CN107026844B - 强化了安全性的用户认证方法 - Google Patents
强化了安全性的用户认证方法 Download PDFInfo
- Publication number
- CN107026844B CN107026844B CN201611256066.2A CN201611256066A CN107026844B CN 107026844 B CN107026844 B CN 107026844B CN 201611256066 A CN201611256066 A CN 201611256066A CN 107026844 B CN107026844 B CN 107026844B
- Authority
- CN
- China
- Prior art keywords
- key
- user
- authentication key
- extraction
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及强化了安全性的用户认证方法,本发明的用户认证方法包括:如果从用户输入个人密码,则生成第一共同认证密钥并提供给所述认证服务器,所述认证服务器把所述第一共同认证密钥匹配于用户信息进行登记的步骤;如果从用户端输入个人密码,则所述用户终端实时生成第二共同认证密钥,所述认证服务器生成服务器认证密钥,以所述服务器认证密钥为演算密钥进行一次性密码演算,生成第一服务器认证信息,所述用户终端生成用户认证密钥,以所述用户认证密钥为演算密钥进行一次性密码演算,生成第一用户认证信息的步骤;所述认证服务器根据认证信息的一致与否而执行用户认证的步骤。
Description
技术领域
本发明涉及强化了安全性的用户认证方法,更具体而言,涉及一种从认证机构立场而言,无需管理用户的密码,从用户立场而言,能够容易地更换密码,能够判别认证站点的真伪与否,通过多重认证强化了安全性的用户认证方法。
背景技术
在现代社会,与面对面接触相比,通过在线环境实现金融交易或需要各种用户认证的业务正在普遍化。与面对面接触相比,在线上的用户认证需要更慎重进行,大部分情形要求在用户终端中安装包括ActiveX及键盘安全程序等的各种安全程序或控制程序,通过公认认证书或安全卡、OTP装置等安全装置来强化安全性,防范信息泄露。
代为代表性用户认证方法之一的OTP(One Time Password,一次性密码)装置,预先向用户提供内置了固有密钥的OTP装置,当用户接入电子金融交易网,向认证服务器(金属机构的服务器)要求认证时,以所述固有密钥作为演算密钥,根据与当前时间关联的乱数,生成OTP号码,用户以生成的OTP号码为密码,手动输入并传送给认证服务器,以该方式认证为真正的用户。
但是,在用户与多家金融机构交易的情况下,需分别具备各金融机构提供的多个OTP认证装置,因此,消费者应另行购买各金融机构的OTP认证装置,存在需要持有多个OTP认证装置的不便,还存在需在多个OTP认证装置中逐一查找特定金融机构用认证装置的不便。
另外,由于用户无法任意更换OTP装置的固有密钥,因而当OTP装置丢失时,需直接访问金融机构并重新获得发放等,不便较多。而且,金融机构在客户的OTP装置的固有密钥泄露时,向所有顾客重新发放OTP装置等,存在需要巨大费用和时间的问题。
另一方面,在用户通过指定的密码进行认证或登录的情况下,相关服务器等需登记、存储及管理用户的密码,从用户立场而言,需认知密码,要求定期变更,以防泄露,因而存在管理不便的问题。
而且,随着黑客技术的发展,因屏幕捕获、肩窥攻击(shoulder surfing attack)、屏幕监视等屏幕黑客技术或因PC中安装的软件(spyware)等而导致公认认证书或密码等泄露等,信息泄露多种多样,即使是加密的密码,对于专业的黑客而言,经过某种程度的努力也可能解密,因而就用户认证所需的流程而言,在对用户追求便利性的同时,还需要强化安全性。
【现有技术文献】
【专利文献】
(专利文献1)大韩民国注册专利第10-1270941号(2013.05.29.)
发明内容
本发明要解决的技术问题
因此,本发明的目的在于提供一种能够克服所述以往问题的强化了安全性的用户认证方法。
本发明的另一目的在于,提供一种用户认证流程简便、能够强化安全性的用户认证方法。
本发明的又一目的在于,提供一种用户可以判断认证所需的认证机构、认证服务器等的真伪与否的用户认证方法。
本发明的又一目的在于,提供一种认证机构或认证服务器不管理用户的密码,也能够进行认证,能够利用与时间相联系的多重要素强化安全性的用户认证方法。
技术方案
根据旨在达成所述技术课题一部分的本发明的具体化,本发明的利用用户终端和认证服务器的用户认证方法包括:第一步骤,如果从用户输入用户注册所需的个人密码,则所述用户终端组合所述个人密码及所述用户终端的机械性固有密钥而生成加密的第一共同认证密钥,并提供给所述认证服务器,所述认证服务器把所述第一共同认证密钥匹配于用户信息并进行登记;第二步骤,所述认证服务器组合内置的认证机构的固有密钥和所述第一共同认证密钥而生成加密的服务器认证密钥,以所述服务器认证密钥为演算密钥进行一次性密码(OTP:One Time Password)演算,生成第一服务器认证信息,如果为了认证而从用户输入所述个人密码,则所述用户终端实时组合所述个人密码及所述用户终端的机械性固有密钥而生成加密的第二共同认证密钥,组合从所述认证服务器预先提供的认证机构的固有密钥和所述第二共同认证密钥而生成加密的用户认证密钥,以所述用户认证密钥为演算密钥,进行一次性密码演算,生成第一用户认证信息;第三步骤,根据所述第一服务器认证信息和所述第一用户认证信息的一致与否而执行用户认证,或执行判断所述认证服务器的真伪与否的认证服务器认证。
在所述第一共同认证密钥或所述第二共同认证密钥中,从所述用户终端的机械性固有密钥或用户电话号码按既定基准提取的提取值可以进一步添加为构成要素。
在所述第一步骤中,所述用户终端在生成所述第一共同认证密钥时,可以从所述用户终端的机械性固有密钥中,根据既定基准依次提取m个(m为任意自然数)提取值,生成与此对应的m个共同认证密钥,传送给所述认证服务器,所述认证服务器把所述m个共同认证密钥中根据预先确定的基准选择的共同认证密钥登记为所述第一共同认证密钥,在所述第二步骤中,所述用户终端在生成所述第二共同认证密钥时,可以在从所述用户终端的机械性固有密钥根据既定基准依次提取的m个(m为任意自然数)提取值中,选择具有与所述第一共同认证密钥对应的顺序值的提取值并包含在内,由此生成所述第二共同认证密钥。
在所述用户认证密钥中,从所述第二共同认证密钥中根据既定基准提取的提取值进一步添加为构成要素,在所述服务器认证密钥中,从所述第一共同认证密钥根据既定基准提取的提取值可以进一步添加为构成要素,在用于生成所述第一用户认证信息的演算密钥中,从所述用户认证密钥中根据既定基准提取的提取值可以进一步添加为构成要素,在用于生成所述第一服务器认证信息的演算密钥中,从所述服务器认证密钥中根据既定基准提取的提取值可以进一步添加为构成要素。
所述第三步骤可以包括:认证服务器认证步骤,所述用户终端比较所述第一服务器认证信息与所述第一用户认证信息,判别所述认证服务器的真伪与否;或用户认证步骤,所述认证服务器比较所述第一服务器认证信息与所述第一用户认证信息,执行用户认证。
所述第二步骤可以还包括:所述用户终端测量作为按1/n(n为任意的正实数)秒(second)测量用户输入认证所需个人密码需要的时间的时间值的间隙时间值,并传送给所述认证服务器的步骤;在所述第二步骤与第三步骤之间或所述第三步骤之后可以还包括如下步骤:所述用户终端利用在所述间隙时间值或作为从所述间隙时间值根据既定基准提取的数字值的间隙时间密钥中,进一步添加在所述第一用户认证信息、从所述第一用户认证信息根据既定基准提取的提取值、所述用户认证密钥、从所述用户认证密钥根据既定基准提取的提取值、所述第二共同认证密钥,及从第二共同认证密钥根据既定基准提取的提取值中选择的至少一者作为构成要素而组合的演算密钥,进行一次性密码演算,生成第二用户认证信息,所述认证服务器利用在所述间隙时间值或作为从所述间隙时间值根据既定基准提取的数字值的间隙时间密钥中,添加在所述第一服务器认证信息、从所述第一服务器认证信息根据既定基准提取的提取值、所述服务器认证密钥、从所述服务器认证密钥根据既定基准提取的提取值、所述第一共同认证密钥,及从第一共同认证密钥根据既定基准提取的提取值中选择的至少一者作为构成要素而组合的演算密钥,进行一次性密码演算,与所述第二用户认证信息对应地生成第二服务器认证信息;在所述第三步骤之后可以还包括:判断所述第二用户认证信息与所述第二服务器认证信息的一致与否并执行用户认证的步骤。
当把从所述个人密码输入所需的输入窗口在画面上显示的时间点至所述个人密码的首位值输入的时间点的时间区间定义为第一时间区间,把从所述个人密码的末位值输入的时间点至告知所述个人密码输入完成的输入键或回车键的信号输入的时间点的时间区间定义为第二时间区间时,所述间隙时间值可以为从所述第一时间区间中某一时间点至所述第二时间区间中某一时间点的时间测量值。
所述第二用户认证信息可以利用在所述间隙时间值或所述间隙时间密钥中,组合了从所述第一用户认证信息和所述用户认证密钥根据既定基准提取的提取值的演算密钥,进行一次性密码演算而生成,所述第二服务器认证信息可以利用在所述间隙时间值或所述间隙时间密钥中,组合了从所述第一服务器认证信息和所述服务器认证密钥根据既定基准提取的提取值的演算密钥,进行一次性密码演算而生成。
所述第二用户认证信息可以利用在所述间隙时间值或所述间隙时间密钥中,组合了从所述用户认证密钥和所述用户认证密钥根据既定基准提取的提取值的演算密钥,进行一次性密码演算而生成,所述第二服务器认证信息可以利用在所述间隙时间值或所述间隙时间密钥中,组合了从所述服务器认证密钥和所述服务器认证密钥根据既定基准提取的提取值的演算密钥,进行一次性密码演算而生成。
根据旨在达成所述技术课题一部分的本发明的另一具体化,本发明的用户认证方法包括:第一步骤,如果从用户通过用户终端输入用户注册所需的个人密码,则所述用户终端组合所述个人密码及所述用户终端的机械性固有密钥而生成加密的第一共同认证密钥,提供给认证服务器,所述认证服务器把所述第一共同认证密钥匹配于用户信息并进行登记;第二步骤,所述认证服务器组合内置的认证机构的固有密钥和所述第一共同认证密钥而生成加密的服务器认证密钥,利用在作为按1/n(n为任意的正实数)秒(second)单位测量输入所述个人密码需要的时间的时间值的间隙时间值或作为从所述间隙时间值中根据既定基准提取的数字值的间隙时间密钥中,组合了所述服务器认证密钥的演算密钥,进行一次性密码演算,生成服务器认证信息,如果为了认证而从用户输入所述个人密码,则所述用户终端测量所述间隙时间值并传送给所述认证服务器,实时组合所述个人密码及所述用户终端的机械性固有密钥而生成加密的第二共同认证密钥,组合从所述认证服务器预先提供的认证机构的固有密钥和所述第二共同认证密钥而生成加密的用户认证密钥,利用在所述间隙时间值或所述间隙时间密钥中组合所述用户认证密钥的演算密钥,进行一次性密码演算,生成用户认证信息;第三步骤,根据所述服务器认证信息与所述用户认证信息的一致与否而执行用户认证。
