KR20130014676A - 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 - Google Patents

바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 Download PDF

Info

Publication number
KR20130014676A
KR20130014676A KR1020120147044A KR20120147044A KR20130014676A KR 20130014676 A KR20130014676 A KR 20130014676A KR 1020120147044 A KR1020120147044 A KR 1020120147044A KR 20120147044 A KR20120147044 A KR 20120147044A KR 20130014676 A KR20130014676 A KR 20130014676A
Authority
KR
South Korea
Prior art keywords
server
value
information
user terminal
biometric
Prior art date
Application number
KR1020120147044A
Other languages
English (en)
Other versions
KR101297118B1 (ko
Inventor
이형우
장원준
조식완
Original Assignee
이형우
한신대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이형우, 한신대학교 산학협력단 filed Critical 이형우
Priority to KR1020120147044A priority Critical patent/KR101297118B1/ko
Publication of KR20130014676A publication Critical patent/KR20130014676A/ko
Application granted granted Critical
Publication of KR101297118B1 publication Critical patent/KR101297118B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Collating Specific Patterns (AREA)

Abstract

본 발명은 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법에 관한 것으로, 카메라 모듈을 이용하여 캡춰한 바이오메트릭 정보를 서버로 전송하고, 서버는 임의의 난수 바이오메트릭 ID 값을 생성하는 제1 단계; 생성된 바이오메트릭 ID는 서버의 프라이버시 DB를 통하여 유효한 ID 인지를 판단하게 되고, 유효한 바이오메트릭 ID는 사용자 단말로 전송하는 제 2 단계; 사용자 단말에 의해 아이디(ID)와 패스워드(PW)를 포함하는 사용자가 개인정보를 입력되고 그 중 ID 정보만이 서버로 전송되는 제 3 단계; 서버는 수신된 ID 정보가 유효한 ID이면, 난수 도전값을 생성하여 사용자 단말로 전송하는 제4 단계; 및 사용자 단말은 자신의 바이오메트릭 정보와 서버로부터 전송받은 도전값, 자신의 PW 정보로부터 B-OTP를 생성하고 이를 다시 서버로 전송하고, 서버도 사용자 단말에서의 B-OTP과정과 동일하게 B-OTP를 생성하며, 사용자단말로부터 받은 B-OTP와 비교하여 사용자 인증을 수행하는 제 5단계;를 포함하는 것을 특징으로 한다.

