(150). The information of the trading server is transmitted(160). The presence of the temporary password is identified in a database table(170). The VID of certificate is verified(180). A log-in result is transmitted(190).

Description

인증서 로그인을 통해 발급된 일회용 비밀번호를 이용한 사용자 인증 방법{User Log-In Method Using One-Time Password Issued by Certificate Log-In}User Log-In Method Using One-Time Password Issued by Certificate Log-In}

본 발명은 인증서 로그인을 통해 발급된 일회용 비밀번호를 이용한 사용자 인증 방법에 관한 것이다.
The present invention relates to a user authentication method using a one-time password issued through a certificate login.

인터넷과 같은 온라인 환경에서 물품/서비스를 구매하고 결제하거나, 금융 거래를 함에 있어서 본인 확인과 같은 인증 절차를 위한 다양한 기술이 개발되어 오고 있다. 그리고 온라인상에서의 신분을 증명할 수 있는 인증서의 발급 및 사용이 늘어나고 있다. 특히 공적 확실성을 담보하기 위해 정부가 인정하는 공인인증기관이 발급하는 공인인증서가 널리 사용되고 있다. 본 명세서에서 사용하는 "인증서"라는 용어는 "공인인증서"와 혼용되어 사용되며, 두 용어 모두 주로 공인인증서를 의미하지만, 본인 신분 확인을 위해 사용할 수 있도록 허용된 인증서라면 사설인증서도 포함하는 것으로 정의된다.Various technologies have been developed for authentication procedures such as identity verification in purchasing and paying for goods / services or performing financial transactions in an online environment such as the Internet. Increasingly, issuance and use of certificates to prove identity online is increasing. In particular, in order to ensure public certainty, accredited certificates issued by government accredited certification bodies are widely used. As used herein, the term "certificate" is used interchangeably with "certificate certificate", and both terms mainly mean a public certificate, but a certificate that is allowed to be used for identification purposes is defined as including a private certificate. do.

인증서는 인터넷 뱅킹 등에 가입하면 용이하게 발급되며, 재발급/갱신/폐기 등의 절차가 용이하여 한번 발급받으면 대부분의 온라인 사이트에서 신원을 확인할 수 있는 장점이 있다. 따라서 신원 확인을 위해 (공인)인증서를 요구하는 매체나 운영 환경도 늘어나고 있으며, 각각의 환경에서 설치되는 거래 프로그램에서 구동하는 공인인증 보안 프로그램의 수요 역시 늘고 있다. 그런데 현실적으로는 기술적, 사업적 문제로 인해 공급이 수요를 따라가지 못하고 있는 실정이다. 특히, 최근에는 PC 뿐만 아니라 스마트폰, 스마트TV, 스마트패드 등과 같이 온라인 거래가 가능한 매체의 종류가 지속적으로 증대하고 있는데, 거래 프로그램이 탑재되는 매체에 일일이 공인인증서를 통한 신원확인 및 로그인이 가능하게 하는 프로그램을 개발해야 하는 번거로움이 수반되고 있는 실정이다.Certificates are easily issued by subscribing to Internet banking, etc., and are easily reissued / updated / discarded, so once they are issued, they can verify their identity on most online sites. As a result, the number of media and operating environments that require (certified) certificates to verify their identity is increasing, and the demand for accredited security programs running on transaction programs installed in each environment is increasing. However, in reality, supply cannot keep up with demand due to technical and business problems. In particular, in recent years, not only PCs but also smart phones, smart TVs, smart pads, and other types of online trading media are continuously increasing. It is accompanied by the hassle of developing a program.

한편, 금융권에서 최근에 널리 사용되고 있는 일회용 비밀번호(One-Time Password; OTP)를 통한 인증을 온라인상의 신원 인증에 사용할 수 있다. 일회용 비밀번호를 통한 인증에는, 클라이언트측의 거래 프로그램에 별도의 인증 보안 모듈을 개발/설치할 필요가 없는 장점이 있지만, OTP 등록은 공인인증서처럼 온라인상으로 할 수 없고 반드시 오프라인상으로 대면확인이 된 후라야만 가능한 단점이 있다. 그리고 OTP 단말기를 분실하면 기등록되어 있는 OTP 장치 폐기를 위해 OTP 사용을 등록한 기관 모두를 오프라인으로 직접 방문해서 OTP 등록해지를 해야 하고, 새 OTP 등록을 해야 하는 불편함이 수반되어서 실제로 널리 사용되고 있지는 아니하다.
On the other hand, authentication through the One-Time Password (OTP), which is widely used in the financial sector, can be used for online identity verification. The one-time password authentication has the advantage of not developing / installing a separate authentication security module in the client's transaction program.However, OTP registration cannot be done online like an accredited certificate and must be confirmed offline. Only possible disadvantages exist. If you lose your OTP terminal, you should visit all the institutions that have registered OTP for offline disposal in order to dispose of the registered OTP device, and cancel the OTP registration. Do.

본 발명은, 이러한 종래 기술의 단점을 해결하여, 편리성이 증대되면서도 보안성도 고양되는 새로운 로그인 방법을 제공하는 것을 목적으로 한다.
An object of the present invention is to solve the disadvantages of the prior art, and to provide a new log-in method in which convenience and security are also enhanced.