当把从所述个人密码输入所需的输入窗口在画面上显示的时间点至所述个人密码的首位值输入的时间点的时间区间定义为第一时间区间,把从所述个人密码的末位值输入的时间点至告知所述个人密码输入完成的输入键或回车键的信号输入的时间点的时间区间定义为第二时间区间时,所述间隙时间值可以为在所述第一时间区间中选择的某一时间点至在所述第二时间区间中选择的某一时间点的时间测量值。
在所述第一共同认证密钥或所述第二共同认证密钥中,可以分别进一步添加从所述用户终端的机械性固有密钥或用户电话号码中根据既定基准提取的提取值作为构成要素。
在所述第一步骤中,所述用户终端在生成所述第一共同认证密钥时,可以从所述用户终端的机械性固有密钥中,根据既定基准依次提取m个(m为任意自然数)提取值,生成与此对应的m个共同认证密钥,传送给所述认证服务器,所述认证服务器把所述m个共同认证密钥中根据预先确定的基准选择的共同认证密钥登记为第一共同认证密钥,在所述第二步骤中,所述用户终端在生成所述第二共同认证密钥时,可以在从所述用户终端的机械性固有密钥中根据既定基准依次提取的m个(m为任意自然数)提取值中,选择具有与所述第一共同认证密钥对应的顺序值的提取值并包含在内,由此生成所述第二共同认证密钥。
在所述用户认证密钥中,从所述第二共同认证密钥中根据既定基准提取的提取值可以进一步添加为构成要素,在所述服务器认证密钥中,从所述第一共同认证密钥根据既定基准提取的提取值可以进一步添加为构成要素,在用于生成所述用户认证信息的演算密钥中,从所述用户认证密钥根据既定基准提取的提取值可以进一步添加为构成要素,在用于生成所述服务器认证信息的演算密钥中,从所述服务器认证密钥根据既定基准提取的提取值可以进一步添加为构成要素。
根据旨在达成所述技术课题一部分的发明的又一具体化,本发明的用户认证方法的特征在于,利用作为按1/n(n为任意的正实数)秒(second)单位测量输入所述个人密码需要的时间的时间值的间隙时间值和所述个人密码,生成用户认证所需的认证信息,利用所述认证信息执行用户认证。
当把从所述个人密码输入所需的输入窗口在画面上显示的时间点至所述个人密码的首位值输入的时间点的时间区间定义为第一时间区间,把从所述个人密码的末位值输入的时间点至告知所述个人密码输入完成的输入键或回车键的信号输入的时间点的时间区间定义为第二时间区间时,所述间隙时间值可以为在所述第一时间区间中选择的某一时间点至在所述第二时间区间中选择的某一时间点的时间测量值。
有益效果
根据本发明,具有在密码或其他个人信息泄露时能够简便地应对,安全性得到强化,能够轻松进行用户认证的优点。另外,能够检查认证所需的认证服务器、认证机构、Web站点等的真伪与否,具有能够实现可确保完整性及唯一性的用户认证的优点。
附图说明
图1是本发明一个实施例的用户认证方法中使用的认证装置的简略概念图,
图2显示了本发明第一实施例的用户认证方法的顺序图,
图3显示了本发明第二实施例的用户认证方法的顺序图,
图4显示了本发明第三实施例的用户认证方法的顺序图。
符号说明
100:用户终端 200:认证服务器
具体实施方式
下面,本发明的优选实施例提供用于帮助本发明所属技术领域的技术人员彻底理解本发明,除此之外别无它意,将参照附图进行详细说明。
图1是本发明一个实施例的用户认证方法中使用的认证装置500的简略概念图。
如图1所示,用于本发明一个实施例的用户认证方法的认证装置500具备用户终端100及认证服务器200。
所述用户终端100与所述认证服务器200通过有线无线互联网相互连接,在所述用户终端100中,安装有所述认证服务器200提供的用户认证所需专用应用程序(以下称为“专用程序”)。所述用户终端100可以是包括智能手机、平板电脑、PDA等在内的普通技术人员熟知的移动终端。另外,可以包括台式计算机、笔记本电脑、瘦客户机(thin client)用终端、零配置(zero-client)用终端等。其中,瘦客户机(thin client)用终端是指设计成在只搭载CPU、存储器等必需硬件装置的状态下,在通过网络连接的中央服务器中管理所有业务的业务用终端。所述零配置(zero client)用终端是指连存储器等必需的要素也全部去除,不需要PC主机本身,使所有业务在服务器中处理,只执行连接服务器的终端的作用。
在本发明中,所述用户终端100指称用户可以使用的能有线无线通信的所有终端,但在需要特别区分的情况下,包括智能手机、平板电脑、PDA等的移动终端指称第一用户终端,台式计算机、笔记本电脑、瘦客户机(thin client)用终端、零配置(zero-client)用终端等指称第二用户终端,且附图符号使用相同的符号“100”。
所述认证服务器200一般而言可以包括金融机构等认证机构用于用户认证等认证流程的服务器,可以包括其他普通技术人员熟知的认证服务器。
需要指出的是,以下使用的用于认证的认证号码、密码等号码、固有密钥、认证密钥、认证信息等,是文字、特殊字符、数字、各种符号等组成而成的,不只单纯意味着数字的组合,既可以意味着加密的,也可以意味着未加密的。
另外,下面所述用户终端100执行的各种构成可以是借助于用户终端100中安装的专用程序而执行的构成。因此,如果说借助于所述用户终端100而执行,那么,也可以意味着借助于所述用户终端100中安装的专用程序而执行。
另外,在本发明中,术语“既定基准”使用较多,既定基准这一术语,是有某种基准或预先确定的基准的意义,即使同一术语使用多次,也并非意味着具有相互相同的基准。因此,在本发明中使用的术语既定基准,即使在多次使用的情况下,除特别明示为相同基准的情形之外,不意味着相互相同的基准。例如,当存在“从第一共同认证密钥根据既定基准提取”的记载和“从服务器认证密钥根据既定基准提取”的记载时,并非意味着从第一共同认证密钥进行提取的既定基准和从服务器认证密钥进行提取的既定基准是相互相同的基准。此时,基准虽然可以相同,但一般具有互不相同的基准。
下面将以用户终端100及认证服务器200为基本构成,说明本发明的用户认证方法的各实施例。
图2是显示本发明第一实施例的用户认证方法的顺序图。
如图2所示,本发明第一实施例的用户认证方法可以从用户为了通过用户终端100进行用户登记而下载并安装所述专用程序开始。用户登记既可以在所述专用程序的安装过程中执行,也可以在所述专用程序的安装之后,通过另外的用户登记过程执行。
首先,如果用户为了用户登记而通过所述用户终端100输入用户信息和个人密码S102,则所述用户终端100组合用户输入的所述个人密码及所述用户终端100的机械性固有密钥而生成加密的第一共同认证密钥S104。其中,所述用户终端100的机械性固有密钥例如可以包括序列号或USIM(全球用户身份模块)号码等,此外,可以包括为了区分所述用户终端而赋予的各种固有号码等。
所述第一共同认证密钥可以进一步添加从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准提取的提取值作为构成要素。即,所述第一共同认证密钥也可以是借助于组合了所述个人密码、所述用户终端100的机械性固有密钥及从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准提取的提取值并加密而生成的。从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准提取的提取值,例如从具有由多个数字的罗列结构的所述用户终端的机械性固有密钥或所述用户电话号码中,根据作为预先确定的基准的既定基准(例如,从首位起提取第偶数或奇数位值并依次罗列,或提取偶数并罗列,或提取奇数并罗列,或在各个位值基础上加上或减去特定数字并罗列等的基准)而提取。
所述第一共同认证密钥可以生成为哈希(hash)密码值形态,此外,也可以利用普通技术人员熟知的加密技术进行加密而生成。
所述用户终端100把所述第一共同认证密钥与所述用户信息一同传送给所述认证服务器200、S106。
所述认证服务器200把所述用户终端100传送的所述第一共同认证密钥匹配于所述用户信息,与所述用户信息一同登记及存储S202。据此执行用户登记流程。
以往的情形,如果执行用户登记,则通常在认证服务器中存储个人密码,但本发明第一实施例的情形,不在所述认证服务器200或用户终端100中存储密码,在所述认证服务器200中,只存储所述第一共同认证密钥。因此,在用户忘记或泄露个人密码的情况下,可以通过新登记流程,把包括新密码的第一共同认证密钥传送给所述认证服务器200进行登记,就认证机构而言,在所述第一共同认证密钥因黑客攻击等而泄露的情况下,变换从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准进行提取的提取值提取基准,生成新的第一共同认证密钥,借助于登记新生成的第一共同认证密钥而可以简单地应对。
然后,所述认证服务器200可以借助于组合了内置的认证机构的固有密钥和所述第一共同认证密钥并进行加密而首先生成服务器认证密钥,以所述服务器认证密钥为演算密钥,进行一次性密码演算,生成以时间值同步的第一服务器认证信息S204。所述第一服务器认证信息可以在所述第一共同认证密钥的登记之后,与其他流程无关地独立生成。即,所述第一服务器认证信息在从所述第一共同认证密钥的登记之后起至后述第一用户认证信息生成时的时间内生成即可。而且,在把所述第一服务器认证信息传送给所述用户终端100的情况下,既可以生成并即时传送,也可以在需要的时间点传送。
所述用户终端100为了认证而从用户输入所述个人密码后S108,实时组合所述个人密码及所述用户终端100的机械性固有密钥而生成加密的第二共同认证密钥S110。所述第二共同认证密钥可以生成为哈希(hash)密码值形态,此外,也可以利用普通技术人员熟知的加密技术进行加密而生成。
此时,在作为所述第一共同认证密钥的构成要素而包括从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准提取的提取值的情况下,在生成所述第二共同认证密钥时,还包含根据在生成所述第一共同认证密钥时应用的相同基准,从所述用户终端100的机械性固有密钥或所述用户电话号码提取的提取值。即,所述第二共同认证密钥的生成方式可以与所述第一共同认证密钥的生成方式相同。
不同于此,所述第一共同认证密钥及所述第二共同认证密钥也可以以不同于上述内容的方法生成。
作为一个示例,为了生成所述第一共同认证密钥,所述用户终端100可以从所述用户终端100的机械性固有密钥或用户电话号码,根据既定基准依次提取m个(m为任意自然数)提取值,在这些提取值上分别组合所述个人密码及所述用户终端100的机械性固有密钥,生成对应的m个共同认证密钥。然后,所述用户终端100把m个共同认证密钥传送给所述认证服务器200。
所述认证服务器200在所述m个共同认证密钥中,根据预先确定的基准选择一个,登记为第一共同认证密钥。例如,如果在所述认证服务器200中有在所述提取值中选择与第一提取值对应的共同认证密钥并登记为所述第一共同认证密钥的基准,那么,只要没有特别的问题,与第一提取值对应的共同认证密钥登记为第一共同认证密钥。但是,在为了其他认证或其他人的认证而在所述认证服务器200中已登记的认证密钥中,如果有与所述共同认证密钥重复的认证密钥,则为了排除重复,可以选择与相应于所述共同认证密钥中下个顺序或下个次数的第二提取值对应的共同认证密钥,登记为所述第一共同认证密钥。如果在与第二提取值对应的共同认证密钥的情况下也存在重复,则选择与不存在重复的顺序的提取值对应的共同认证密钥,登记为所述第一共同认证密钥。