Description

바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법{USER AUTHENTICATION METHOD USING BIOMETRIC ONE-TIME PASSWORD}
본 발명은 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법에 관한 것으로, 더욱 상세하게는 각 사용자가 자신의 스마트폰 등을 통해서 사용자 자신이 캡춰한 랜덤 이미지 정보로부터 일회용 패스워드를 생성하여 이를 통해 사용자 인증 과정을 수행하는 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법에 관한 것이다.
OTP 기술 분석
OTP(One-Time Password) 기술은 일회용 패스워드를 생성하는 기술이다. OTP 생성기술은 크게 비동기화 방식과 동기화 방식으로 나눌 수 있다.
도 1은 비동기화 OTP 방식을 설명하는 개념도로서, 비동기화 OTP 방식은 도 1에 도시된 바와 같이, Challenge Response 방식으로 작동하는 것이며, 질의 값에 대한 응답 결과로 인증과정을 수행한다. 이 방식은 서버(20)와 사용자단말(10)의 동기화가 필요없는 방식이지만 사용자의 입력이 필요하며 네트워크 과부하를 유발하기도 한다.
도 2는 동기화 OTP 방식을 설명하는 개념도로서, 동기화 OTP 방식은 시간 동기화 방식, 이벤트 동기화 방식, 이벤트-시간 동기화 방식으로 작동하며 사용자단말(10) OTP 토큰과 인증 서버(20) 사이에 정확한 동기화 과정이 필요하며 서버와 OTP 단말간의 동기화된 시간 정보를 기준으로 특정 시간 간격마다 패스워드를 생성하는 방식으로 MITM(Man-In-The-Middle) 공격에 취약하며, 재사용 시간의 제약이 있다는 문제점이 있다.
도 3은 OTP 기반 동작 시나리오를 설명하기 위한 개념도이다.
도 3을 참조하면, OTP 기반 동작 시나리오는 다음과 같다. OTP 사용자는 OTP 값을 생성하여 이를 사용자 PC에 입력하면 인증 서버에서 이를 검증하는 방법을 사용하고 있다. 사용자는 자신이 소유한 비밀키 정보와 동기화 정보를 이용하여 OTP를 생성하고 이를 자신의 사용자 PC에 입력한다. 입력된 정보는 금융기관의 OTP 인증서버에 전달되어 서버내에서 생성된 OTP 값과 비교/검증하는 과정을 수행하게 된다.
기존 이미지 기반 사용자 인증 구조 분석
최근 ConfidentTech에서는 Image Authentication 방식을 제안하고 있다. 사용자 자신이 사용할 이미지 타이틀을 사전에 설정한 후에, ID를 입력과 함께 다양한 조합의 이미지 값들로 구성된 Challenge 값에 대해서 Response 값으로는 자신이 선택한 이미지 타이틀에 해당하는 이미지에 해당하는 타이틀 값을 전송하여 인증을 수행하는 방식이다. 예를들어 사용자가 dog, car, ship 라는 세가지 범주를 선택하였다면 아래 도 3과 같은 Challenge 이미지 정보에 대해 5, X, V 값의 조합으로 된 세자리 access code 값을 Response로 전송하는 방식이다. 다음 단계에서는 이미지와 배열이 바뀌게 되어 새로운 access code 값 F, z, N 값의 조합 중 하나를 입력하는 방식이다.
이 방식은 OTP 방식과 유사한 점을 갖는다고 볼 수 있다. 사용자가 설정한 이미지 타이틀 정보가 각 사용자에 대한 Secret이 될 수 있으며, 매번 다른 형태의 이미지가 서로 다른 배열 및 access code로 할당되기 때문에 일종의 OTP 방식이라고 할 수 있다. 하지만, 만일 사용자가 3개의 이미지 타이틀을 선택한 후에 9개의 이미지 샘플이 제공된다면 결국 전체 조합 코드 504개(9*8*7) 중에서 6개만이 적법한 access code에 해당하므로 1.19%의 확률을 보이게 된다. 그리고 이 방식에서는 공격자가 여러번 접속을 시도하는 과정에서 제공되는 9개의 이미지에 대한 유사성 및 공통성을 분석해 보면 손쉽게 3개의 이미지 범주를 찾을 수 있게 된다는 문제점이 있다. 하지만 이미지 정보를 이용하여 일회용 access code를 생성하였다는 점에서 기존의 일반적인 OTP 방식에도 이미지 또는 기타 멀티미디어 정보 등과 연계할 수 있다는 것을 확인할 수 있다.
본 발명의 목적은 각 사용자가 자신의 스마트폰 등을 통해서 사용자 자신이 캡춰한 랜덤 이미지 정보로부터 일회용 패스워드를 생성하여 이를 통해 사용자 인증 과정을 수행하는 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법을 제공함에 있다.
본 발명의 또 다른 목적은 스마트폰을 이용한 인터넷 뱅킹 및 인터넷전화 서비스에서의 보안성을 강화하고 인증 취약점을 개선하기 위해 스마트폰과 Proxy 서버간 송수신되는 메시지를 중심으로 사용자 인증을 강화하기 위해 바이오메트릭 ID 정보와 인터넷 뱅킹에서 사용되는 OTP 기술을 접목한 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법을 제공함에 있다.
상기한 바와 같은 목적을 달성하기 위한 본 발명의 바람직한 실시예에 따르면, 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법은 카메라 모듈을 이용하여 캡춰한 바이오메트릭 정보를 서버로 전송하고, 서버는 임의의 난수 바이오메트릭 ID 값을 생성하는 제1 단계; 생성된 바이오메트릭 ID는 서버의 프라이버시 DB를 통하여 유효한 ID 인지를 판단하게 되고, 유효한 바이오메트릭 ID는 사용자 단말로 전송하는 제 2 단계; 사용자 단말에 의해 ID와 패스워드(PW)를 포함하는 개인정보가 입력되고 그 중 ID 정보만이 서버로 전송되는 제 3 단계; 서버는 수신된 ID 정보가 유효한 ID이면, 난수 도전값을 생성하여 사용자 단말로 전송하는 제4 단계; 및 사용자 단말은 자신의 바이오메트릭 정보와 서버로부터 전송받은 도전값, 자신의 PW 정보로부터 B-OTP를 생성하고 이를 다시 서버로 전송하고, 서버도 사용자 단말에서의 B-OTP과정과 동일하게 B-OTP를 생성하며, 사용자단말로부터 받은 B-OTP와 비교하여 사용자 인증을 수행하는 제 5단계;를 포함하는 것을 특징으로 한다.