본 발명에 의한 사용자 로그인 방법은, 전자 서명 단말기와, 거래 단말기와, 거래 서버와, 데이터 통신이 가능한 통신망을 포함하는 환경에서 수행되며, 상기 방법은 (1) 상기 전자 서명 단말기가 상기 거래 서버로 로그인 요청을 전송하는 제1 단계와, (2) 상기 거래 서버가 상기 전자 서명 단말기로 랜덤 논스값(Random Nonce)을 발급하여 전송하는 제2 단계와, (3) 상기 전자 서명 단말기가 상기 거래 서버로 인증서와, 상기 랜덤 논스값의 전자서명값과, 개인키 랜덤값(VID-R 값)을 제출하는 제3 단계와, (4) 상기 거래서버가 상기 제출된 인증서와 랜덤 논스값의 전자서명값이 유효하면 일회용 비밀번호를 생성하고, 상기 일회용 비밀번호와 유효기간 정보를 상기 전자 서명 단말기로 전송하는 제4 단계와, (5) 상기 전자 서명 단말기가 상기 일회용 비밀번호와 유효기간 정보를 현출하는 제5 단계와, (6) 상기 거래 단말기가 사용자로부터 사용자 식별 코드와 상기 일회용 비밀번호를 입력받는 제6 단계와, (7) 상기 거래 단말기가 상기 거래 서버로 상기 사용자 식별 코드와 상기 일회용 비밀번호를 전송하는 제7 단계와, (8) 상기 거래 서버가 상기 제7 단계에서 전송된 일회용 비밀번호 유효 여부를 확인하고, 상기 사용자 식별 코드에 매칭되는 사용자 고유 코드와, 상기 인증서와, 상기 개인키 랜덤값(VID-R 값)을 이용하여 본인 확인을 수행하고 로그인 여부를 결정하는 제8 단계를 포함한다.The user login method according to the present invention is performed in an environment including an electronic signature terminal, a transaction terminal, a transaction server, and a communication network capable of data communication, wherein the method includes (1) the electronic signature terminal to the transaction server. A first step of transmitting a login request, (2) a second step of issuing and transmitting a random nonce value to the electronic signature terminal by the transaction server, and (3) the transaction server by the electronic signature terminal; A third step of submitting a certificate, a digital signature value of the random nonce value, and a private key random value (VID-R value); and (4) the digital signature of the submitted certificate and random nonce value of the transaction server. Generating a one-time password if the value is valid, and transmitting the one-time password and the expiration date information to the electronic signature terminal; and (5) the electronic signature terminal is valid with the one-time password. A fifth step of presenting inter-information information; (6) a sixth step in which the transaction terminal receives a user identification code and the one-time password from a user; and (7) the transaction terminal transmits the user identification code to the transaction server. A seventh step of transmitting the one-time password, (8) the transaction server confirms whether the one-time password transmitted in the seventh step is valid, a user unique code matching the user identification code, the certificate, and the And an eighth step of performing identity verification using a private key random value (VID-R value) and determining whether to log in.

상기 거래 서버는, 상기 생성된 일회용 비밀번호를 데이터베이스 키로 하여 인증서와, 개인키 랜덤값(VID-R 값)과, 일회용 비밀번호 유효기간을 기록하는 제4-1 단계를 더 포함하는 것이 바람직하다.Preferably, the transaction server further includes a fourth step of recording a certificate, a private key random value (VID-R value), and a one-time password validity period using the generated one-time password as a database key.

그리고 소위 2-팩터 인증을 위해서는 상기 제3 단계에서, 상기 전자 서명 단말기의 종류를 특정하는 정보를 더 전송하고, 상기 제7 단계에서, 상기 거래 단말기의 종류를 특정하는 정보를 더 전송하며, 상기 거래 서버가 상기 전자 서명 단말기의 종류를 특정하는 정보와 상기 거래 단말기의 종류를 특정하는 정보가 일치하는지 여부를 판단하여 2-팩터 인증을 수행하는 제9 단계를 더 포함하는 것이 바람직하다.
And for the so-called two-factor authentication, further transmitting information specifying the type of the electronic signature terminal in the third step, and transmitting information specifying the type of the transaction terminal in the seventh step, Preferably, the transaction server further includes a ninth step of determining whether the information specifying the type of the electronic signature terminal and the information specifying the type of the transaction terminal match to perform two-factor authentication.

본 발명에 의한 로그인 방법에 의하면, 하나의 매체에 적용 가능한 전자 서명 프로그램으로 여러 종류의 거래 단말기에서 공인인증서 및 일회용 비밀번호를 이용한 보안성이 높은 로그인을 수행할 수 있다. 또한, 여러 종류의 거래 단말기에 적용되는 공인인증 프로그램을 개발할 필요가 없으므로 개발 비용을 현저하게 저감할 수 있으며, 보안 로그인을 널리 보급할 수 있는 장점이 있다. 그리고 오프라인에서만 등록이 가능한 일회용 비밀번호(OTP) 사용 등록/해지의 문제를 공인인증서를 이용한 온라인 등록 전환이 가능한 장점도 제공된다.According to the login method according to the present invention, a highly secure login using a public certificate and a one-time password can be performed in various types of transaction terminals using an electronic signature program applicable to one medium. In addition, since there is no need to develop an accredited certification program applied to various types of transaction terminals, the development cost can be significantly reduced, and security login can be widely used. In addition, there is also an advantage that the online registration can be switched using an official certificate for the problem of registration / cancellation using the one-time password (OTP), which can be registered only offline.