此外,在有其他基准的情况下,根据该基准选择的共同认证密钥登记为所述第一共同认证密钥。例如,在使得生成十个共同认证密钥并选择与第五顺序的提取值对应的共同认证密钥的情况下,可以选择其并登记为第一共同认证密钥。在有重复的情况下,可以选择与下一顺序的提取值对应的共同认证密钥,或在有其他基准的情况下,可以根据该基准进行选择并登记为第一共同认证密钥。
然后,所述认证服务器200把登记的所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息提供给所述用户终端100。在有预先约定的选择基准的情况下或所述用户终端100可以获知所述第一共同认证密钥的顺序值信息的情况下,可以省略所述顺序值信息或关于所述顺序值的计算信息的传送过程。
在所述认证服务器200把所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息传送给所述用户终端100的情况下,既可以将所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息包含于所述第一服务器认证信息进行传送,也可以另行传送。
其中,在把所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息包含于所述第一服务器认证信息进行传送的情况下,所述第一服务器认证信息应在所述用户终端100生成所述第二共同认证密钥之前传送给所述用户终端100。
所述第一共同认证密钥的顺序值信息可以意味着关于所述认证服务器200中登记的第一共同认证密钥是与m个共同认证密钥中第几提取值对应的共同认证密钥的信息,或所述第一共同认证密钥中包含的提取值在所述m个(m为任意自然数)提取值中的顺序信息。
此时,所述用户终端100为了生成所述第二共同认证密钥,可以从所述用户终端100的机械性固有密钥或用户电话号码中,根据既定基准(与所述生成共同认证密钥时应用的基准相同的基准)依次提取m个(m为任意自然数)提取值,在所述提取值中选择与所述认证服务器200提供的所述顺序值对应的提取值,生成所述第二共同认证密钥。
不同于此,也可以从所述用户终端100的机械性固有密钥或用户电话号码中,根据既定基准提取与所述顺序值对应的提取值并生成所述第二共同认证密钥。因此,所述第二共同认证密钥可以在所述个人密码及所述用户终端100的机械性固有密钥中,包含与所述顺序值对应的提取值作为添加构成要素而生成。
然后,所述用户终端100利用所述第二共同认证密钥,生成第一用户认证信息S112。对于与所述第一用户认证信息对应的所述第一服务器认证信息的生成,已经作过说明。
所述用户终端100借助于组合了认证机构的固有密钥和所述第二共同认证密钥进行加密而首先生成用户认证密钥,以所述用户认证密钥为演算密钥,进行一次性密码演算,由此可以生成以时间值同步的第一用户认证信息。其中,认证机构的固有密钥可以在所述专用程序安装时内置提供,或在认证流程公开前通过更新升级等而提供。
其中,也可以是在所述用户认证密钥中,进一步添加从所述第二共同认证密钥根据既定基准而提取的提取值作为构成要素,还可以是在所述服务器认证密钥中,进一步添加从所述第一共同认证密钥中根据既定基准而提取的提取值作为构成要素。此时,在所述用户认证密钥中添加的所述第二共同认证密钥的提取值和在所述服务器认证密钥中添加的所述第一共同认证密钥的提取值,是根据相同基准而从第一共同认证密钥或第二共同认证密钥提取的提取值。
而且,在用于生成所述第一用户认证信息的演算密钥中,可以进一步添加从所述用户认证密钥中根据既定基准而提取的提取值作为构成要素,在用于生成所述第一服务器认证信息的演算密钥中,可以进一步添加从所述服务器认证密钥中根据既定基准而提取的提取值作为构成要素。此时,从所述用户认证密钥提取的提取值和从所述服务器认证密钥中提取的提取值是根据相互相同的基准而提取的提取值。这当然是因为以所述第一用户认证信息和所述第一服务器认证信息的生成方式应相互相同、结果值一致为原则。
然后,如果所述第一用户认证信息通过所述用户终端100传送给所述认证服务器200、S114,则所述认证服务器200根据认证信息的一致与否,即,根据所述第一用户认证信息与所述第一服务器认证信息的一致与否而执行用户认证S206。所述第一用户认证信息既可以由用户手动输入并传送,也可以使得自动传送,还可以根据用户的传送指示而使得自动传送。
其中,所述用户终端100可以使用与所述认证服务器200连接的一个或多个用户终端。例如,可以利用第一用户终端100进行第一共同认证密钥等的登记流程,利用第二用户终端100进行认证流程,也可以是相反的情形。另外,在认证流程的情况下,第一用户认证信息可以通过所述第一用户终端100生成,所述第一用户认证信息的输入或传送可以通过所述第二用户终端100执行。此外,在多样的流程中,可以使用多个用户终端100。
而且,通过用户在用户终端100中比较所述第一用户认证信息和所述第一服务器认证信息,可以确认所述认证服务器200的真伪与否、连接于认证服务器200的接入网页的真伪与否或提供认证服务的服务提供商或认证机构的真伪与否。以往,尽管谎称是认证机构并与认证机构的接入网页类似地构成而使用户混同的案例很多,但事实上对此却没有恰当的对策。在本发明中,为了解决这种问题,用户可以确认认证机构(或服务提供商)的真伪与否。
为此,当生成所述第一服务器认证信息时,使得所述认证服务器200通过所述接入网页显示所述第一服务器认证信息,或传送给所述用户终端100、S205。所述第一服务器认证信息显示或传送后,所述用户终端100将其与所述第一用户认证信息进行比较,由此可以判别真伪与否,判别所述认证服务器200是否为真正的认证服务器、所述接入网页是否为真的S116。即,可以确认所述认证服务器200的真伪与否、连接于认证服务器200的接入网页的真伪与否或提供认证服务的服务提供商或认证机构的真伪与否。
其中,在所述第一服务器认证信息为在所述第二共同认证密钥生成前预先传送到所述用户终端100的状态的情况下,无需再传送或另行传送,利用预先传送的所述第一服务器认证信息执行认证服务器认证。
在本发明的第一实施例中,如果在所述用户终端100中比较所述第一服务器认证信息及所述第一用户认证信息,则通过一致与否,能够进行判别认证机构或认证服务器200真伪与否的认证机构认证或认证服务器认证,如果在所述认证服务器200中比较所述第一服务器认证信息及所述第一用户认证信息,则通过一致与否,能够进行用户认证。
其中,所述认证服务器的认证流程S205、S116和所述用户认证流程S114、S206既可以同时执行,也可以在先执行所述认证服务器的认证流程S205、S116后,如果确认认证,则执行所述用户认证流程S114、S206。
图3是显示本发明第二实施例的用户认证方法的顺序图。
如图3所示,本发明第二实施例的用户认证方法可以从用户为了通过用户终端100进行用户登记而下载安装所述专用程序开始。用户登记既可以在所述专用程序的安装过程中执行,也可以在所述专用程序安装之后,通过另外的用户登记过程执行。
首先,如果用户为了用户登记而通过所述用户终端100输入用户信息和个人密码S122,那么,所述用户终端100组合用户输入的所述个人密码及所述用户终端100的机械性固有密钥而生成加密的第一共同认证密钥S124。其中,所述用户终端100的机械性固有密钥例如可以包括序列号或USIM号码等,此外,可以包括为了区分所述用户终端而赋予的各种固有号码等。
所述第一共同认证密钥可以进一步添加从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准提取的提取值作为构成要素。即,所述第一共同认证密钥也可以借助于组合了所述个人密码、所述用户终端100的机械性固有密钥及从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准提取的提取值并加密而生成。从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准提取的提取值,例如从具有由多个数字的罗列结构的所述用户终端的机械性固有密钥或所述用户电话号码中,根据作为预先确定的基准的既定基准(例如,从首位起提取第偶数或奇数位值并依次罗列,或提取偶数并罗列,或提取奇数并罗列,或在各个位值基础上加上或减去特定数字并罗列等的基准)而提取。
所述第一共同认证密钥可以生成为哈希(hash)密码值形态,此外,也可以利用普通技术人员熟知的加密技术加密生成。
所述用户终端100把所述第一共同认证密钥与所述用户信息一同传送给所述认证服务器200、S126。
所述认证服务器200把所述用户终端100传送的所述第一共同认证密钥匹配于所述用户信息,与所述用户信息一同登记及存储S222。据此执行用户登记流程。
以往的情形,如果执行用户登记,则通常在认证服务器中存储个人密码,但本发明第一实施例的情形,不在所述认证服务器200或用户终端100中存储密码,在所述认证服务器200中,只存储所述第一共同认证密钥。因此,在用户忘记或泄露个人密码的情况下,可以通过新登记流程,把包括新密码的第一共同认证密钥传送给所述认证服务器200进行登记,就认证机构而言,在所述第一共同认证密钥因黑客攻击等而泄露的情况下,变换从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准进行提取的提取值的提取基准,生成新的第一共同认证密钥,借助于登记新生成的第一共同认证密钥而可以简单地应对。
然后,所述认证服务器200可以借助于组合了内置的认证机构的固有密钥和所述第一共同认证密钥并进行加密而首先生成服务器认证密钥,以所述服务器认证密钥为演算密钥,进行一次性密码演算,生成以时间值同步的第一服务器认证信息S223。所述第一服务器认证信息可以在所述第一共同认证密钥的登记之后,与其他流程无关地独立生成。即,所述第一服务器认证信息在从所述第一共同认证密钥的登记之后至后述第一用户认证信息生成时的时间内生成即可。
另外,在需要所述用户终端100传送所述第一服务器认证信息的情况下,传送时间点可以根据需要而变化。既可以生成并即时传送,也可以设置为在需要的时间点传送。在图3中,图示了第一服务器认证信息生成并即时传送,所述第一服务器认证信息可以生成并即时直接传送给所述用户终端100、S225。此外,所述第一服务器认证信息也可以在其他时间点传送。例如,所述第一服务器认证信息也可以接近所述第一用户认证信息生成时间点传送,或在所述第一用户认证信息生成之后传送。
如果所述用户终端100为了认证而从用户通过所述用户终端100输入所述个人密码S128,那么,所述用户终端100测量间隙时间(gap time)值S128。测量的所述间隙时间值还传送给所述认证服务器200、S130。