본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법에 의하면, 의사 바이오메트릭 정보를 이용하여 OTP 방식과 접목하였기 때문에 기존의 방식보다 안전성을 높일 수 있고 본인 확인 기능을 향상시킬 수 있는 효과가 있다.
또한, OTP 토큰 실제 소유자 인증을 위해 의사 바이오메트릭 이미지에 대해 변환함수를 적용하여 이를 변형시키고 이를 OTP 생성 과정에 적용하여 바이오 정보 사용시 발생하는 프라이버시 문제도 해결할 수 있으며, OTP 정보 기반 다중 인증에도 활용 가능하다는 장점이 있다.
또한, 의사 바이오메트릭 정보에 대해 변환함수 f를 적용하여 OTP 생성 과정에 사용하였기 때문에 사용자 획득 바이오메트릭 정보에 대한 프라이버시 보호 기능을 제공하면서도 일회용 패스워드를 기반으로 인증 과정을 수행할 수 있기 때문에 결국에는 재전송 공격을 방지할 수 있는 효과가 있다. 변환함수 f 적용 과정에서 시간정보 T 값을 사용하였기 때문에 만일 공격자에 의해 재전송 공격이 수행된다 할지라도 이를 검출할 수 있는 효과가 있다. 변환함수 f 에 포함된 ID와 PW 정보 및 시간정보를 이용하여 만일 공격가자 OTP"을 생성하였다면 이는 서버에서 생성되는 정보와 다르기 때문에 재전송 공격에 의해 발생한 일회용 패스워드 변형에 대해 검출이 가능한 효과가 있다.
도 1은 종래기술에 따른 비동기화방식의 일회용 패스워드를 생성하는 과정을 설명하는 개념도이다.
도 2는 종래기술에 따른 동기회방식의 일회용 패스워드를 생성하는 과정을 설명하는 개념도이다.
도 3은 OTP 기반 동작 시나리오를 설명하기 위한 개념도이다.
도 4는 종래 이미지 인증 방식을 설명하기 위한 도면이다.
도 5는 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증시스템의 전체적인 정보 생성 및 절차를 설명하는 개념도이다.
도 6은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 세부구조를 나타낸 도면이다.
도 7은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에서 바이오메트릭-일회용 패스워드 정보 생성과정을 나타낸 도면이다.
도 8은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에서의 인증과정을 수식을 통해 나타낸 도면이다.
도 9는 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 세부구조 및 인증흐름을 구체적으로 나타낸 도면이다.
도 10은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 구현방식의 예를 도시한 도면이다.
이하 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 및 시스템에 대하여 첨부도면을 참조로 상세히 설명한다.
도 5는 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 및 시스템의 전체적인 정보 생성 및 절차를 설명하는 개념도이다.
B( Biometric )- OTP ( One - Time Password ) 기반 사용자 인증 전체 구조
B-OTP 인증을 위한 전체적인 정보 생성 및 절차는 도 5와 같다. 사용자 단말(100)은 자신의 바이오메트릭 정보를 서버(200)로 보낸다. 서버(200)는 난수 도전값을 생성하여 사용자 단말(100)로 전송하며, 자신의 바이오메트릭 정보와 서버(200)로부터 전송받은 도전값, 대칭키를 이용하여 B-OTP를 생성한다. 생성된 B-OTP는 서버(200)로 다시 전송되며, 서버(200)도 사용자 단말(100)에서의 B-OTP 생성과정과 동일하게 B-OTP를 생성한다. 따라서, 사용자 단말(100)로부터 받은 B-OTP와 서버(200)에서 생성한 B-OTP를 비교하여 사용자 인증을 수행하게 된다.
도 6은 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 세부구조를 나타낸 도면이다.
B- OTP 기반 사용자 인증 세부 구조
B-OTP 기반의 사용자 인증을 위한 세부 구조는 도 6과 같다. 먼저 1단계에서, 사용자 단말(100)은 자신의 스마트폰에 있는 카메라 모듈을 이용하여 캡춰한 바이오메트릭 정보를 서버(200)로 보내며, 서버(200)는 임의의 난수 바이오메트릭 ID 값을 생성한다. 바이오 정보는 사용자 인증을 강화하기 위하여 자신의 얼굴을 이용한다. 이 후, 이 바이오 정보에서 B-OTP 값을 추출하게 됨으로 UAC와 Proxy서버(200)는 바이오 정보를 임시로 보관한다. 이때 사용되는 사용자의 바이오메트릭 정보는 각 사용자로부터 획득된 이미지에서 Proxy 서버(200)로부터 전달받은 도전값에 해당하는 좌표값에 해당하는 이미지 픽셀 정보를 이용하여 B-OTP 정보를 생성하는 방식이다. 이후 2단계에서, 생성된 바이오메트릭 ID는 서버(200)의 프라이버시 DB를 통하여 유효한 ID 인지를 판단하게 된다. 유효한 바이오메트릭 ID는 사용자 단말(100)로 전송된다. 3단계에서, 사용자 단말(100)은 자신의 개인정보를 입력하게 되며, ID 정보만이 서버(200)로 전송된다. 4단계에서, 서버(200)는 수신된 ID 정보가 유효한 ID이면, 난수 도전값을 생성하여 사용자 단말(100)로 전송한다. 5단계에서, 사용자 단말(100)은 자신의 바이오메트릭 정보와 서버(200)로부터 전송받은 도전 값, 자신의 PW 정보로부터 B-OTP를 생성하고 이를 다시 서버(200)로 전송한다. 서버(200)도 사용자 단말(100)에서의 B-OTP과정과 동일하게 B-OTP를 생성하며, 사용자단말(100)로부터 받은 B-OTP와 비교하여 사용자 인증을 수행하게 된다.