또한, 일회용 비밀번호를 사용자가 소지하는 OTP 단말기로 생성해서 입력하는 방식이 아니라, 거래 서버가 생성한 일회용 비밀번호를 입력하는 방식이므로 시간 동기화 불일치 문제로 발생하는 오류를 원천적으로 배제할 수 있는 효과도 있다.In addition, since the one-time password is not generated and input to the OTP terminal owned by the user, the one-time password generated by the transaction server is input. Therefore, an error caused by a time synchronization inconsistency problem can be excluded. .

종래에 오프라인에서 등록하여 OTP 단말기에 현출되는 OTP에 의한 인증과 비교할 때 본 발명에 의한 인증은, 개인키 비밀번호를 알아야 인증되므로 (OTP 단말기의) 소유기반 인증에 더하여 지식기반인증이 가능하고, VID-R 값 확인을 적용할 수 있어 본인 확인이 가능하며, 전자서명기술을 통해 인증하므로 인증 부인 봉쇄 기능도 가지게 되는 우수한 효과가 제공된다.
Compared to the authentication by OTP which is registered offline in the conventional OTP terminal, the authentication according to the present invention requires authentication of the private key password, so that knowledge-based authentication is possible in addition to the ownership-based authentication (of OTP terminal). -R value verification can be applied, so identity verification is possible, and authentication through digital signature technology provides a superior effect of having a denial of authentication denial function.

도 1은 본 발명에 의한 로그인 방법의 간단한 과정이 도시된 도면.
도 2는 본 발명에 의한 로그인 방법의 자세한 과정이 도시된 도면.
도 3은 거래 서버에 기록되는 데이터베이스 테이블의 일례.1 is a diagram illustrating a simple process of a login method according to the present invention.
2 is a view showing a detailed process of the login method according to the present invention.
3 is an example of a database table recorded in a transaction server.

이하에서는 첨부 도면을 참조하여 본 발명에 대해서 자세하게 설명하기로 한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

도 1에는 본 발명에 의한 로그인 방법의 간단한 과정이 도시되어 있다. 도 1에 도시되어 있는 바와 같이, 본 발명이 수행되는 환경은, 전자 서명 단말기(10)와, 거래 단말기(20)와, 거래 서버(30)를 포함한다. 이들 사이에는 데이터 통신이 가능한 통신망(도시되지 않음)이 개재(介在)되어 서로간에 데이터를 송수신할 수 있다. 전자 서명 단말기(10)에는 전자 서명 프로그램(15)이 탑재되어 있고, 거래 단말기(20)에는 거래 프로그램(25)이 탑재되어 있다. 전자 서명 단말기(10)와 거래 단말기(20)로는, 스마트폰, PC, 스마트패드 등이 사용될 수 있으며, 통신망을 통한 데이터 통신이 가능하고, 전자 서명 프로그램(15)이나 거래 프로그램(25)의 설치가 가능한 전자 단말기라면 어느 것이라도 무방하다. 전자 서명 단말기(10)와 거래 단말기(20)는 같은 단말기로 구성할 수도 있고, 서로 구별되는 다른 단말기로 구성할 수도 있다. 서로 구별되는 다른 단말기로 구성되면, 후술하는 바와 같이 2-팩터 인증(2-Factor Authentication)으로 구성하는 것이 가능하다.1 shows a simple process of the login method according to the present invention. As shown in FIG. 1, the environment in which the present invention is carried out includes an electronic signature terminal 10, a transaction terminal 20, and a transaction server 30. A communication network (not shown) capable of data communication is interposed therebetween to transmit and receive data between them. An electronic signature program 15 is mounted on the electronic signature terminal 10, and a transaction program 25 is mounted on the transaction terminal 20. As the electronic signature terminal 10 and the transaction terminal 20, a smartphone, a PC, a smart pad, etc. may be used, and data communication is possible through a communication network, and an electronic signature program 15 or a transaction program 25 is installed. Any electronic terminal can be used. The electronic signature terminal 10 and the transaction terminal 20 may be configured as the same terminal, or may be configured as different terminals that are different from each other. If it is composed of different terminals which are distinguished from each other, it is possible to configure with 2-factor authentication as described later.

전자 서명 단말기(10)에 본 발명에 의한 로그인 방법에 사용될 수 있는 전자 서명 프로그램(15)을 설치하면, 거래 단말기(20)는 종류를 가리지 않고 복수 개의 각종 단말기로 후술하는 바와 같은 로그인을 수행할 수 있다.When the electronic signature program 15 is installed in the electronic signature terminal 10, which can be used in the login method according to the present invention, the transaction terminal 20 can log in as described below with a plurality of various terminals. Can be.