所述间隙时间值可以意味着按1/n(n为任意的正实数)秒(second)单位测量用户输入认证所需个人密码需要的时间的时间值。其中,1/n秒可以意味着在所述用户终端100的硬件或软件上可拆分范围的时间单位。例如,将个人密码从首位值输入至末位值,用秒单位,可以表现为需要10秒,但在按1/1000秒单位测量的情况下,可以获得10436等测量值。或者,当以1/1000000秒单位或1/1000000000秒单位进行测量时,将获得包含大量数字的测量值。
其中,当把从用于输入所述个人密码的输入窗口在画面中显示的时间点至所述个人密码的首位值输入的时间点的时间区间定义为第一时间区间,把从所述个人密码的末位值输入的时间点至告知所述个人密码输入完成的输入键(或回车键)的信号输入的时间点的时间区间定义为第二时间区间时,所述间隙时间值可以为从所述第一时间区间中某一时间点至所述第二时间区间中某一时间点的时间测量值。
从所述用户终端100传送了所述间隙时间值后,所述认证服务器200将其与所述用户信息、所述第一共同认证密钥等匹配,并进行存储及登记S227。
随着所述个人密码的输入,所述用户终端100实时组合所述个人密码及所述用户终端100的机械性固有密钥而生成加密的第二共同认证密钥S132。所述第二共同认证密钥可以生成为哈希(hash)密码值形态,此外,也可以利用普通技术人员熟知的加密技术加密生成。
此时,在作为所述第一共同认证密钥的构成要素而包括从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准提取的提取值的情况下,在生成所述第二共同认证密钥时,也还包含根据在生成所述第一共同认证密钥时应用的相同基准,从所述用户终端100的机械性固有密钥或所述用户电话号码中提取的提取值。即,所述第二共同认证密钥的生成方式可以与所述第一共同认证密钥的生成方式相同。
不同于此,所述第一共同认证密钥及所述第二共同认证密钥也可以以不同于上述内容的方法生成。
作为一个示例,为了生成所述第一共同认证密钥,所述用户终端100可以从所述用户终端100的机械性固有密钥或用户电话号码中,根据既定基准依次提取m个(m为任意自然数)提取值,在这些提取值上分别组合所述个人密码及所述用户终端100的机械性固有密钥,生成对应的m个共同认证密钥。然后,所述用户终端100把m个共同认证密钥传送给所述认证服务器200。
所述认证服务器200在所述m个共同认证密钥中,根据预先确定的基准选择一个,登记为第一共同认证密钥。例如,如果在所述认证服务器200中有在所述提取值中选择与第一提取值对应的共同认证密钥并登记为所述第一共同认证密钥的基准,那么,只要没有特别的问题,与第一提取值对应的共同认证密钥登记为第一共同认证密钥。但是,在为了其他认证或其他人的认证而在所述认证服务器200已登记的认证密钥中如果有与所述共同认证密钥重复的认证密钥,则为了排除重复,可以选择与相应于所述共同认证密钥中下个顺序或下个次数的第二提取值对应的共同认证密钥,登记为所述第一共同认证密钥。如果在与第二提取值对应的共同认证密钥的情况下也存在重复,则选择与不存在重复的顺序的提取值对应的共同认证密钥,登记为所述第一共同认证密钥。
此外,在有其他基准的情况下,根据该基准选择的共同认证密钥登记为所述第一共同认证密钥。例如,在使得生成十个共同认证密钥并选择与第五顺序的提取值对应的共同认证密钥的情况下,可以选择其并登记为第一共同认证密钥。在有重复的情况下,可以选择与下一顺序的提取值对应的共同认证密钥,或在有其他基准的情况下,可以根据该基准进行选择并登记为第一共同认证密钥。
然后,所述认证服务器200把登记的所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息提供给所述用户终端100。在有预先约定的选择基准的情况下或所述用户终端100可以获知所述第一共同认证密钥的顺序值信息的情况下,可以省略所述顺序值信息或关于所述顺序值的计算信息的传送过程。
在所述认证服务器200把所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息传送给所述用户终端100的情况下,既可以将所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息包含于所述第一服务器认证信息进行传送,也可以另行传送。
其中,在把所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息包含于所述第一服务器认证信息进行传送的情况下,所述第一服务器认证信息应在所述用户终端100生成所述第二共同认证密钥之前传送S225。
所述第一共同认证密钥的顺序值信息可以意味着关于所述认证服务器200中登记的第一共同认证密钥是与m个共同认证密钥中第几提取值对应的共同认证密钥的信息,或所述第一共同认证密钥中包含的提取值在所述m个(m为任意自然数)提取值中的顺序信息。
此时,所述用户终端100为了生成所述第二共同认证密钥,可以从所述用户终端100的机械性固有密钥或用户电话号码中,根据既定基准(与所述生成共同认证密钥时应用的基准相同的基准),依次提取m个(m为任意自然数)提取值,在所述提取值中选择与所述认证服务器200提供的所述顺序值对应的提取值,生成所述第二共同认证密钥。
不同于此,也可以从所述用户终端100的机械性固有密钥或用户电话号码中,根据既定基准,提取与所述顺序值对应的提取值并生成所述第二共同认证密钥。因此,所述第二共同认证密钥可以在所述个人密码及所述用户终端100的机械性固有密钥中,包含与所述顺序值对应的提取值作为添加构成要素而生成。
然后,所述用户终端100利用所述第二共同认证密钥,生成第一用户认证信息S132。对于与所述第一用户认证信息对应的所述第一服务器认证信息的生成,已经作过说明。
所述用户终端100借助于组合了认证机构的固有密钥和所述第二共同认证密钥进行加密而首先生成用户认证密钥,以所述用户认证密钥为演算密钥,进行一次性密码演算,由此可以生成以时间值同步的第一用户认证信息S134。其中,认证机构的固有密钥可以在所述专用程序安装时内置,提供给所述用户终端100,或在认证流程公开前通过更新等而提供给所述用户终端100。
其中,可以在所述用户认证密钥中,进一步添加从所述第二共同认证密钥中根据既定基准而提取的提取值作为构成要素,可以在所述服务器认证密钥中,进一步添加从所述第一共同认证密钥中根据既定基准而提取的提取值作为构成要素。此时,在所述用户认证密钥中添加的所述第二共同认证密钥的提取值和在所述服务器认证密钥中添加的所述第一共同认证密钥的提取值,是根据相同基准而从第一共同认证密钥或第二共同认证密钥中提取的提取值。
而且,可以在用于生成所述第一用户认证信息的演算密钥中,进一步添加从所述用户认证密钥中根据既定基准而提取的提取值作为构成要素,在用于生成所述第一服务器认证信息的演算密钥中,可以进一步添加从所述服务器认证密钥中根据既定基准而提取的提取值作为构成要素。此时,从所述用户认证密钥提取的提取值和从所述服务器认证密钥中提取的提取值,是根据相互相同的基准提取的提取值。这当然是因为以所述第一用户认证信息和所述第一服务器认证信息的生成方式应相互相同、结果值一致为原则。
在该状态下,可以把所述第一用户认证信息传送给所述认证服务器200,比较所述第一用户认证信息与所述第一服务器认证信息,通过一致与否的判断,执行第一次用户认证。
即,所述第一用户认证信息通过所述用户终端100传送给所述认证服务器200后,所述认证服务器200根据认证信息的一致与否,即,根据所述第一用户认证信息与所述第一服务器认证信息的一致与否,执行第一次用户认证。所述第一用户认证信息既可以由用户手动输入并传送,也可以在没有特别指示或提及的情况下使得自动传送,还可以根据用户的传送指示而使得自动传送。
其中,所述用户终端100可以使用与所述认证服务器200连接的一个或多个用户终端。例如,可以利用第一用户终端100进行第一共同认证密钥等的登记流程,利用第二用户终端100进行认证流程,也可以是相反的情形。另外,在认证流程的情况下,第一用户认证信息也可以通过所述第一用户终端100生成,所述第一用户认证信息的输入或传送可以通过所述第二用户终端100执行。此外,在多样的流程中,可以使用多个用户终端100。
比较所述第一用户认证信息与所述第一服务器认证信息并通过一致与否的判断而执行执行第一次用户认证的过程,可以根据需要选择,也可以省略。
而且,通过用户在用户终端100中比较所述第一用户认证信息和所述第一服务器认证信息,可以确认所述认证服务器200的真伪与否、连接于认证服务器200的接入网页的真伪与否或提供认证服务的服务提供商或认证机构的真伪与否。
为此,当生成所述第一服务器认证信息时,使得所述认证服务器200通过所述接入网页显示所述第一服务器认证信息,或传送给所述用户终端100、S225。所述第一服务器认证信息显示或传送后,所述用户终端100将其与所述第一用户认证信息进行比较,由此可以判别真伪与否,判别所述认证服务器200是否为真正的认证服务器、所述接入网页是否为真的S135。即,可以确认所述认证服务器200的真伪与否、连接于认证服务器200的接入网页的真伪与否或提供认证服务的服务提供商或认证机构的真伪与否。
其中,在所述第一服务器认证信息为在所述第二共同认证密钥生成前预先传送到所述用户终端100的状态的情况下S225,无需再传送或另行传送,利用预先传送的所述第一服务器认证信息执行认证服务器认证。
结果,如果所述用户终端100比较所述第一服务器认证信息及所述第一用户认证信息,则通过一致与否,能够进行判别认证机构或认证服务器200真伪与否的认证机构认证或认证服务器认证,如果所述认证服务器200比较所述第一服务器认证信息及所述第一用户认证信息,则通过一致与否,可以进行用户认证。
其中,所述认证服务器的认证流程S225、S135和所述用户认证流程既可以同时执行,也可以是在所述认证服务器的认证流程首先执行之后,如果确认了认证,则执行所述用户认证流程。另外,认证过程也可以是在用户认证及认证服务器认证中选择某一者并执行。在图3中,显示了只执行认证服务器的认证的情形。
然后,所述用户终端100可以在所述间隙时间值或作为从所述间隙时间值中根据既定基准提取的数字值的间隙时间密钥中,包含多样的认证信息、认证密钥、提取值中至少一者作为构成要素进行组合,由此生成演算密钥。另外,可以利用所述演算密钥,生成以时间值同步的第二用户认证信息S136。
例如,可以在所述间隙时间值或所述间隙时间密钥中,进一步添加在所述第一用户认证信息、从所述第一用户认证信息中根据既定基准提取的提取值、所述用户认证密钥、从所述用户认证密钥中根据既定基准提取的提取值、所述第二共同认证密钥、及从第二共同认证密钥根据既定基准提取的提取值中选择的至少一者作为构成要素,进行组合而生成所述演算密钥,利用所述演算密钥进行一次性密码演算,生成以时间值同步的第二用户认证信息。
对应于此,所述认证服务器200可以在所述间隙时间值或作为从所述间隙时间值中根据既定基准提取的数字值的间隙时间密钥中,包含多样的认证信息、认证密钥、提取值中至少某一者作为构成要素并进行组合,由此生成演算密钥。另外,可以利用所述演算密钥生成第二服务器认证信息S228。