도 7은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템에서 바이오메트릭-일회용 패스워드 정보 생성과정을 나타낸 도면이다.
B- OTP 기반 이미지 추출 구조
난수 함수는 암호학적으로 안전한 해쉬함수와 큰 소수 p에 대한 mod 연산을 통해 계산된다. 사용자 단말(100)은 Proxy Server(200)로부터 받은 챌린지 값을 이용하여 사용자 단말(100)의 카메라 모듈로부터 획득된 이미지에 대해 B-OTP를 생성하게 된다. OTP Key 값의 정보를 이용하여 이미지내 특정 위치에 대한 픽셀 값을 추출하고 이 정보를 이용하여 도 7과 같이 B-OTP 정보를 생성하게 된다.
도 8은 본 발명에 따른 바이오 정보를 이용한 사용자 인증 시스템에서의 인증과정을 수식을 통해 나타낸 도면이다.
바이오메트릭 정보 기반 OTP 생성 방식
바이오메트릭 정보를 이용하여 OTP 정보를 생성하고 이를 이용하여 인증 과정에 사용할 수 있다. 전체적인 작동 과정은 아래 도 8과 같다.
1단계 : 사용자는 자신의 스마트폰, 즉 사용자 단말(100)내 카메라 모듈을 이용하여 자신의 얼굴 이미지를 캡춰하여 Biometric Image 정보 Bi를 생성하고 이를 시간정보(Timestamp) Tu와 함께 서버로 전송한다(S22).
2단계 : 서버(200)는 자신의 시간정보 Ts와 클라이언트로부터 전달받은 Tu 값을 비교하여 일정한 오차범위 △T에 속할 경우 이를 받아들이고 서버(200)가 임의로 생성한 난수값 Rs 값을 이용하여 바이오메트릭 정보 기반 사용자 u의 ID값
Figure pat00001
를 생성한 후에 서버의 시간정보 Ts와 함께 {BIDu, Ts} 값을 클라이언트, 즉 사용자단말(100)에 전송한다(S24).
3단계 : 클라이언트(100)는 서버(200)로부터 전달받은 값에 대해서 Tu-Ts <△T에 속할 경우 이를 받아들이고 다음 [수학식 1]과 같이 TIDu, XIDu 및 Cu 값을 생성한다(S26).
[수학식 1]
Figure pat00002
이때, TIDu 값은 사용자 ID 정보 IDu와 자신의 카메라 모듈을 통해 캡춰한 바이오메트릭 이미지 정보 Bi 를 포함하고 있는 BIDu 값과 시간정보 Tu 값을 이용하여 생성하게 되며, XIDu 값은 사용자 IDu에 대한 패스워드 정보 PWu와 서버로부터 전달받은 BIDu 값을 이용하여 생성하게 된다. 그리고 이 두 정보를 이용하여 클라이언트(100)는 Cu = H( XIDu | TIDu | Ts )를 생성하게 된다. BIDu 값은 서버(200)가 생성한 난수값 Rs를 이용하여 생성된 일회용 바이오메트릭 ID 정보(One-Time Biometric ID)가 되는 것을 알 수 있다. 클라이언트(100)는 생성된 TIDu 값과 Cu 값을 서버(200)로 전송한다.
4단계 : 이제 서버(200)는 클라이언트(100)로 전달받은 TIDu, Cu 값을 이용하여 우선 다음과 같이
Figure pat00003
값을 생성하여 자신의 DB에 저장된 IDu 정보에 대해서 IDu == IDu* 인지를 확인하게 된다. 만일 동일한 값을 얻게 되면 클라이언트 ID 정보에 대한 유효성을 확인하게 된다(S28).
그런 다음에 서버(200)는 클라이언트(100)로 전달받은 TIDu, Cu 값을 이용하여 다음과 같이 XIDu* 와 Cu* 값을 생성하여 클라이언트에 대한 인증 과정을 수행하게 된다. XIDu* 값은 서버(200)가 자신의 DB에 저장한 PWu* 값을 이용하여 아래 [수학식 2]와 같이 생성 및 검증이 가능하다.
[수학식 2]
Figure pat00004
이제 클라이언트(100)로부터 전달받은 Cu 값과 서버(200)에서 생성된 Cu* 값을 비교하여 만일 동일한 값이 생성된다면 서버(200)는 사용자의 일회용 바이오메트릭 ID 정보인 TIDu* 값을 이용하여 챌린지 값 CH = (TIDu* | Rs | rand(Seq)) 값을 생성하여 이를 클라이언트(100)에 전송한다.
5단계 : 클라이언트(100)는 서버(200)로부터 전달받은 CH 값을 이용하여 다음 [수학식 3]과 같이 OTPu 값을 생성하고 이를 다시 서버에 전송하게 된다(S30).
[수학식 3]
OTPu = H( XIDU | CH | BIDu)
6단계 : 서버(200)는 클라이언트(100)로부터 전달받은 OTPu에 대해서 OTPu* 값을 생성하고 동일한 값이 생성되면 사용자에 대한 인증 과정을 완료하게 된다. 이와 같은 과정을 수행하는 과정에서 사용자의 IDu에 대한 패스워드 정보 PWu는 네트워크 전송 과정에서 외부로 유출되지 않으면서도 안전하게 사용자에 대한 인증 과정을 수행할 수 있다.
도 9는 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 세부구조 및 인증흐름을 구체적으로 나타낸 도면이다. 이하 도 9를 참조하여 설명한다.