도 1을 참고하여 본 발명에 의한 로그인 방법의 개략을 먼저 설명한다. 사용자는 전자서명단말기(10)의 전자 서명 프로그램(15)을 구동하여 거래 서버(30)에 공인인증서를 제출한다(120). 거래 서버(30)는 공인인증서를 검증한 후, 검증에 성공하면 전자 서명 단말기(10)로 일회용 비밀번호(OTP)를 전송한다.(150) 이렇게 전송된 일회용 비밀번호는 전자 서명 단말기(10)에 현출되고, 사용자는 현출된 일회용 비밀번호를 입력하여 거래 서버(30)에 인증요청을 한다.(160)The outline of the login method according to the present invention will be described first with reference to FIG. 1. The user drives the electronic signature program 15 of the electronic signature terminal 10 and submits an authorized certificate to the transaction server 30 (120). The transaction server 30 transmits the one-time password OTP to the electronic signature terminal 10 after verifying the accredited certificate. If the verification is successful, the transaction server 30 is present in the electronic signature terminal 10. Then, the user enters the present one-time password to the authentication request to the transaction server 30. (160)

사용자 입장에서 보면 본 발명의 얼개는 이렇지만 도 2와 도 3을 참조하여 본 발명의 구체적인 내용에 대해서 설명하기로 한다.From the user's point of view, the structure of the present invention is as described above, but with reference to Figs.

본 명세서에서는 특정 단계의 수행 주체로 단말기와 해당 단말기에 탑재되는 프로그램을 혼용하여 기재하지만, 이는 특정 단계의 물리적 수행주체가 단말기이며, 논리적 수행주체는 프로그램임을 의미할 뿐이며, 이는 당업자에게 자명한 사항으로 본 발명의 이해에 불명료함을 끼치는 것이 아님이 명백하게 이해되어야 한다.In the present specification, a terminal and a program mounted on the terminal are used as a performing agent of a specific step, but this means that the physical performing agent of a specific step is a terminal and a logical performing agent is a program, which is obvious to those skilled in the art. It should be clearly understood that it does not obscure the understanding of the present invention.

사용자는 먼저 거래 단말기(10)의 전자 서명 프로그램(15)을 구동해서 로그인 요청을 전송한다.(100) 이 로그인 요청에 앞서, 사용자는 전자 서명 프로그램(15)에 본 발명에 의한 로그인 방법을 이용할 거래 서버(30)를 등록해야 한다. 이 등록 절차는, 전자 서명 프로그램(15)이 제공하는 거래 서버 등록 메뉴로 이동하고, 거래 서버(30)의 이름 및/또는 도메인을 입력한 후, 입력된 도메인에 기초하여 후술하는 전자서명 대상 랜덤 논스값(Random Nonce)을 받기 위한 URL(A)과 공인인증서를 제출할 로그인 URL(B)를 생성하고 전자 서명 프로그램(15)에 등록한다.The user first drives the electronic signature program 15 of the transaction terminal 10 to transmit a login request. 100 Prior to this login request, the user uses the login method according to the present invention to the electronic signature program 15. The transaction server 30 must be registered. This registration procedure moves to the transaction server registration menu provided by the electronic signature program 15, inputs the name and / or domain of the transaction server 30, and then selects the electronic signature subject described later based on the input domain. A URL (A) for receiving a nonce value and a login URL (B) for submitting a public certificate are generated and registered in the digital signature program 15.

사용자가 전자 서명 프로그램(15)을 구동하면 전술한 방법으로 미리 등록되어 있는 거래 서버 즉 인증 대상 서버 목록이 현출되고, 이 중 본 발명에 의한 로그인 방법을 이용할 거래 서버를 선택하면, 해당 거래 서버(30)로 로그인 요청이 전송된다.(100) 그리고 전자 서명 단말기(10)에는 공인인증서 제출창이 현출된다.When the user runs the electronic signature program 15, a list of transaction servers, that is, authentication target servers, which are registered in advance in the above-described manner is displayed, and when a user selects a transaction server to use the login method according to the present invention, The login request is transmitted to 30. (100) And the electronic signature terminal 10 is present in the certificate submission window.

한편, 전자 서명 프로그램(15)으로부터 로그인 요청이 접수되면, 거래 서버(30)는 랜덤 논스값을 발급하고 이를 전자 서명 단말기(10)로 전송한다.(110) 좀 더 구체적으로는, 전자 서명 프로그램(15)이 전술한 URL(A)에 접속하여 랜덤 논스값을 받는다. 랜덤 논스값을 전송받은 전자 서명 프로그램(15)은, 개인키를 이용하여 랜덤 논스값을 전자 서명하고, 그 전자 서명값을 공인인증서, 공인인증서의 VID-R 값, 그리고 전자 서명 단말기의 종류를 특정하는 정보와 함께 거래 서버(30)로 제출한다.(120) 2-팩터 인증을 요구하는 경우가 아니라면 전자서명 단말기의 종류를 특정하는 정보는 제출되지 아니하여도 무방하다.On the other hand, when the login request is received from the electronic signature program 15, the transaction server 30 issues a random nonce value and transmits it to the electronic signature terminal 10. [0038] More specifically, the electronic signature program (15) accesses the above-mentioned URL (A) and receives a random nonce value. The digital signature program 15, which has received the random nonce value, electronically signs the random nonce value using the private key, and converts the electronic signature value into the public certificate, the VID-R value of the public certificate, and the type of the digital signature terminal. The data is submitted to the transaction server 30 together with the information to be specified. (120) If the two-factor authentication is not required, information specifying the type of the digital signature terminal may not be submitted.