其中,认证服务器200利用的间隙时间值意味着从所述用户终端100传送并已在所述认证服务器200中登记的间隙时间值。另外,所述用户终端100使用的所述间隙时间密钥和所述认证服务器200使用的间隙时间密钥,成为根据相互相同的提取基准而个别地提取的提取值。
例如,在所述间隙时间值或所述间隙时间密钥中,添加在所述第一服务器认证信息、从所述第一服务器认证信息中根据既定基准提取的提取值、所述服务器认证密钥、从所述服务器认证密钥中根据既定基准提取的提取值、所述第一共同认证密钥、及从第一共同认证密钥中根据既定基准提取的提取值中选择的至少一者作为构成要素并进行组合,由此生成演算密钥,利用所述演算密钥进行一次性密码演算,生成与所述第二用户认证信息对应地以时间值同步的第二服务器认证信息S228。
作为具体示例,所述第二用户认证信息可以利用在所述间隙时间值或所述间隙时间密钥中,组合了从所述第一用户认证信息和所述用户认证密钥中根据既定基准提取的提取值的演算密钥,进行一次性密码演算而生成。而且,所述第二服务器认证信息可以利用在所述间隙时间值或所述间隙时间密钥中,组合了从所述第一服务器认证信息和所述服务器认证密钥中根据既定基准提取的提取值的演算密钥,进行一次性密码演算而生成。
作为另一示例,所述第二用户认证信息可以利用在所述间隙时间值或所述间隙时间密钥中,组合了所述用户认证密钥和从所述用户认证密钥中根据既定基准提取的提取值的演算密钥,进行一次性密码演算而生成,所述第二服务器认证信息可以利用在所述间隙时间值或所述间隙时间密钥中,组合了所述服务器认证密钥和从所述服务器认证密钥中根据既定基准提取的提取值的演算密钥,进行一次性密码演算而生成。
此外,可以根据多样的组合,生成所述第二用户认证信息及所述第二服务器认证信息。
然后,如果所述第二用户认证信息通过所述用户终端100传递给所述认证服务器200、S138,则所述认证服务器200根据认证信息的一致与否,即,根据所述第二用户认证信息与所述第二服务器认证信息的一致与否,执行用户认证S230。所述第二用户认证信息既可以由用户手动输入并传送,也可以使得自动传送,还可以根据用户的传送指示而使得自动传送。
其中,第二用户认证信息可以通过所述第一用户终端100生成,所述第二用户认证信息的输入或传送可以通过所述第二用户终端100执行。此外,在多样的流程中,可以使用多个用户终端100。
在本发明的第二实施例中,可以利用所述第一服务器认证信息和所述第一用户认证信息,执行第一次用户认证,利用所述第二服务器认证信息和第二用户认证信息,执行第二次用户认证。另外,也可以是所述第一服务器认证信息和所述第一用户认证信息用于所述认证服务器的认证(用于确认网页、认证机构、认证服务提供商等的真伪与否的认证),所述第二服务器认证信息和第二用户认证信息用于用户认证的方式。
而且,执行所述第一次用户认证和所述第二次用户认证的情形,可以是所述第一次用户认证执行第一次用户认证,然后所述第二用户认证信息及所述第二服务器认证信息生成后执行第二次用户认证的方式,作为另一种方法,可以是在所述第二用户认证信息及所述第二服务器认证信息生成之后执行第一次用户认证及所述第二次用户认证的依次执行的方式。
另外,在所述第一服务器认证信息和所述第一用户认证信息用于所述认证服务器的认证(用于确认网页、认证机构、认证服务提供商等的真伪与否的认证),所述第二服务器认证信息和第二用户认证信息用于用户认证的情况下,可以是所述认证服务器的认证执行完之后,如果生成所述第二用户认证信息及所述第二服务器认证信息,则利用其执行用户认证的方式,不同于此,可以在所述第二服务器认证信息和第二用户认证信息生成之后,执行利用所述第一服务器认证信息和所述第一用户认证信息的所述认证服务器认证,利用所述第二服务器认证信息和第二用户认证信息,依次执行用户认证。
图4是显示本发明的第三实施例的用户认证方法的顺序图。
如图4所示,本发明第三实施例的用户认证方法可以从用户为了通过用户终端100进行用户登记而下载安装所述专用程序开始。用户登记既可以在所述专用程序安装过程中执行,也可以在所述专用程序安装之后,通过另外的用户登记过程执行。
首先,如果用户为了用户登记而通过所述用户终端100输入用户信息和个人密码S152,则所述用户终端100组合用户输入的所述个人密码及所述用户终端100的机械性固有密钥而生成加密的第一共同认证密钥S154。其中,所述用户终端100的机械性固有密钥例如可以包括序列号或USIM号码等,此外,可以包括为了区分所述用户终端而赋予的各种固有号码等。
所述第一共同认证密钥可以进一步添加从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准提取的提取值作为构成要素。即,所述第一共同认证密钥也可以借助于组合了所述个人密码、所述用户终端100的机械性固有密钥及从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准提取的提取值并加密而生成。
从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准提取的提取值,例如从具有由多个数字的罗列结构的所述用户终端的机械性固有密钥或所述用户电话号码中,根据作为预先确定的基准的既定基准(例如,从首位起提取第偶数或奇数位值并依次罗列,或提取偶数并罗列,或提取奇数并罗列,或在各个位值基础上加上或减去特定数字并罗列等的基准)而提取。
所述第一共同认证密钥可以生成为哈希(hash)密码值形态,此外,也可以利用普通技术人员熟知的加密技术加密生成。
所述用户终端100把所述第一共同认证密钥与所述用户信息一同传送给所述认证服务器200、S156。
所述认证服务器200把所述用户终端100传送的所述第一共同认证密钥匹配于所述用户信息,与所述用户信息一同登记及存储S252。据此执行用户登记流程。
以往的情形,如果执行用户登记,则通常在认证服务器中存储个人密码,但本发明第一实施例的情形,不在所述认证服务器200或用户终端100中存储密码,在所述认证服务器200中,只存储所述第一共同认证密钥。因此,在用户忘记或泄露个人密码的情况下,可以通过新登记流程,把包括新密码的第一共同认证密钥传送给所述认证服务器200进行登记,就认证机构而言,在所述第一共同认证密钥因黑客攻击等而泄露的情况下,变换从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准进行提取的提取值的提取基准,生成新的第一共同认证密钥,借助于登记新生成的第一共同认证密钥而可以简单地应对。
在之后认证流程中,如果为了认证而通过所述用户终端100从用户输入所述个人密码S158,则所述用户终端100测量间隙时间(gap time)值S158。测量的所述间隙时间值还传送给所述认证服务器200、S160。
所述间隙时间值可以意味着按1/n(n为任意的正实数)秒(second)单位测量用户输入认证所需个人密码需要的时间的时间值。其中,1/n秒可以意味着在所述用户终端100的硬件或软件上可拆分范围的时间单位。例如,将个人密码从首位值输入至末位值,用秒单位,可以表现为需要10秒,但在按1/1000秒单位测量的情况下,可以获得10436等测量值。或者,以1/1000000秒单位或1/1000000000秒单位进行测量时,将获得包含大量数字的测量值。
其中,当把从用于输入所述个人密码的输入窗口在画面中显示的时间点至所述个人密码的首位值输入的时间点的时间区间定义为第一时间区间,把从所述个人密码的末位值输入的时间点至告知所述个人密码输入完成的输入键(或回车键)的信号输入的时间点的时间区间定义为第二时间区间时,所述间隙时间值可以为从所述第一时间区间中某一时间点至所述第二时间区间中某一时间点的时间测量值。
从所述用户终端100传送了所述间隙时间值后,所述认证服务器200将其与所述用户信息、所述第一共同认证密钥等匹配,进行存储及登记S252。
随着所述个人密码的输入,所述用户终端100实时组合所述个人密码及所述用户终端100的机械性固有密钥而生成加密的第二共同认证密钥S162。所述第二共同认证密钥可以生成为哈希(hash)密码值形态,此外,也可以利用普通技术人员熟知的加密技术加密生成。
此时,在作为所述第一共同认证密钥的构成要素而包括从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准提取的提取值的情况下,在生成所述第二共同认证密钥时,也还包含根据在生成所述第一共同认证密钥时应用的相同基准,从所述用户终端100的机械性固有密钥或所述用户电话号码中提取的提取值。即,所述第二共同认证密钥的生成方式可以与所述第一共同认证密钥的生成方式相同。
不同于此,所述第一共同认证密钥及所述第二共同认证密钥也可以以不同于上述内容的方法生成。
作为一个示例,为了生成所述第一共同认证密钥,所述用户终端100可以从所述用户终端100的机械性固有密钥或用户电话号码中,根据既定基准依次提取m个(m为任意自然数)提取值,在这些提取值上分别组合所述个人密码及所述用户终端100的机械性固有密钥,生成对应的m个共同认证密钥。然后,所述用户终端100把m个共同认证密钥传送给所述认证服务器200。
所述认证服务器200在所述m个共同认证密钥中,根据预先确定的基准选择一个,登记为第一共同认证密钥。例如,如果在所述认证服务器200中有在所述提取值中选择与第一提取值对应的共同认证密钥并登记为所述第一共同认证密钥的基准,那么,只要没有特别的问题,与第一提取值对应的共同认证密钥登记为第一共同认证密钥。但是,为了其他认证或其他人的认证而在所述认证服务器200中已登记的认证密钥中如果有与所述共同认证密钥重复的认证密钥,则为了排除重复,可以选择与相应于所述共同认证密钥中下个顺序或下个次数的第二提取值对应的共同认证密钥,登记为所述第一共同认证密钥。如果在与第二提取值对应的共同认证密钥的情况下也存在重复,则选择与不存在重复的顺序的提取值对应的共同认证密钥,登记为所述第一共同认证密钥。
此外,在有其他基准的情况下,根据该基准选择的共同认证密钥登记为所述第一共同认证密钥。例如,在使得生成十个共同认证密钥而选择与第五顺序的提取值对应的共同认证密钥的情况下,可以选择其并登记为第一共同认证密钥。在有重复的情况下,可以选择与下一顺序的提取值对应的共同认证密钥,或在有其他基准的情况下,可以根据该基准进行选择并登记为第一共同认证密钥。
然后,所述认证服务器200把登记的所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息提供给所述用户终端100。在有预先约定的选择基准的情况下或所述用户终端100可以获知所述第一共同认证密钥的顺序值信息的情况下,可以省略所述顺序值信息及关于所述顺序值的计算信息的传送过程。
在所述认证服务器200把所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息传送给所述用户终端100的情况下,既可以将所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息包含于所述第一服务器认证信息进行传送,也可以另行传送。
其中,在把所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息包含于所述第一服务器认证信息进行传送的情况下,所述服务器认证信息应在所述用户终端100生成所述第二共同认证密钥之前传送。