도 9를 참조하면, 본 발명에 따른 얼굴 바이오메트릭 아이디 정보를 이용한 일회용 패스워드기반 사용자 인증 시스템은 바이오메트릭 정보를 생성하는 바이오메트릭 정보생성부와; 시간정보를 생성하는 시간정보 생성부; 바이오메트릭 아이디정보를 확인하는 아이디확인부; 해쉬함수를 생성하는 해쉬함수생성기; 바이오메트릭 일회용 패스워드를 생성하여 전송하는 바이오메트릭 일회용 패스워드 생성부;를 포함하는 사용자 단말과; 상기 사용자 단말로부터 전송된 바이오메트릭 아이디를 체크하는 아이디체크부; 상기 사용자 단말로부터 전송된 바이오메트릭 아이디정보를 통해 도전값을 생성하는 도전값 생성부; 상기 도전값 생성부에서 생성된 도전값을 사용자단말로 전송하는 도전값 전송부; 해쉬함수를 생성하는 해쉬함수생성기; 바이오메트릭 일회용 패스워드를 생성하는 바이오메트릭 일회용 패스워드 생성부; 상기 사용자단말로부터 전송된 바이오메트릭 일회용 패스워드값을 비교하는 바이오메트릭 일회용 패스워드값 비교부; 및 상기 사용자 단말의 바이오메트릭 아이디정보를 검증하기 위한 정보를 저장관리하는 프라이버시 데이터베이스;를 포함하는 서버;를 포함한다.
다중 인증( Multi - factor authentication ) 기능 제공
본 방법에서 제시한 기법은 의사 바이오메트릭 정보를 이용하여 OTP 방식과 접목하였기 때문에 기존의 방식보다 안전성을 높일 수 있게 되었다. 기존 OTP 방식은 OTP 토큰에 대한 실제 소유자에 대한 확인 과정이 전혀 제공되지 못하고 있다. OTP 토큰 발급시 비밀키 정보를 이용하여 패스워드를 생성하고 있으나, 실제 사용자에 대한 정보를 포함하고 있지 않아 제 3 자에 의해 사용시 이를 확인할 수 있는 방법이 제공되지 못하고 있다. 하지만 의사 바이오메트릭 정보를 사용하였기 때문에 본인 확인 기능을 향상시킬 수 있다.
스마트폰 기반 소유자 인증/확인 기능 제공
OTP 토큰에 대한 분실시 비동기화/동기화 방식 모두 분실/도난시 대응 방안을 제시하지 못하고 있다. OTP 토큰이 분실되었을 경우 원래 소유주에 대한 확인 과정이 전혀 제공되지 않고 있다. 결국 현재까지 제시된 OTP 방식은 단순히 일회용 패스워드를 생성하는 과정에만 목적을 두고 있을 뿐, OTP 기기 및 모듈에 대한 소유자 인증/확인 과정이 제공되지 못하고 있다. 이에 본 발명에서는 OTP 토큰 실제 소유자 인증을 위해 의사 바이오메트릭 이미지에 대해 변환함수를 적용하여 이를 변형시키고 이를 OTP 생성 과정에 적용하였다. 이와 같은 방식을 사용하게 되면 바이오 정보 사용시 발생하는 프라이버시 문제도 해결할 수 있으며, OTP 정보 기반 다중 인증에도 활용 가능하다는 장점이 있다.
재전송 공격 방지 기능 제공
의사 바이오메트릭 정보에 대해 변환함수 f를 적용하여 OTP 생성 과정에 사용하였기 때문에 사용자 획득 바이오메트릭 정보에 대한 프라이버시 보호 기능을 제공하면서도 일회용 패스워드를 기반으로 인증 과정을 수행할 수 있기 때문에 결국에는 재전송 공격을 방지할 수 있다. 변환함수 f 적용 과정에서 시간정보 T 값을 사용하였기 때문에 만일 공격자에 의해 재전송 공격이 수행된다 할지라도 이를 검출할 수 있다. 변환함수 f 에 포함된 ID와 PW 정보 및 시간정보를 이용하여 만일 공격가자 OTP"을 생성하였다면 이는 서버에서 생성되는 정보와 다르기 때문에 재전송 공격에 의해 발생한 일회용 패스워드 변형에 대해 검출이 가능하다.
도 10은 본 발명에 따른 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템의 구현방식의 예를 도시한 도면이다. 이하 도 10을 참조하여 설명한다.
시스템 구현 결과 및 작동방식
본 발명에서는 클라이언트 시스템으로 안드로이드 OS를 사용하였으며 서버 시스템은 SQL 서버를 사용 하였다. 안드로이드 기반의 개발환경은 JAVA JDK 1.6.x 버전, Android SDK(Software Development Kit), Eclipse galileo-SR2로 구성하였으며, SQL 서버는 MySQL 기반으로 하였다.
안드로이드 환경에서의 사용자는 사전에 서버를 통해 계정발급 받는 과정을 수행한다. 본 발명에서는 안드로이드 환경에서의 Biometric OTP 로그인을 구현하였으며 클라이언트 중심의 B-OTP 로그인 과정은 다음과 같다. 안드로이드 에뮬레이터가 실행이 되면 해당 어플리케이션이 실행이 된다. 사용자는 사전에 계정발급이 되어 있는 상태이므로 로그인을 하여 서버에 접속을 할 수 있다. 사용자는 자신의 ID/PW 기반의 개인 Privacy 정보를 입력창에 입력을 하게 되며, Login 버튼을 누르면 서버로 자신의 ID 정보와 현재 시간이 서버로 전송된다. 서버는 Privacy 데이터베이스의 테이블에서 ID 정보를 체크를 하게 되며, 유효한 ID 정보임을 확인한 서버는 클라이언트로 랜덤한 도전 값을 보내게 된다. 도전값을 수신 받은 클라이언트는 자신의 Biometric 정보를 확인할 수 있는 카메라 UI로 전환되며, 자신의 의사 바이오메트릭 정보를 Shutter 버튼을 누름으로써 획득한다. 획득된 Biometric 정보는 서버로 다시 전송되며, 서버는 응답으로 클라이언트에게 OK 메시지를 보낸다. OK 메시지를 받은 클라이언트는 자신의 Biometric 정보를 변환함수 f 값을 이용하여 역변환 불가 형태로 바이오메트릭 정보 및 해쉬 값을 생성하여 최종적으로 B-OTP 값을 생성하게 된다. 생성된 B-OTP 값은 서버로 전송되며, 서버도 클라이언트와 동일한 과정으로 B-OTP를 생성할 수 있다. 따라서 클라이언트에서 생성한 B-OTP 값과 서버에서 생성한 B-OTP 값을 비교함으로써 Biometric OTP 로그인 성공/실패를 확인할 수 있다.
100: 사용자단말
200: 서버