"VID"는 공인인증서에 포함되는 식별번호에 기초하여 생성된 일종의 가상식별번호(Virtual ID)로서 사용자식별번호(예를 들어 주민등록번호)와 소정의 난수값을 이용하여 예를 들어 다음과 같은 식으로 생성되는 값이다."VID" is a kind of virtual ID generated based on an identification number included in an accredited certificate, using a user identification number (for example, a social security number) and a predetermined random number, for example: Generated value.

[수학식 1][Equation 1]

VID = h(h(사용자식별번호, 난수값))VID = h (h (user identification number, random value))

여기서 공인인증기관이 VID 진위를 판단하기 위해서는 난수값도 함께 제출되어야 하는데, 여기서 이 난수값을 "VID-R 값"으로 본 명세서에서 정의한다. 이와 관련하여 자세한 내용은 한국인터넷진흥원의 2009년 9월자 "식별번호를 이용한 본인확인 기술규격 v1.21"에 개시되어 있으므로 본 명세서에서는 자세한 설명을 생략한다.Here, in order for the certification body to determine the authenticity of the VID, a random number value must also be submitted, where the random number value is defined herein as a "VID-R value". In this regard, since the details are disclosed in the September 2009, "Technical Specification v1.21 using the identification number" of the Korea Internet & Security Agency, detailed description thereof will be omitted.

거래 서버(30)는, 제출받은 공인인증서와 랜덤 논스값의 전자서명값을 검증한다.(130) 검증 결과 성공하면, 일회용 비밀번호(OTP)를 생성하고 이 일회용 비밀번호를 데이터베이스 키로 하여 사용자가 제출한 상기 공인인증서와, VID-R 값과, 전자서명 단말기의 종류를 특정하는 정보와, 일회용 비밀번호 유효기간 정보를 데이터베이스에 기록한다.(140)The transaction server 30 verifies the submitted digital certificate value and the electronic signature value of the random nonce value. (130) Upon successful verification, the transaction server 30 generates a one-time password (OTP) and the user submits the one-time password as a database key. The authorized certificate, the VID-R value, information specifying the type of the digital signature terminal, and one-time password validity information are recorded in a database.

이 데이터베이스 테이블의 일례가 도 3에 도시되어 있다.An example of this database table is shown in FIG.

전술한 바와 같이 생성된 일회용 비밀번호는 전자서명 단말기(10)로 전송된다(150). 전송된 일회용 비밀번호는 전자서명 단말기(10)에 현출된다.The one-time password generated as described above is transmitted to the digital signature terminal 10 (150). The one-time password transmitted is present in the electronic signature terminal (10).

한편, 사용자는 거래 단말기(20)에 거래 프로그램(25)을 실행시켜 놓는다. 거래 프로그램(25)을 통해 거래 서버(30)가 제공하는 거래 서비스를 이용할 수 있는데, 이용에 앞서 먼저 본 발명에 의한 로그인을 수행한다.On the other hand, the user executes the transaction program 25 in the transaction terminal 20. The transaction service provided by the transaction server 30 may be used through the transaction program 25, and prior to the use, a login according to the present invention is performed.

앞서 전자 서명 단말기(10)에 현출된 일회용 비밀번호를, 사용자 식별코드(예를 들어, 아이디 내지 주민등록번호)와 함께 거래 단말기(20)에 입력하고, 이 정보는 거래 서버(30)로 전송된다. 이 때 거래 단말기의 종류를 특정하는 정보도 함께 전송할 수 있다.(160)The one-time password previously displayed on the electronic signature terminal 10 is input to the transaction terminal 20 together with the user identification code (for example, ID to social security number), and this information is transmitted to the transaction server 30. In this case, information specifying the type of the transaction terminal may also be transmitted.

거래 단말기(20)로부터 전술한 정보를 수신한 거래 서버(30)는, 상기 사용자 식별번호를 이용하여 사용자 고유 코드 예를 들어 공인인증서로 확인할 수 있는 주민등록번호 등을 추출하고, 거래 단말기(20)로부터 제출된 일회용 비밀번호가 데이터베이스 테이블에 존재하는지 여부를 확인한다.(170) 일회용 비밀번호가 데이터베이스 테이블에 존재하는 것으로 확인되면, 해당 일회용 비밀번호를 키로 하여 기록되어 있는 단계(120)에서 제출된 공인인증서, VID-R 값, 거래 단말기(20)로부터 제출된 사용자 식별번호로부터 추출된 사용자 고유코드(예를 들어 주민등록번호)를 이용하여 본인 인증을 수행한다.(180) 그 결과, 인증 성공 여부에 따라 로그인 결과를 거래 단말기(20)로 전송한다.(190)Receiving the above-mentioned information from the transaction terminal 20, the transaction server 30, using the user identification number to extract a user identification code, for example, a resident registration number that can be confirmed with a certified certificate, and from the transaction terminal 20 Check whether the submitted one-time password exists in the database table (170). If it is confirmed that the one-time password exists in the database table, the public certificate, VID submitted in step 120, recorded using the one-time password as a key. Identity is performed using the -R value and the user's unique code (for example, a social security number) extracted from the user identification number submitted from the transaction terminal 20. (180) As a result, the login result is determined according to whether the authentication is successful. Transmit to transaction terminal 20. (190)

한편, 거래 서버(30)가 2-팩터 인증(2-factor Authentication)을 요구하는 경우라면, 전술한 단계(120)에서 전자 서명 단말기의 종류를 특정하는 정보를 전송받고 단계(160)에서 거래 단말기의 종류를 특정하는 정보를 전송받아야 하며, 이 두 정보가 일치하지 않고 다른 본인 인증과정이 성공하는 경우에 인증을 완료하도록 구성한다.On the other hand, if the transaction server 30 requires 2-factor authentication (2-factor authentication), in step 120, the information specifying the type of the electronic signature terminal is received and the transaction terminal in step 160 It is necessary to receive the information that specifies the type of data. If the two information do not match and the other authentication process succeeds, the authentication is completed.