此时,可以按如下方式进行,即,如果所述用户终端100传送了所述间隙时间值,如果所述认证服务器200直接生成服务器认证信息,在其中包含所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息并传送,那么,所述用户终端100利用所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息,生成所述第二共同认证密钥。
所述第一共同认证密钥的顺序值信息可以意味着关于所述认证服务器200中登记的第一共同认证密钥是与m个共同认证密钥中第几提取值对应的共同认证密钥的信息,或所述第一共同认证密钥中包含的提取值在所述m个(m为任意自然数)提取值中的顺序信息。
此时,所述用户终端100为了生成所述第二共同认证密钥,可以从所述用户终端100的机械性固有密钥或用户电话号码中,根据既定基准(与所述生成共同认证密钥时应用的基准相同的基准),依次提取m个(m为任意自然数)提取值,在所述提取值中选择与所述认证服务器200提供的所述顺序值对应的提取值,生成所述第二共同认证密钥。
不同于此,也可以从所述用户终端100的机械性固有密钥或用户电话号码中,根据既定基准,提取与所述顺序值对应的提取值并生成所述第二共同认证密钥。因此,所述第二共同认证密钥可以在所述个人密码及所述用户终端100的机械性固有密钥中,包含与所述顺序值对应的提取值作为添加构成要素而生成。
然后,所述用户终端100利用所述第二共同认证密钥和所述间隙时间值,生成用户认证信息S164。而且,所述认证服务器200利用所述第一共同认证密钥和所述间隙时间值,生成服务器认证信息S256。所述服务器认证信息也可以预先生成,这已经作过说明。
所述用户终端100可以借助于组合了认证机构的固有密钥和所述第二共同认证密钥进行加密而首先生成用户认证密钥,利用在所述间隙时间值或作为从所述间隙时间值根据既定基准提取的数字值的间隙时间密钥中,组合了所述用户认证密钥的演算密钥,进行一次性密码演算,生成以时间值同步的用户认证信息S164。
其中,认证机构的固有密钥可以在所述专用程序安装时内置,提供给所述用户终端100,或在认证流程公开前通过更新等而提供给所述用户终端100。
而且,所述认证服务器200可以借助于组合了内置的认证机构的固有密钥和所述第一共同认证密钥进行加密而首先生成服务器认证密钥,利用在所述间隙时间值或作为从所述间隙时间值根据既定基准提取的数字值的间隙时间密钥中,组合了所述服务器认证密钥的演算密钥,进行一次性密码演算,生成以时间值同步的服务器认证信息S256。
其中,认证服务器200利用的间隙时间值,意味着从所述用户终端100传送并已在所述认证服务器200中登记的间隙时间值。另外,所述用户终端100使用的所述间隙时间密钥和所述认证服务器200使用的间隙时间密钥,成为根据相互相同的提取基准而个别地提取的提取值。
而且,在所述用户认证密钥中,可以进一步添加从所述第二共同认证密钥中根据既定基准提取的提取值作为构成要素,在所述服务器认证密钥中,可以进一步添加从所述第一共同认证密钥中根据既定基准提取的提取值作为构成要素。此时,在所述用户认证密钥中添加的所述第二共同认证密钥的提取值和在所述服务器认证密钥中添加的所述第一共同认证密钥的提取值,是根据相同的基准而从第一共同认证密钥或第二共同认证密钥中提取的提取值。
而且,在用于生成所述用户认证信息的演算密钥中,可以进一步添加从所述用户认证密钥中根据既定基准提取的提取值作为构成要素,在用于生成所述服务器认证信息的演算密钥中,可以进一步添加从所述服务器认证密钥中根据既定基准提取的提取值作为构成要素。此时,从所述用户认证密钥提取的提取值和从所述服务器认证密钥中提取的提取值是根据相互相同的基准提取的提取值。
在该状态下,可以把所述用户认证信息传送给所述认证服务器200、S166,比较所述用户认证信息与所述服务器认证信息,通过一致与否的判断,执行用户认证S258。
即,所述用户认证信息通过所述用户终端100传送给所述认证服务器200后S166,所述认证服务器200根据认证信息的一致与否,即,根据所述用户认证信息与所述服务器认证信息的一致与否,执行用户认证S258。所述用户认证信息既可以由用户手动输入并传送,也可以使得自动传送,还可以根据用户的传送指示而使得自动传送。
其中,所述用户终端100可以使用与所述认证服务器200连接的一个或多个用户终端。例如,可以利用第一用户终端100进行第一共同认证密钥等的登记流程,利用第二用户终端100进行认证流程,也可以是相反的情形。另外,在认证流程的情况下,用户认证信息也可以通过所述第一用户终端100生成,所述用户认证信息的输入或传送可以通过所述第二用户终端100执行。此外,在多样的流程中,可以使用多个用户终端100。
在本发明的第二实施例及第三实施例中,利用以往未曾尝试、未曾定义的间隙时间值或间隙时间密钥,执行用户认证。除上述的实施例之外,还利用所述间隙时间值或间隙时间密钥和个人密码,生成用户认证所需的认证信息,这种构成可以借助于添加多样的构成要素而多样地变化。另外,可以在普通技术人员熟知的认证信息生成方法中,添加所述间隙时间密钥或间隙时间值,这种构成可以包括于本发明中。
如上所述,根据本发明的实施例,在密码或其他个人信息泄露时,可以简便地应对,安全性得到强化,具有能够轻松地进行用户认证的优点。另外,能够检查认证所需的Web站点(认证服务器)等的真伪与否,具有能够实现可确保完整性及唯一性的用户认证的优点。
所述实施例的说明只不过是为了更彻底理解本发明而以附图为参照列举的示例,因而不得解释为限定本发明之意。另外,对于本发明所属技术领域的技术人员而言,在不超出本发明的基本原理的范围内,可以进行多样的变形和变更,这是明白无误的。
Claims (11)
1.一种利用用户终端和认证服务器的用户认证方法,其特征在于,包括:
第一步骤,如果从用户输入用户注册所需的个人密码,则所述用户终端组合所述个人密码及所述用户终端的机械性固有密钥,生成加密的第一共同认证密钥,并提供给所述认证服务器,所述认证服务器把所述第一共同认证密钥匹配于用户信息并进行登记;
第二步骤,所述认证服务器组合内置的认证机构的固有密钥和所述第一共同认证密钥而生成加密的服务器认证密钥,以所述服务器认证密钥为演算密钥进行一次性密码演算,生成第一服务器认证信息,
如果为了认证而从用户终端输入所述个人密码,则所述用户终端组合所述个人密码及所述用户终端的机械性固有密钥,并且实时生成加密的第二共同认证密钥,将从所述认证服务器预先提供的认证机构的固有密钥和所述第二共同认证密钥组合并生成加密的用户认证密钥,以所述用户认证密钥为演算密钥进行一次性密码演算,生成第一用户认证信息;
第三步骤,根据所述第一服务器认证信息和所述第一用户认证信息的一致与否而执行用户认证,或执行判断所述认证服务器的真伪与否的认证服务器的认证;
所述第二步骤还包括:所述用户终端测量作为按1/n秒测量用户输入认证所需个人密码需要的时间的时间值的间隙时间值,并传送给所述认证服务器的步骤,其中,n为任意的正实数;
在所述第二步骤与第三步骤之间或所述第三步骤之后还包括如下步骤:
所述用户终端在所述间隙时间值或作为从所述间隙时间值中根据既定基准提取的数字值的间隙时间密钥中,进一步添加在所述第一用户认证信息、从所述第一用户认证信息中根据既定基准提取的提取值、所述用户认证密钥、从所述用户认证密钥中根据既定基准提取的提取值、所述第二共同认证密钥,及从第二共同认证密钥根据既定基准提取的提取值中选择的至少一者作为构成要素而利用组合的演算密钥,进行一次性密码演算,生成第二用户认证信息,
所述认证服务器在所述间隙时间值或作为从所述间隙时间值根据既定基准提取的数字值的间隙时间密钥中,还添加在所述第一服务器认证信息、从所述第一服务器认证信息中根据既定基准提取的提取值、所述服务器认证密钥、从所述服务器认证密钥中根据既定基准提取的提取值、所述第一共同认证密钥,及从第一共同认证密钥中根据既定基准提取的提取值中选择的至少一者作为构成要素而利用组合的演算密钥,进行一次性密码演算,与所述第二用户认证信息对应地生成第二服务器认证信息;
在所述第三步骤之后还包括:
判断所述第二用户认证信息与所述第二服务器认证信息的一致与否并执行用户认证的步骤;
当把从所述个人密码输入所需的输入窗口在画面上显示的时间点至所述个人密码的首位值输入的时间点的时间区间定义为第一时间区间,把从所述个人密码的末位值输入的时间点至告知所述个人密码输入完成的输入键或回车键的信号输入的时间点的时间区间定义为第二时间区间时,
所述间隙时间值为从所述第一时间区间中某一时间点至所述第二时间区间中某一时间点的时间测量值。
2.根据权利要求1所述的用户认证方法,其特征在于,
在所述第一共同认证密钥或所述第二共同认证密钥中,从所述用户终端的机械性固有密钥或用户电话号码中按既定基准提取的提取值进一步添加为构成要素。
3.根据权利要求2所述的用户认证方法,其特征在于,
在所述第一步骤中,
所述用户终端在生成所述第一共同认证密钥时,从所述用户终端的机械性固有密钥中,根据既定基准,依次提取m个提取值,生成与此对应的m个共同认证密钥,传送给所述认证服务器,其中,m为任意自然数;
所述认证服务器把所述m个共同认证密钥中根据预先确定的基准选择的共同认证密钥登记为所述第一共同认证密钥,
在所述第二步骤中,
所述用户终端在生成所述第二共同认证密钥时,在从所述用户终端的机械性固有密钥中根据既定基准依次提取的m个提取值中,选择具有与所述第一共同认证密钥对应的顺序值的提取值并包含在内,由此生成所述第二共同认证密钥,其中,m为任意自然数。
4.根据权利要求1所述的用户认证方法,其特征在于,
在所述用户认证密钥中,从所述第二共同认证密钥根据既定基准提取的提取值进一步添加为构成要素,在所述服务器认证密钥中,从所述第一共同认证密钥中根据既定基准提取的提取值进一步添加为构成要素,
在用于生成所述第一用户认证信息的演算密钥中,从所述用户认证密钥中根据既定基准提取的提取值进一步添加为构成要素,在用于生成所述第一服务器认证信息的演算密钥中,从所述服务器认证密钥中根据既定基准提取的提取值进一步添加为构成要素。
5.根据权利要求1所述的用户认证方法,其特征在于,
所述第三步骤包括:
认证服务器认证步骤,所述用户终端比较所述第一服务器认证信息与所述第一用户认证信息,判别所述认证服务器的真伪与否,或
用户认证步骤,所述认证服务器比较所述第一服务器认证信息与所述第一用户认证信息,执行用户认证。
6.根据权利要求1所述的用户认证方法,其特征在于,
所述第二用户认证信息利用在所述间隙时间值或所述间隙时间密钥中,组合了从所述第一用户认证信息和所述用户认证密钥中根据既定基准提取的提取值的演算密钥,进行一次性密码演算而生成,
所述第二服务器认证信息利用在所述间隙时间值或所述间隙时间密钥中,组合了从所述第一服务器认证信息和所述服务器认证密钥中根据既定基准提取的提取值的演算密钥,进行一次性密码演算而生成。
7.根据权利要求1所述的用户认证方法,其特征在于,
所述第二用户认证信息利用在所述间隙时间值或所述间隙时间密钥中,组合了从所述用户认证密钥和所述用户认证密钥中根据既定基准提取的提取值的演算密钥,进行一次性密码演算而生成,