Claims (6)

  1. 카메라 모듈을 이용하여 캡춰한 바이오메트릭 정보를 서버로 전송하고, 서버는 임의의 난수 바이오메트릭 ID 값을 생성하는 제1 단계;
    생성된 바이오메트릭 ID는 서버의 프라이버시 DB를 통하여 유효한 ID 인지를 판단하게 되고, 유효한 바이오메트릭 ID는 사용자 단말로 전송하는 제 2 단계;
    사용자 단말에 의해 아이디(ID)와 패스워드(PW)를 포함하는 사용자가 개인정보를 입력되고 그 중 ID 정보만이 서버로 전송되는 제 3 단계;
    서버는 수신된 ID 정보가 유효한 ID이면, 난수 도전값을 생성하여 사용자 단말로 전송하는 제4 단계; 및
    사용자 단말은 자신의 바이오메트릭 정보와 서버로부터 전송받은 도전값, 자신의 PW 정보로부터 B-OTP를 생성하고 이를 다시 서버로 전송하고, 서버도 사용자 단말에서의 B-OTP과정과 동일하게 B-OTP를 생성하며, 사용자단말로부터 받은 B-OTP와 비교하여 사용자 인증을 수행하는 제 5단계;를 포함하는 것을 특징으로 하는 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법.
  2. 제 1 항에 있어서,
    상기 제1 단계에서
    사용자는 자신의 스마트폰, 즉 사용자 단말내 카메라 모듈을 이용하여 자신의 얼굴 이미지를 캡춰하여 Biometric Image 정보 Bi를 생성하고 이를 시간정보(Timestamp) Tu와 함께 서버로 전송하는 것을 특징으로 하는 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법.
  3. 제 1 항에 있어서, 상기 제2 단계에서, 서버는 자신의 시간정보 Ts와 사용자 단말로부터 전달받은 Tu 값을 비교하여 일정한 오차범위 △T에 속할 경우 이를 받아들이고 서버가 임의로 생성한 난수값 Rs 값을 이용하여 바이오메트릭 정보 기반 사용자의 ID값인 바이오메트릭 ID인
    Figure pat00005
    를 생성한 후에 서버의 시간정보 Ts와 함께 {BIDu, Ts} 값을 클라이언트, 즉 사용자단말에 전송하는 것을 특징으로 하는 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법.
  4. 제 1 항에 있어서, 상기 제 3단계에서, 사용자 단말은 서버로부터 전달받은 값에 대해서 Tu-Ts < △T에 속할 경우 이를 받아들이고 다음 [수학식 1]과 같이 TIDu, XIDu 및 Cu 값을 생성하고,생성된 TIDu 값과 Cu 값을 서버로 전송하는 것을 특징으로 하는 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법.
    [수학식 1]
    Figure pat00006