이와 같은 본 발명에 의한 로그인 방법에 의하면, 하나의 매체에 적용 가능한 전자 서명 프로그램으로 여러 종류의 거래 단말기에서 공인인증서 및 일회용 비밀번호를 이용한 보안성이 높은 로그인을 수행할 수 있다. 또한, 여러 종류의 거래 단말기에 적용되는 공인인증 프로그램을 개발할 필요가 없으므로 개발 비용을 현저하게 저감할 수 있으며, 보안 로그인을 널리 보급할 수 있는 장점이 있다. 그리고 오프라인에서만 등록이 가능한 일회용 비밀번호(OTP) 사용 등록/해지의 문제를 공인인증서를 이용한 온라인 등록 전환이 가능한 장점도 제공된다.According to the log-in method according to the present invention, it is possible to perform a highly secure log-in using a public certificate and a one-time password in various types of transaction terminals as an electronic signature program applicable to one medium. In addition, since there is no need to develop an accredited certification program applied to various types of transaction terminals, the development cost can be significantly reduced, and security login can be widely used. In addition, there is also an advantage that the online registration can be switched using an official certificate for the problem of registration / cancellation using the one-time password (OTP), which can be registered only offline.

또한, 일회용 비밀번호를 사용자가 소지하는 OTP 단말기로 생성해서 입력하는 방식이 아니라, 거래 서버가 생성한 일회용 비밀번호를 입력하는 방식이므로 시간 동기화 불일치 문제로 발생하는 오류를 원천적으로 배제할 수 있는 효과도 있다.In addition, since the one-time password is not generated and input to the OTP terminal owned by the user, the one-time password generated by the transaction server is input. Therefore, an error caused by a time synchronization inconsistency problem can be excluded. .

종래에 오프라인에서 등록하여 OTP 단말기에 현출되는 OTP에 의한 인증과 비교할 때 본 발명에 의한 인증은, 개인키 비밀번호를 알아야 인증되므로 (OTP 단말기의) 소유기반 인증에 더하여 지식기반인증이 가능하고, VID-R 값 확인을 적용할 수 있어 본인 확인이 가능하며, 전자서명기술을 통해 인증하므로 인증 부인 봉쇄 기능도 가지게 되어 그 우수한 효과는 분명하다.Compared to the authentication by OTP which is registered offline in the conventional OTP terminal, the authentication according to the present invention requires authentication of the private key password, so that knowledge-based authentication is possible in addition to the ownership-based authentication (of OTP terminal). -R value verification can be applied to verify identity, and through digital signature technology, authentication denial blocking function will also have a clear effect.

이상 첨부 도면을 참조하여 본 발명에 대해서 설명하였지만 본 발명의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시예 및/또는 도면에 제한되는 것으로 해석되어서는 아니된다. 그리고 특허청구범위에 기재된 발명의, 당업자에게 자명한 개량, 변경 및 수정도 본 발명의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.
While the invention has been described above with reference to the accompanying drawings, the scope of the invention is determined by the claims that follow, and should not be construed as limited to the embodiments and / or drawings described above. And it should be clearly understood that improvements, changes and modifications apparent to those skilled in the art of the invention described in the claims are included in the scope of the present invention.

10: 전자 서명 단말기
15: 전자 서명 프로그램
20: 거래 단말기
25: 거래 프로그램
30: 거래 서버10: electronic signature terminal
15: Electronic signature program
20: trading terminal
25: Trading program
30: trading server

Claims (8)

전자 서명 단말기와, 거래 단말기와, 거래 서버와, 데이터 통신이 가능한 통신망을 포함하는 환경에서 수행되는 거래 서버로의 사용자 로그인 방법에 있어서,
상기 전자 서명 단말기가 상기 거래 서버로 로그인 요청을 전송하는 제1 단계와,
상기 거래 서버가 상기 전자 서명 단말기로 랜덤 논스값(Random Nonce)을 발급하여 전송하는 제2 단계와,
상기 전자 서명 단말기가 상기 거래 서버로 인증서와, 상기 랜덤 논스값의 전자서명값과, 개인키 랜덤값(VID-R 값)을 제출하는 제3 단계와,
상기 거래서버가 상기 제출된 인증서와 랜덤 논스값의 전자서명값이 유효하면 일회용 비밀번호를 생성하고, 상기 일회용 비밀번호와 유효기간 정보를 상기 전자 서명 단말기로 전송하는 제4 단계와,
상기 전자 서명 단말기가 상기 일회용 비밀번호와 유효기간 정보를 현출하는 제5 단계와,
상기 거래 단말기가 사용자로부터 사용자 식별 코드와 상기 일회용 비밀번호를 입력받는 제6 단계와,
상기 거래 단말기가 상기 거래 서버로 상기 사용자 식별 코드와 상기 일회용 비밀번호를 전송하는 제7 단계와,
상기 거래 서버가 상기 제7 단계에서 전송된 일회용 비밀번호 유효 여부를 확인하고, 상기 사용자 식별 코드에 매칭되는 사용자 고유 코드와, 상기 인증서와, 상기 개인키 랜덤값(VID-R 값)을 이용하여 본인 확인을 수행하고 로그인 여부를 결정하는 제8 단계를 포함하는,
사용자 로그인 방법.
A user login method to a transaction server performed in an environment including an electronic signature terminal, a transaction terminal, a transaction server, and a communication network capable of data communication,
A first step of the electronic signature terminal transmitting a login request to the transaction server;
A second step of the transaction server issuing and transmitting a random nonce value to the electronic signature terminal;
A third step of the electronic signature terminal submitting a certificate, a digital signature value of the random nonce value, and a private key random value (VID-R value) to the transaction server;
A fourth step of the transaction server generating a one-time password if the submitted certificate and the electronic signature value of the random nonce value are valid, and transmitting the one-time password and the expiration date information to the electronic signature terminal;
A fifth step of the electronic signature terminal presenting the one time password and the expiration date information;
A sixth step in which the transaction terminal receives a user identification code and the one-time password from a user;
A seventh step of transmitting, by the transaction terminal, the user identification code and the one-time password to the transaction server;
The transaction server checks whether the one-time password transmitted in the seventh step is valid, and uses the user's unique code matching the user identification code, the certificate, and the private key random value (VID-R value). An eighth step of performing verification and determining whether to log in,
User login method.
청구항 1에 있어서,
상기 제3 단계에서, 상기 전자 서명 단말기의 종류를 특정하는 정보를 더 전송하는,
사용자 로그인 방법.
The method according to claim 1,
In the third step, further transmitting information specifying the type of the electronic signature terminal,
User login method.
청구항 1에 있어서,
상기 거래 서버가, 상기 생성된 일회용 비밀번호를 데이터베이스 키로 하여 인증서와, 개인키 랜덤값(VID-R 값)과, 일회용 비밀번호 유효기간을 기록하는 제4-1 단계를 더 포함하는,
사용자 로그인 방법.
The method according to claim 1,
The transaction server further comprises a step 4-1 of recording a certificate, a private key random value (VID-R value), and a one-time password validity period using the generated one-time password as a database key.
User login method.
청구항 2에 있어서,
상기 제7 단계에서, 상기 거래 단말기의 종류를 특정하는 정보를 더 전송하고,
상기 거래 서버가 상기 전자 서명 단말기의 종류를 특정하는 정보와 상기 거래 단말기의 종류를 특정하는 정보가 일치하는지 여부를 판단하여 2-팩터 인증을 수행하는 제9 단계를 더 포함하는,
사용자 로그인 방법.
The method according to claim 2,
In the seventh step, further information specifying the type of the transaction terminal,
And a ninth step of performing, by the transaction server, two-factor authentication by determining whether the information specifying the type of the electronic signature terminal and the information specifying the type of the transaction terminal match.
User login method.
전자 서명 단말기와, 거래 단말기와, 거래 서버를 포함하는 환경에서 수행되는 거래 서버가 상기 거래 단말기로부터의 사용자 로그인을 인증하는 방법에 있어서,
상기 거래 서버가 상기 전자 서명 단말기로부터 로그인 요청을 전송받는 제1 단계와,
상기 거래 서버가 상기 전자 서명 단말기로 랜덤 논스값을 발급하여 전송하는 제2 단계와,
상기 거래 서버가 상기 전자 서명 단말기로부터 인증서와, 상기 랜덤 논스값의 전자서명값과, 개인키 랜덤값(VID-R 값)을 수신하는 제3 단계와,
상기 거래 서버가 상기 수신된 인증서와 랜덤 논스값의 전자서명값이 유효하면 일회용 비밀번호를 생성하고, 상기 일회용 비밀번호와 유효기간 정보를 상기 전자 서명 단말기로 전송하는 제4 단계와,
상기 거래 서버가 상기 거래 단말기로부터 사용자가 입력한 사용자 식별 코드와 상기 일회용 비밀번호를 전송받는 제5 단계와,
상기 거래 서버가 상기 제5 단계에서 전송된 일회용 비밀번호 유효 여부를 확인하고, 상기 사용자 식별 코드에 매칭되는 사용자 고유 코드와, 상기 인증서와, 상기 개인키 랜덤값(VID-R 값)을 이용하여 본인 확인을 수행하고 로그인 여부를 결정하는 제6 단계를 포함하는,
사용자 로그인 방법.
A method for authenticating a user login from a transaction server by a transaction server performed in an environment including an electronic signature terminal, a transaction terminal, and a transaction server,
A first step of receiving, by the transaction server, a login request from the electronic signature terminal;
A second step of the transaction server issuing and transmitting a random nonce value to the electronic signature terminal;
A third step of the transaction server receiving a certificate, an electronic signature value of the random nonce value, and a private key random value (VID-R value) from the digital signature terminal;
A fourth step of the transaction server generating a one-time password if the received certificate and the electronic signature value of the random nonce value are valid, and transmitting the one-time password and the expiration date information to the electronic signature terminal;
A fifth step of the transaction server receiving the user identification code and the one-time password inputted by the user from the transaction terminal;
The transaction server checks whether the one-time password transmitted in the fifth step is valid, and uses the user's unique code matching the user identification code, the certificate, and the private key random value (VID-R value). A sixth step of performing verification and determining whether to log in,
User login method.
청구항 5에 있어서,
상기 제3 단계에서, 상기 전자 서명 단말기의 종류를 특정하는 정보를 더 수신하는,
사용자 로그인 방법.
The method according to claim 5,
In the third step, further receiving information specifying the type of the electronic signature terminal;
User login method.
청구항 5에 있어서,
상기 거래 서버가, 상기 생성된 일회용 비밀번호를 데이터베이스 키로 하여 인증서와, 개인키 랜덤값(VID-R 값)과, 일회용 비밀번호 유효기간을 기록하는 제4-1 단계를 더 포함하는,
사용자 로그인 방법.
The method according to claim 5,
The transaction server further comprises a step 4-1 of recording a certificate, a private key random value (VID-R value), and a one-time password validity period using the generated one-time password as a database key.
User login method.
청구항 6에 있어서,
상기 제5 단계에서, 상기 거래 단말기의 종류를 특정하는 정보를 더 전송받고,
상기 거래 서버가 상기 전자 서명 단말기의 종류를 특정하는 정보와 상기 거래 단말기의 종류를 특정하는 정보가 일치하는지 여부를 판단하여 2-팩터 인증을 수행하는 제7 단계를 더 포함하는,
사용자 로그인 방법.
The method of claim 6,
In the fifth step, the information specifying the type of the transaction terminal is further received,
And a seventh step, wherein the transaction server determines whether the information specifying the type of the electronic signature terminal and the information specifying the type of the transaction terminal match to perform 2-factor authentication.
User login method.
KR1020110061122A 2011-06-23 2011-06-23 User log-in method using one-time password issued by certificate log-in KR101080613B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110061122A KR101080613B1 (en) 2011-06-23 2011-06-23 User log-in method using one-time password issued by certificate log-in

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110061122A KR101080613B1 (en) 2011-06-23 2011-06-23 User log-in method using one-time password issued by certificate log-in

Publications (1)

Publication Number Publication Date
KR101080613B1 true KR101080613B1 (en) 2011-11-08

Family

ID=45397245

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110061122A KR101080613B1 (en) 2011-06-23 2011-06-23 User log-in method using one-time password issued by certificate log-in

Country Status (1)

Country Link
KR (1) KR101080613B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104103132A (en) * 2014-07-08 2014-10-15 深圳前海君浩银通科技发展有限公司 Mobile uKey [USB (universal serial bus) Key] and card-less cash withdrawal System and mobile uKey and card-less cash withdrawal method
KR20160071802A (en) 2014-12-12 2016-06-22 국민대학교산학협력단 Non-repudiation assistatn digital signature method, system performing the same and storage media storing the same

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104103132A (en) * 2014-07-08 2014-10-15 深圳前海君浩银通科技发展有限公司 Mobile uKey [USB (universal serial bus) Key] and card-less cash withdrawal System and mobile uKey and card-less cash withdrawal method
KR20160071802A (en) 2014-12-12 2016-06-22 국민대학교산학협력단 Non-repudiation assistatn digital signature method, system performing the same and storage media storing the same

Similar Documents

Publication Publication Date Title
TWI749577B (en) Two-dimensional bar code processing method, device and system
AU2018333068B2 (en) Systems and methods for managing digital identities associated with mobile devices
US8549602B2 (en) System and method for handling permits for user authentication tokens
US10586229B2 (en) Anytime validation tokens
CN107111478A (en) For the system and method that integrated verification is serviced in the network architecture
JP6497834B2 (en) Payment methods and associated payment gateway servers, mobile terminals, and time certificate issuing servers
US11394712B2 (en) Secure account access
CN106575416A (en) System and method for authenticating a client to a device
JP6530049B2 (en) System and method for implementing a hosted authentication service
US20170116615A1 (en) Systems and methods for issuance of provisional financial accounts to mobile devices
CN104580184B (en) Identity identifying method between mutual trust application system
US20150302409A1 (en) System and method for location-based financial transaction authentication
CN106664208A (en) System and method for establishing trust using secure transmission protocols
KR20150050280A (en) Authentication method using fingerprint information and certification number, user terminal and financial institution server
KR101080613B1 (en) User log-in method using one-time password issued by certificate log-in
KR101936941B1 (en) Electronic approval system, method, and program using biometric authentication
Palfrey et al. Digital identity interoperability and einnovation
JP6009521B2 (en) User identification system, method and program
US11997086B1 (en) Systems and methods for identity verification and authentication
US20240098503A1 (en) System and method for user access using mobile identification credential
US20220321347A1 (en) System, method and apparatus for transaction access and security
CN106557922A (en) A kind of apparatus and method of Network Bank security transaction
AU2015200701A1 (en) Anytime validation for verification tokens
KR20180089328A (en) Method for authenticating using financing application and apparatus thereof
TWM539671U (en) Network bank transaction system

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151103

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20171011

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180921

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190930

Year of fee payment: 9