所述第二服务器认证信息利用在所述间隙时间值或所述间隙时间密钥中,组合了从所述服务器认证密钥和所述服务器认证密钥根据既定基准提取的提取值的演算密钥,进行一次性密码演算而生成。
8.一种用户认证方法,其特征在于,包括:
第一步骤,如果从用户通过用户终端输入用户注册所需的个人密码,则所述用户终端组合所述个人密码及所述用户终端的机械性固有密钥而生成加密的第一共同认证密钥,提供给认证服务器,所述认证服务器把所述第一共同认证密钥匹配于用户信息并进行登记;
第二步骤,所述认证服务器组合内置的认证机构的固有密钥和所述第一共同认证密钥而生成加密的服务器认证密钥,利用在作为按1/n秒单位测量输入所述个人密码需要的时间的时间值的间隙时间值或作为从所述间隙时间值中根据既定基准提取的数字值的间隙时间密钥中,组合了所述服务器认证密钥的演算密钥,进行一次性密码演算,生成服务器认证信息,其中,n为任意的正实数;
如果为了认证而从用户输入所述个人密码,则所述用户终端测量所述间隙时间值并传送给所述认证服务器,实时组合所述个人密码及所述用户终端的机械性固有密钥而生成加密的第二共同认证密钥,组合从所述认证服务器预先提供的认证机构的固有密钥和所述第二共同认证密钥而生成加密的用户认证密钥,利用在所述间隙时间值或所述间隙时间密钥中组合了所述用户认证密钥的演算密钥,进行一次性密码演算,生成用户认证信息;
第三步骤,根据所述服务器认证信息与所述用户认证信息的一致与否而执行用户认证;
其中,当把从所述个人密码输入所需的输入窗口在画面上显示的时间点至所述个人密码的首位值输入的时间点的时间区间定义为第一时间区间,把从所述个人密码的末位值输入的时间点至告知所述个人密码输入完成的输入键或回车键的信号输入的时间点的时间区间定义为第二时间区间时,
所述间隙时间值为在所述第一时间区间中选择的某一时间点至在所述第二时间区间中选择的某一时间点的时间测量值。
9.根据权利要求8所述的用户认证方法,其特征在于,
在所述第一共同认证密钥或所述第二共同认证密钥中,分别进一步添加从所述用户终端的机械性固有密钥或用户电话号码中根据既定基准提取的提取值作为构成要素。
10.根据权利要求9所述的用户认证方法,其特征在于,
在所述第一步骤中,
所述用户终端在生成所述第一共同认证密钥时,从所述用户终端的机械性固有密钥中根据既定基准依次提取m个提取值,生成与此对应的m个共同认证密钥,传送给所述认证服务器,其中,m为任意自然数;
所述认证服务器把所述m个共同认证密钥中根据预先确定的基准选择的共同认证密钥登记为第一共同认证密钥,
在所述第二步骤中,
所述用户终端在生成所述第二共同认证密钥时,在从所述用户终端的机械性固有密钥中根据既定基准依次提取的m个提取值中,选择具有与所述第一共同认证密钥对应的顺序值的提取值并包含在内,由此生成所述第二共同认证密钥,其中,m为任意自然数。
11.根据权利要求8或9所述的用户认证方法,其特征在于,
在所述用户认证密钥中,从所述第二共同认证密钥根据既定基准提取的提取值进一步添加为构成要素,在所述服务器认证密钥中,从所述第一共同认证密钥中根据既定基准提取的提取值进一步添加为构成要素,
在用于生成所述用户认证信息的演算密钥中,从所述用户认证密钥中根据既定基准提取的提取值进一步添加为构成要素,在用于生成所述服务器认证信息的演算密钥中,从所述服务器认证密钥中根据既定基准提取的提取值进一步添加为构成要素。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160001584A KR101618692B1 (ko) | 2016-01-06 | 2016-01-06 | 보안성이 강화된 사용자 인증방법 |
| KR10-2016-0001584 | 2016-01-06 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107026844A CN107026844A (zh) | 2017-08-08 |
| CN107026844B true CN107026844B (zh) | 2018-09-14 |
Family
ID=56020567
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611256066.2A Active CN107026844B (zh) | 2016-01-06 | 2016-12-30 | 强化了安全性的用户认证方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9756040B2 (zh) |
| EP (1) | EP3190770B1 (zh) |
| JP (2) | JP6122205B1 (zh) |
| KR (1) | KR101618692B1 (zh) |
| CN (1) | CN107026844B (zh) |
| SG (2) | SG10201703121RA (zh) |
| WO (1) | WO2017119548A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101746102B1 (ko) * | 2016-04-28 | 2017-06-13 | 주식회사 센스톤 | 무결성 및 보안성이 강화된 사용자 인증방법 |
| KR101836236B1 (ko) | 2017-03-15 | 2018-04-19 | 주식회사 센스톤 | 애플리케이션 간 인증을 이용한 사용자 인증방법 및 장치, 그 프로그램 |
| JP6731887B2 (ja) * | 2017-06-27 | 2020-07-29 | Kddi株式会社 | 保守システム及び保守方法 |
| KR101950913B1 (ko) | 2017-08-09 | 2019-02-21 | 주식회사 센스톤 | 가상코드제공시스템, 가상코드생성장치, 가상코드검증장치, 가상코드제공방법 및 가상코드제공프로그램 |
| JP6696942B2 (ja) * | 2017-08-14 | 2020-05-20 | Kddi株式会社 | 車両保安システム及び車両保安方法 |
| CN111345003B (zh) * | 2017-09-19 | 2023-04-25 | 阿比奥梅德股份有限公司 | 用于医疗设备的基于时间的一次性密码管理的系统和方法 |
| KR101985272B1 (ko) * | 2018-02-02 | 2019-06-04 | 유비벨록스(주) | 충돌을 방지할 수 있는 집적회로카드(icc) 비대칭키 생성 플랫폼 및 집적회로카드(icc) 비대칭키 생성 방법 |
| KR102005554B1 (ko) * | 2018-08-09 | 2019-07-30 | 주식회사 센스톤 | 공카드를 이용한 금융거래제공방법 및 시스템 |
| US11483143B2 (en) * | 2019-04-15 | 2022-10-25 | Smart Security Systems, Llc | Enhanced monitoring and protection of enterprise data |
| US11101990B2 (en) * | 2019-08-19 | 2021-08-24 | Lenovo (Singapore) Pte. Ltd. | Default account authentication |
| CN110650160B (zh) * | 2019-10-29 | 2022-01-04 | 北京天威诚信电子商务服务有限公司 | 一种身份认证方法及系统 |
| CN112883386B (zh) * | 2021-01-15 | 2024-02-13 | 湖南遥昇通信技术有限公司 | 一种数字指纹处理及签名处理方法、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101103358A (zh) * | 2005-01-11 | 2008-01-09 | 恩凯普公司 | 安全代码生成方法和使用方法及用于其的可编程设备 |
| CN101663855A (zh) * | 2007-03-09 | 2010-03-03 | 松下电器产业株式会社 | 信息处理设备、程序以及记录介质 |
| CN101803272A (zh) * | 2007-06-26 | 2010-08-11 | G3视觉有限公司 | 认证系统和方法 |
| CN102148685A (zh) * | 2010-02-04 | 2011-08-10 | 陈祖石 | 一种由用户自定义多密码种子动态密码认证方法及系统 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR0151901B1 (ko) * | 1995-11-06 | 1998-11-02 | 서정욱 | 비밀 번호를 이용한 이동 단말기 인증 방법 |
| JP3697212B2 (ja) | 2002-01-16 | 2005-09-21 | 株式会社エヌ・ティ・ティ・ドコモ | ユーザ認証システム、ユーザ認証方法、ユーザ認証プログラム、及び、コンピュータ読取可能な記録媒体 |
| JP2003299146A (ja) * | 2002-02-01 | 2003-10-17 | Canon Inc | 無線通信装置 |
| US7571489B2 (en) * | 2004-10-20 | 2009-08-04 | International Business Machines Corporation | One time passcode system |
| US20060136739A1 (en) * | 2004-12-18 | 2006-06-22 | Christian Brock | Method and apparatus for generating one-time password on hand-held mobile device |
| KR100963928B1 (ko) * | 2007-10-08 | 2010-06-17 | 주식회사 신한은행 | 금융 비밀번호와 연계된 무선 일회용 인증 방법 및시스템과 이를 위한 휴대폰 및 기록매체 |
| US8255688B2 (en) * | 2008-01-23 | 2012-08-28 | Mastercard International Incorporated | Systems and methods for mutual authentication using one time codes |
| JP6220110B2 (ja) * | 2008-09-26 | 2017-10-25 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | デバイス及びユーザの認証 |