  5. 제 1 항에 있어서, 상기 4단계에서, 서버는 사용자 단말로 전달받은 TIDu, Cu 값을 이용하여
    Figure pat00007
    값을 생성하여 자신의 DB에 저장된 IDu 정보에 대해서 IDu == IDu* 인지를 확인하게 되고, 만일 동일한 값을 얻게 되면 사용자 단말의 ID 정보에 대한 유효성을 확인하게 되며, 이후 서버는 사용자 단말로 전달받은 TIDu, Cu 값을 이용하여 [수학식 2]와 같이 XIDu* 와 Cu* 값을 생성하여 사용자 단말에 대한 인증 과정을 수행하게 되며, XIDu* 값은 서버가 자신의 DB에 저장한 PWu* 값을 이용하여 아래 [수학식 2]와 같이 생성 및 검증하되, 이제 사용자 단말로부터 전달받은 Cu 값과 서버에서 생성된 Cu* 값을 비교하여 만일 동일한 값이 생성된다면 서버는 사용자의 일회용 바이오메트릭 ID 정보인 TIDu* 값을 이용하여 챌린지 값 CH = (TIDu* | Rs | rand(Seq)) 값을 생성하여 이를 사용자 단말에 전송하는 것을 특징으로 하는 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법.
    [수학식 2]
    Figure pat00008

  6. 제 1 항에 있어서, 상기 제5 단계에서, 사용자 단말은 서버로부터 전달받은 CH 값을 이용하여 다음 [수학식 3]과 같이 OTPu 값을 생성하고 이를 다시 서버에 전송하고 서버는 사용자 단말로부터 전달받은 OTPu에 대해서 OTPu* 값을 생성하고 동일한 값이 생성되면 사용자에 대한 인증 과정을 완료하게 되는 것을 특징으로 하는 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법.
    [수학식 3]
    OTPu = H( XIDU | CH | BIDu)
KR1020120147044A 2012-12-17 2012-12-17 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 KR101297118B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120147044A KR101297118B1 (ko) 2012-12-17 2012-12-17 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120147044A KR101297118B1 (ko) 2012-12-17 2012-12-17 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020110040201A Division KR101238687B1 (ko) 2011-04-28 2011-04-28 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템

Publications (2)

Publication Number Publication Date
KR20130014676A true KR20130014676A (ko) 2013-02-08
KR101297118B1 KR101297118B1 (ko) 2013-08-21

Family

ID=47894660

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120147044A KR101297118B1 (ko) 2012-12-17 2012-12-17 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법

Country Status (1)

Country Link
KR (1) KR101297118B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101500947B1 (ko) * 2013-07-18 2015-03-10 주식회사 슈프리마 생체 정보 생성 및 인증
KR20150072574A (ko) * 2013-12-20 2015-06-30 펜타시큐리티시스템 주식회사 일회용 비밀번호 생성 방법 및 이를 수행하는 장치
CN107992845A (zh) * 2017-12-14 2018-05-04 广东工业大学 一种面部识别辨伪方法及装置、计算机设备

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI566564B (zh) * 2012-04-25 2017-01-11 Samton International Development Technology Co Ltd Virtual reality authentication circuit, system and electronic consumption method
KR20200099290A (ko) 2019-02-14 2020-08-24 삼성전자주식회사 전자 장치 및 그 제어 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100876003B1 (ko) * 2007-02-14 2008-12-26 에스케이씨앤씨 주식회사 생체정보를 이용하는 사용자 인증방법
US7865937B1 (en) 2009-08-05 2011-01-04 Daon Holdings Limited Methods and systems for authenticating users
US7685629B1 (en) 2009-08-05 2010-03-23 Daon Holdings Limited Methods and systems for authenticating users

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101500947B1 (ko) * 2013-07-18 2015-03-10 주식회사 슈프리마 생체 정보 생성 및 인증
KR20150072574A (ko) * 2013-12-20 2015-06-30 펜타시큐리티시스템 주식회사 일회용 비밀번호 생성 방법 및 이를 수행하는 장치
US9621546B2 (en) 2013-12-20 2017-04-11 Penta Security Systems Inc. Method of generating one-time password and apparatus for performing the same
CN107992845A (zh) * 2017-12-14 2018-05-04 广东工业大学 一种面部识别辨伪方法及装置、计算机设备

Also Published As

Publication number Publication date
KR101297118B1 (ko) 2013-08-21

Similar Documents

Publication Publication Date Title
KR101238687B1 (ko) 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템
Jiang et al. Improvement of robust smart‐card‐based password authentication scheme
US10728027B2 (en) One-time passcodes with asymmetric keys
US10530582B2 (en) Method and device for information system access authentication
Li et al. Applying biometrics to design three‐factor remote user authentication scheme with key agreement
Jangirala et al. A multi-server environment with secure and efficient remote user authentication scheme based on dynamic ID using smart cards
US20170324729A1 (en) Method and Device for Information System Access Authentication
CN110659467A (zh) 一种远程用户身份认证方法、装置、***、终端及服务器
Archana et al. Survey on usable and secure two-factor authentication
Reddy et al. A privacy preserving three-factor authenticated key agreement protocol for client–server environment
KR101297118B1 (ko) 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법
Li et al. A robust remote user authentication scheme against smart card security breach
KR101243101B1 (ko) 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템
Gowthami et al. Secure three-factor remote user authentication for E-Governance of smart cities
Hussain et al. Secure annihilation of out-of-band authorization for online transactions
Nam et al. Security analysis of a nonce-based user authentication scheme using smart cards
CN115550002B (zh) 一种基于tee的智能家居远程控制方法及相关装置
Wu et al. A secure strong-password authentication protocol
Lee et al. Design of a simple user authentication scheme using QR-code for mobile device
Kaur et al. A comparative analysis of various multistep login authentication mechanisms
KR101310043B1 (ko) 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 방법
Quan et al. Cryptanalysis and improvement of a biometric and smart card based remote user authentication scheme
Albazar et al. An Adaptive Two-Factor Authentication Scheme Based on the Usage of Schnorr Signcryption Algorithm
Jang et al. User-Oriented Pseudo Biometric Image Based One-Time Password Mechanism on Smart Phone
Sharma et al. A robust multi-factor remote user authentication scheme for cloud-IoT services

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160721

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170725

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180724

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190805

Year of fee payment: 7