| KR101583698B1 (ko) * | 2011-06-07 | 2016-01-08 | 주식회사 잉카인터넷 | 접속 시도 기기 인증 시스템 및 방법 |
| EP2536096A1 (en) * | 2011-06-17 | 2012-12-19 | ABB Research Ltd. | Securing an industrial control system |
| KR101172234B1 (ko) * | 2011-06-17 | 2012-08-07 | 김승학 | 키 입력 간의 시간 비율을 이용한 비밀번호 관리 장치 및 방법 |
| KR101289969B1 (ko) | 2011-09-05 | 2013-07-26 | 한국기술교육대학교 산학협력단 | 인증 처리 장치 및 그 방법 |
| KR101270941B1 (ko) | 2011-10-19 | 2013-06-11 | 서울대학교산학협력단 | 사용자 단말을 이용한 인증 보안 시스템 및 방법 |
| US8787902B2 (en) * | 2012-10-31 | 2014-07-22 | Irevo, Inc. | Method for mobile-key service |
| WO2014106031A1 (en) * | 2012-12-28 | 2014-07-03 | Vasco Data Security, Inc. | Remote authentication and transaction signatures |
| JP6168415B2 (ja) * | 2014-05-27 | 2017-07-26 | パナソニックIpマネジメント株式会社 | 端末認証システム、サーバ装置、及び端末認証方法 |
| US9531714B2 (en) * | 2014-06-27 | 2016-12-27 | Citrix Systems, Inc. | Enterprise authentication via third party authentication support |
| KR101558557B1 (ko) | 2015-02-23 | 2015-10-13 | 주식회사 벨소프트 | 아이디와 패스워드 입력 방식을 대체하는 휴대 전화번호 기반의 회원인증 방법 및 서버 시스템 |
-
2016
- 2016-01-06 KR KR1020160001584A patent/KR101618692B1/ko active IP Right Grant
- 2016-04-06 WO PCT/KR2016/003594 patent/WO2017119548A1/ko active Application Filing
- 2016-12-28 JP JP2016254943A patent/JP6122205B1/ja active Active
- 2016-12-30 EP EP16207510.5A patent/EP3190770B1/en active Active
- 2016-12-30 CN CN201611256066.2A patent/CN107026844B/zh active Active
-
2017
- 2017-01-02 US US15/396,797 patent/US9756040B2/en active Active
- 2017-01-04 SG SG10201703121RA patent/SG10201703121RA/en unknown
- 2017-01-04 SG SG10201700053UA patent/SG10201700053UA/en unknown
- 2017-03-30 JP JP2017067839A patent/JP6368817B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101103358A (zh) * | 2005-01-11 | 2008-01-09 | 恩凯普公司 | 安全代码生成方法和使用方法及用于其的可编程设备 |
| CN101663855A (zh) * | 2007-03-09 | 2010-03-03 | 松下电器产业株式会社 | 信息处理设备、程序以及记录介质 |
| CN101803272A (zh) * | 2007-06-26 | 2010-08-11 | G3视觉有限公司 | 认证系统和方法 |
| CN102148685A (zh) * | 2010-02-04 | 2011-08-10 | 陈祖石 | 一种由用户自定义多密码种子动态密码认证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017123652A (ja) | 2017-07-13 |
| SG10201700053UA (en) | 2017-08-30 |
| CN107026844A (zh) | 2017-08-08 |
| EP3190770B1 (en) | 2020-07-29 |
| JP6122205B1 (ja) | 2017-04-26 |
| JP6368817B2 (ja) | 2018-08-01 |
| JP2017123694A (ja) | 2017-07-13 |
| US9756040B2 (en) | 2017-09-05 |
| SG10201703121RA (en) | 2017-08-30 |
| WO2017119548A1 (ko) | 2017-07-13 |
| US20170195320A1 (en) | 2017-07-06 |
| EP3190770A1 (en) | 2017-07-12 |
| KR101618692B1 (ko) | 2016-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107026844B (zh) | 强化了安全性的用户认证方法 | |
| EP1922632B1 (en) | Extended one-time password method and apparatus | |
| US8041954B2 (en) | Method and system for providing a secure login solution using one-time passwords | |
| CN108684041A (zh) | 登录认证的系统和方法 | |
| ES2603157T3 (es) | Procedimiento y sistema para la introducción segura de datos de identificación para la autenticación de una transacción realizada mediante un terminal de autoservicio | |
| US20170310663A1 (en) | Local and Remote Access Apparatus and System for Password Storage and management | |
| RU2670031C2 (ru) | Система и способ идентификации и/или аутентификации | |
| CN107294722A (zh) | 一种终端身份认证方法、装置及系统 | |
| CN108667801A (zh) | 一种物联网接入身份安全认证方法及系统 | |
| Lee et al. | A user-friendly authentication solution using NFC card emulation on android | |
| CN107548542A (zh) | 经强化完整性及安全性的用户认证方法 | |
| US10051468B2 (en) | Process for authenticating an identity of a user | |
| Jhawar et al. | Make mine a quadruple: Strengthening the security of graphical one-time pin authentication | |
| CA2611549C (en) | Method and system for providing a secure login solution using one-time passwords | |
| KR101537564B1 (ko) | 생체인식 중계 인증 시스템 및 그 방법 | |
| Iyanda et al. | Development of two-factor authentication login system using dynamic password with SMS verification | |
| US20160021102A1 (en) | Method and device for authenticating persons | |
| Tellini et al. | Two-Factor Authentication: Selecting and implementing a two-factor authentication method for a digital assessment platform | |
| KR20190012026A (ko) | 로그인 인증 처리를 위한 시스템 및 방법 | |
| KR20080109580A (ko) | 서버 인증 시스템 및 방법 | |
| WO2016042473A1 (en) | Secure authentication using dynamic passcode | |
| KR101619282B1 (ko) | 클라우드 기반 비밀번호 통합관리 시스템 및 이의 제어 방법 | |
| Majdalawieh et al. | Assessing the Attacks Against the Online Authentication Methods Using a Comparison Matrix: A Case of Online Banking | |
| Lu | Secure web applications against off-line password guessing attack: a two way password protocol with challenge response using arbitrary images | |
| JP6692947B1 (ja) | 認証システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1235569 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |