JP2018524825A - 無欠性及び保安性が強化された使用者認証方法 - Google Patents

無欠性及び保安性が強化された使用者認証方法 Download PDF

Info

Publication number
JP2018524825A
JP2018524825A JP2017511603A JP2017511603A JP2018524825A JP 2018524825 A JP2018524825 A JP 2018524825A JP 2017511603 A JP2017511603 A JP 2017511603A JP 2017511603 A JP2017511603 A JP 2017511603A JP 2018524825 A JP2018524825 A JP 2018524825A
Authority
JP
Japan
Prior art keywords
authentication
key
server
user
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017511603A
Other languages
English (en)
Other versions
JP6378424B1 (ja
Inventor
フン ユ、チャン
フン ユ、チャン
ヨン ヒョ、ウン
ヨン ヒョ、ウン
ギュ キム、ミン
ギュ キム、ミン
ヨン ソ、ウ
ヨン ソ、ウ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SSenStone Inc
Original Assignee
SSenStone Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SSenStone Inc filed Critical SSenStone Inc
Application granted granted Critical
Publication of JP6378424B1 publication Critical patent/JP6378424B1/ja
Publication of JP2018524825A publication Critical patent/JP2018524825A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0872Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Abstract

【課題】保安性が強化された使用者認証方法を提供する。【解決手段】本発明に係る使用者認証方法は、使用者登録のための手続が開始されれば、前記使用者端末機では第1次変換を遂行して第1共通認証キーを生成し、第2次変換を遂行して暗号化された第1共通認証キーを前記認証サーバーに提供し、前記認証サーバーでは前記暗号化された第1共通認証キーを使用者情報にマッチングして登録する第1段階と、前記認証サーバーで、第1サーバー認証キーを生成し、前記第1サーバー認証キーに対するOTP演算を遂行して第1サーバー認証情報を生成する第2段階と、認証手続が開始されれば、前記使用者端末機で第1次変換を遂行して第2共通認証キーを生成し、第2次変換を遂行して暗号化された第2共通認証キーを生成し、前記第1使用者認証キーに対するOTP演算を遂行して第1使用者認証情報を生成する第3段階と、前記第1サーバー認証情報と前記第1使用者認証情報との一致の可否にしたがって使用者認証を遂行するか、又は前記認証サーバーの真偽の可否を判断する認証サーバー認証を遂行する第4段階と、を具備する。【選択図】図2

Description

本発明は無欠性及び保安性が強化された使用者認証方法に係り、より具体的には、公開ネットワーク上で個人情報流出を根本的に遮断し、ハッキングの危険から自由になって保安性が強化され、伝送データの無欠性に対する検証が可能であり無欠性及び保安性が強化された使用者認証方法使用者認証方法に係る。
現代社会は金融取引や各種使用者認証が必要である業務は対面接触よりはオンライン環境を通じて行われることが一般化している。オンライン上での使用者認証は対面接触よりはさらに慎重な接触が必要であるので、大部分の場合使用者端末機にActiveX及びキーボード保安プログラム等を含む各種保安プログラムや制御プログラムの設置が要求され、公認電子証明書や保安カード、OTP装置等の保安装置を通じて保安性を強化して情報流出に対備している。
代表的な使用者認証方法の中の1つであるOTP(One Time Password)装置は固有キーが内蔵されたOTP装置を使用者に予め支給し、使用者が電子金融取引網に接続して認証サーバー(金融機関のサーバー)に認証を要求する場合、前記固有キーを演算キーとして現在時間と連関された乱数に基づいてOTP番号を生成するようにし、使用者は生成されたOTP番号を暗証番号として手動で入力して認証サーバーに伝送する方式によって真の使用者であることを認証している。
しかし、使用者が多数の金融機関と取引する場合には各金融機関別に提供する多数のOTP認証装置を各々具備しなければならないので、消費者が各金融機関別のOTP認証装置を別々に購買しなければならなく、多数のOTP認証装置を所持しなければならない不便さがあり、多数のOTP認証装置の中で特定金融機関用認証装置を一々探す不便さもある。
また、OTP装置の固有キーを使用者が任意に取り替えることができないので、OTP装置を紛失した場合、直接金融機関に訪問して新しく発給されなければならないこと等の不便さが多くあった。そして、金融機関で顧客のOTP装置の固有キーが流出される場合にはすべての顧客にOTP装置を再発給する等の膨大な費用と時間とが所要される問題点がある。
一方、使用者が指定した暗証番号を通じて認証やログインがなされる場合に、関連サーバー等では使用者の暗証番号を登録、格納、及び管理しなければならず、使用者の立場では暗証番号を認知しなければならず、流出に対備して定期的な変更が要求されるので、管理が不便であるという問題点がある。
共に、ハッキング技術の発達によって画面キャプチャー、ショルダーサーフィン攻撃(Shoulder surfing attack)、画面モニターリング等の画面ハッキング技術又はPCに設置されたスパイウェア(Spyware)等による公認電子証明書や暗証番号等の流出等情報の流出が多様に生じており、暗号化された暗証番号であっても専門的なハッカーの場合にはある程度の努力によって復号化が可能であるので、使用者認証のための手続は使用者の利便性を追求しながらも、保安性を強化する必要がある。また、伝送過程で誤謬を検証して無欠性を強化することも必要である。
韓国特許第10−1270941号公報
したがって、本発明の目的は上述した従来の問題点を克服できる保安性が強化された使用者認証方法を提供することにある。
本発明の他の目的は使用者認証手続が簡単であり、保安性を強化することができ、無欠性検証が可能な無欠性及び保安性が強化された使用者認証方法を提供することにある。
本発明の他の目的は公開されたネットワーク環境でも情報流出に対する危険が無く、便利に適用可能な無欠性及び保安性が強化された使用者認証方法を提供することにある。
本発明のその他の目的は使用者が認証のための認証機関、認証サーバー等の真偽を判別できる無欠性及び保安性が強化された使用者認証方法を提供することにある。
本発明のその他の目的は認証機関や認証サーバーで使用者の暗証番号を管理していないながらも、認証が可能であり、時間に連係されたマルチ要素を利用して保安性が強化された使用者認証方法を提供することにある。
上記した技術的課題の一部を達成するための本発明の具体化によって、本発明に係る使用者端末機と認証サーバーとを利用する使用者認証方法は、使用者によって使用者登録のための個人暗証番号が入力されれば、前記使用者端末機では前記個人暗証番号及び前記使用者端末機の機械的固有キーを組合せて単方向性関数を利用する第1次変換を遂行して第1共通認証キーを生成し、前記第1共通認証キーを暗号化キーを利用して暗号化する第2次変換を遂行して暗号化された第1共通認証キーを前記認証サーバーに提供し、前記認証サーバーでは前記暗号化された第1共通認証キーを使用者情報にマッチングして登録する第1段階と、前記認証サーバーで、内蔵された認証機関の固有キーと前記暗号化された第1共通認証キーとを構成要素として単方向性関数を利用する変換を遂行して第1サーバー認証キーを生成し、前記第1サーバー認証キー又は前記第1サーバー認証キーの変換値である第2サーバー認証キーに対するOTP(One Time Password)演算を遂行して第1サーバー認証情報を生成する第2段階と、認証のために使用者から前記個人暗証番号が入力されれば、前記使用者端末機で前記個人暗証番号及び前記使用者端末機の機械的固有キーを組合せて単方向性関数を利用する第1次変換を遂行して第2共通認証キーをリアルタイムに生成し、前記第2共通認証キーを前記暗号化キーを利用して暗号化する第2次変換を遂行して暗号化された第2共通認証キーを生成し、前記認証サーバーから予め提供された認証機関の固有キーと前記暗号化された第2共通認証キーとを構成要素として単方向性関数を利用する変換を遂行して第1使用者認証キーを生成し、前記第1使用者認証キー又は前記第1使用者認証キーの変換値である第2使用者認証キーに対するOTP(One Time Password)演算を遂行して第1使用者認証情報を生成する第3段階と、前記第1サーバー認証情報と前記第1使用者認証情報との一致の可否にしたがって使用者認証を遂行するか、又は前記認証サーバーの真偽の可否を判断する認証サーバー認証を遂行する第4段階と、を具備する。
前記第1共通認証キー又は前記第2共通認証キーには、前記使用者端末機に設置された専用アプリケーションプログラムの固有キーが構成要素にさらに追加されることができる。
前記第4段階は、前記使用者端末機で、前記第1使用者認証情報と前記認証サーバーから伝送された前記第1サーバー認証情報とを比較して前記認証サーバーの真偽の可否を判別するようにする認証サーバー認証段階と、前記認証サーバーで、前記第1サーバー認証情報と前記使用者端末機から伝送された第1使用者認証情報とを比較して使用者認証を遂行するようにする使用者認証段階と、を含むことができる。
前記第2段階は、前記認証サーバーで、内蔵された認証機関の固有キーと前記暗号化された第1共通認証キーとを構成要素として、単方向性関数を利用する変換を遂行して前記第1サーバー認証キーを生成する段階と、前記認証サーバーで、前記第1サーバー認証キーから時間抽出値発生器を通じて時間情報を利用して一定基準によって抽出される第2サーバー認証キーを生成する段階と、前記認証サーバーで前記第2サーバー認証キーに対するOTP(One Time Password)演算を遂行して前記第1サーバー認証情報を生成する段階と、を含み、前記第3段階は、前記使用者端末機で、前記暗号化された第2共通認証キーが生成されれば、前記認証サーバーから予め提供された認証機関の固有キーと前記暗号化された第2共通認証キーとを構成要素として、単方向性関数を利用する変換を遂行して前記第1使用者認証キーを生成する段階と、前記第1使用者認証キーから時間抽出値発生器を通じて時間情報を利用して一定基準によって抽出される第2使用者認証キーを生成する段階と、前記使用者端末機で、前記第2使用者認証キーに対するOTP(One Time Password)演算を遂行して前記第1使用者認証情報を生成する段階と、を含むことができる。
前記第3段階と第4段階との間又は前記第4段階の後に、前記使用者端末機で、復号化キーを利用して復号化された第2共通認証キー又は暗号化されない状態の前記第2共通認証キーと、前記認証サーバーから伝送された前記第1サーバー認証情報又は前記第1使用者認証情報を構成要素として単方向性関数を利用する変換を遂行して第3使用者認証キーとを生成する段階と、前記使用者端末機で前記第3使用者認証キーに対するOTP(One Time Password)演算を遂行して第2使用者認証情報を生成する段階と、前記使用者端末機で前記第2使用者認証情報と前記復号化キーとを前記認証サーバーに伝送する段階と、前記認証サーバーで、前記暗号化された第1共通認証キーを前記復号化キーを利用して第1共通認証キーとして復号化し、前記第1共通認証キーと前記使用者端末機から伝送された第1使用者認証情報又は前記第1サーバー認証情報を構成要素に単方向性関数を利用する変換を遂行して第3サーバー認証キーを生成する段階と、前記第3サーバー認証キーに対するOTP(One Time Password)演算を遂行して第2サーバー認証情報を生成する段階と、をさらに含み、前記第4段階の後に、前記第2使用者認証情報と前記第2サーバー認証情報との一致の可否を判断して使用者認証を遂行する段階をさらに含むことができる。
前記第3段階と第4段階との間又は前記第4段階の後に、前記使用者端末機で、復号化キーを利用して復号化された第2共通認証キー又は暗号化されない状態の前記第2共通認証キーと、前記認証サーバーから伝送された前記第1サーバー認証情報又は前記第1使用者認証情報を構成要素として単方向性関数を利用する変換を遂行して第3使用者認証キーを生成する段階と、前記使用者端末機で、前記第3使用者認証キーから時間抽出値発生器を通じて時間情報を利用して一定基準によって抽出される第4使用者認証キーを生成する段階と、前記第4使用者認証キーに対するOTP(One Time Password)演算を遂行して前記第2使用者認証情報を生成する段階と、を含み、前記使用者端末機で前記第2使用者認証情報と前記復号化キーとを前記認証サーバーに伝送する段階と、前記認証サーバーで、前記暗号化された第1共通認証キーを前記復号化キーを利用して第1共通認証キーとして復号化し、前記使用者端末機から伝送された第1使用者認証情報又は前記第1サーバー認証情報と前記第1共通認証キーとを構成要素として単方向性関数を利用する変換を遂行して第3サーバー認証キーを生成する段階と、前記認証サーバーで、前記第3サーバー認証キーから時間抽出値発生器を通じて時間情報を利用して一定基準によって抽出される第4サーバー認証キーを生成する段階と、前記第4サーバー認証キーに対するOTP(One Time Password)演算を遂行して第2サーバー認証情報を生成する段階と、を含み、前記第4段階の後に、前記第2使用者認証情報と前記第2サーバー認証情報との一致の可否を判断して使用者認証を遂行する段階をさらに含むことができる。
前記第3段階は、使用者が認証のための個人暗証番号を入力するのに所要される時間を1/n(nは任意の正の実数)秒(Second)単位に測定した時間値であるギャップタイム値を前記使用者端末機で測定して前記認証サーバーに伝送する段階をさらに含み、前記使用者端末機で前記第3使用者認証キー生成の時に、前記ギャップタイム値又は前記ギャップタイム値で一定基準によって抽出された数字値であるギャップタイムキーが構成要素としてさらに追加され、前記認証サーバーで前記第3サーバー認証キー生成の時に、前記ギャップタイム値又は前記ギャップタイムキーが構成要素としてさらに追加されることができる。
前記第3段階は、使用者が認証のための個人暗証番号を入力するのに所要される時間を1/n(nは任意の正の実数)秒(Second)単位に測定した時間値であるギャップタイム値を前記使用者端末機で測定して前記認証サーバーに伝送する段階をさらに含み、前記使用者端末機で前記第3使用者認証キー生成の時に、前記ギャップタイム値又は前記ギャップタイム値で一定基準によって抽出された数字値であるギャップタイムキーが構成要素としてさらに追加され、前記認証サーバーで前記第3サーバー認証キー生成の時に、前記ギャップタイム値又は前記ギャップタイムキーが構成要素としてさらに追加されることができる。
前記単方向性関数は、任意の長さを有するデータを固定された長さのデータにマッピングする関数にハッシュ(HASH)関数を含み、前記第2次変換のための暗号化は、暗号化キーと復号化キーとが同一の対称キー暗号化方式が使用されることができる。
前記使用者端末機又は前記認証サーバーで伝送される認証情報又は認証キーを含む伝送対象データには、データの無欠性検証のための検証キーが追加されて伝送され、前記検証キーは、伝送対象データの各々に対してOTP(One Time Password)演算を遂行した第1OTP演算値を追加し、前記使用者端末機又は前記認証サーバーで前記データの受信の時には、受信されたデータに対するOTP(One Time Password)演算を遂行した第2OTP演算値と前記検証キーとを比較して無欠性検証を遂行することができる。
前記認証サーバーでは一定時間内に前記第1サーバー認証情報が複数個に伝送された場合に、前記使用者端末機に前記第2使用者認証情報の追加的な受動入力を要求し、前記第2使用者認証情報が受動入力を通じて伝送されれば、受動入力された第2使用者認証情報と前記第2サーバー認証情報とを比較して使用者認証を遂行することができる。
前記認証サーバーで前記使用者端末機に第3使用者認証情報を要請する段階と、前記第3使用者認証情報が前記使用者端末機を通じて伝送されれば、前記認証サーバーで、前記第3使用者認証情報と前記第3サーバー認証情報との一致の可否を判断して使用者認証を遂行する段階と、をさらに含み、前記第3使用者認証情報は、前記使用者端末機で前記認証機関の固有キーと前記第4使用者認証キーとを構成要素として単方向性関数を利用する変換を遂行して第5使用者認証キーを生成し、前記第5使用者認証キーに対するOTP(One Time Password)演算を遂行して生成され、前記第3サーバー認証情報は、前記認証サーバーで、前記認証機関の固有キーと前記第4サーバー認証キーとを構成要素として単方向性関数を利用する変換を遂行して第5サーバー認証キーを生成し、前記第5サーバー認証キーに対するOTP(One Time Password)演算を遂行して生成されることができる。
前記使用者端末機は前記第1段階乃至前記4段階の認証手続を遂行中にハッキングを含む攻撃兆候を感知して、攻撃兆候が感知される場合、認証手続を強制に中断するための強制中断信号を生成して前記認証サーバーに伝送することによって、認証手続を強制中断させることができる。
上記した技術的課題の一部を達成するための本発明の具体化によって、本発明に係る使用者端末機と認証サーバーとを利用する使用者認証方法は、使用者によって使用者登録のための手続が開始されれば、前記使用者端末機では前記使用者端末機の機械的固有キーを構成要素として単方向性関数を利用する第1次変換を遂行して第1共通認証キーを生成し、前記第1共通認証キーを暗号化する第2次変換を遂行して暗号化された第1共通認証キーを前記認証サーバーに提供し、前記認証サーバーでは前記暗号化された第1共通認証キーを使用者情報にマッチングして登録する第1段階と、前記認証サーバーで、内蔵された認証機関の固有キーと前記暗号化された第1共通認証キーとを構成要素として単方向性関数を利用する変換を遂行して第1サーバー認証キーを生成し、前記第1サーバー認証キー又は前記第1サーバー認証キーの変換値である第2サーバー認証キーに対するOTP(One Time Password)演算を遂行して第1サーバー認証情報を生成する第2段階と、認証のために使用者から認証手続が開始されれば、前記使用者端末機で前記使用者端末機の機械的固有キーを構成要素として単方向性関数を利用する第1次変換を遂行して第2共通認証キーをリアルタイムに生成し、前記第2共通認証キーを暗号化する第2次変換を遂行して暗号化された第2共通認証キーを生成し、前記認証サーバーから予め提供された認証機関の固有キーと前記暗号化された第2共通認証キーとを構成要素として単方向性関数を利用する変換を遂行して第1使用者認証キーを生成し、前記第1使用者認証キー又は前記第1使用者認証キーの変換値である第2使用者認証キーに対するOTP(One Time Password)演算を遂行して第1使用者認証情報を生成する第3段階と、前記第1サーバー認証情報と前記第1使用者認証情報との一致の可否にしたがって使用者認証を遂行するか、又は前記認証サーバーの真偽の可否を判断する認証サーバー認証を遂行する第4段階と、を具備することができる。
前記第1共通認証キーを暗号化するための第1暗号化キー及び前記第2共通認証キーを暗号化するための第2暗号化キーは、使用者が入力した個人暗証番号を構成要素として単方向性関数を利用する変換を遂行することによって生成されるか、或いはランダムに生成されることができる。
前記第1暗号化キー及び前記第2暗号化キーは、前記使用者端末機の機械的固有キーが構成要素として追加されて、前記個人暗証番号と前記使用者端末機の機械的固有キーとを組合して単方向性関数を利用する変換を遂行することによって生成されることができる。
前記第1共通認証キー、前記第2共通認証キー、前記第1暗号化キー、及び前記第2暗号化キーの各々の生成の時には、前記使用者端末機に設置された専用アプリケーションプログラムの固有キーが構成要素としてさらに追加されることができる。
前記第2暗号化キーは、前記個人暗証番号と前記使用者端末機の機械的固有キーとを組合せて単方向性関数を利用する変換を遂行することによって生成された第3暗号化キーを利用して暗号化されることができる。
前記第2段階は、前記認証サーバーで、内蔵された認証機関の固有キーと前記暗号化された第1共通認証キーとを構成要素として、単方向性関数を利用する変換を遂行して前記第1サーバー認証キーを生成する段階と、前記認証サーバーで、前記第1サーバー認証キーから時間抽出値発生器を通じて時間情報を利用して一定基準によって抽出される第2サーバー認証キーを生成する段階と、前記認証サーバーで前記第2サーバー認証キーに対するOTP(One Time Password)演算を遂行して前記第1サーバー認証情報を生成する段階と、を含み、前記第3段階は、前記使用者端末機で、前記暗号化された第2共通認証キーが生成されれば、前記認証サーバーから予め提供された認証機関の固有キーと前記暗号化された第2共通認証キーとを構成要素として、単方向性関数を利用する変換を遂行して第1使用者認証キーを生成する段階と、前記第1使用者認証キーから時間抽出値発生器を通じて時間情報を利用して一定基準によって抽出される第2使用者認証キーを生成する段階と、前記使用者端末機で、前記第2使用者認証キーに対するOTP(One Time Password)演算を遂行して前記第1使用者認証情報を生成する段階と、を含むことができる。
前記第3段階と第4段階との間又は前記第4段階の後に、前記使用者端末機で、復号化キーを利用して復号化された第2共通認証キー又は暗号化されない状態の前記第2共通認証キーと、前記認証サーバーから伝送された前記第1サーバー認証情報又は前記第1使用者認証情報を構成要素として単方向性関数を利用する変換を遂行して第3使用者認証キーを生成する段階と、前記使用者端末機で前記第3使用者認証キーに対するOTP(One Time Password)演算を遂行して第2使用者認証情報を生成する段階と、前記使用者端末機で前記第2使用者認証情報と前記復号化キーとを前記認証サーバーに伝送する段階と、前記認証サーバーで、前記暗号化された第1共通認証キーを前記復号化キーを利用して第1共通認証キーとして復号化し、前記第1共通認証キーと前記使用者端末機から伝送された第1使用者認証情報又は前記第1サーバー認証情報を構成要素として単方向性関数を利用する変換を遂行して第3サーバー認証キーを生成する段階と、前記第3サーバー認証キーに対するOTP(One Time Password)演算を遂行して第2サーバー認証情報を生成する段階と、をさらに含み、前記第4段階の後に、前記第2使用者認証情報と前記第2サーバー認証情報との一致の可否を判断して使用者認証を遂行する段階をさらに含むことができる。
前記第3段階は、使用者が認証のための個人暗証番号を入力するのに所要される時間を1/n(nは任意の正の実数)秒(Second)単位に測定した時間値であるギャップタイム値を前記使用者端末機で測定して前記認証サーバーに伝送する段階をさらに含み、前記使用者端末機で前記第3使用者認証キー生成の時に、前記ギャップタイム値又は前記ギャップタイム値で一定基準によって抽出された数字値であるギャップタイムキーが構成要素としてさらに追加され、前記認証サーバーで前記第3サーバー認証キー生成の時に、前記ギャップタイム値又は前記ギャップタイムキーが構成要素としてさらに追加されることができる。
前記第3段階は、使用者が認証のための個人暗証番号を入力するのに所要される時間を1/n(nは任意の正の実数)秒(Second)単位に測定した時間値であるギャップタイム値を前記使用者端末機で測定して前記認証サーバーに伝送する段階をさらに含み、前記使用者端末機で前記第3使用者認証キー生成の時に、前記ギャップタイム値又は前記ギャップタイム値で一定基準によって抽出された数字値であるギャップタイムキーが構成要素としてさらに追加され、前記認証サーバーで前記第3サーバー認証キー生成の時に、前記ギャップタイム値又は前記ギャップタイムキーが構成要素としてさらに追加されることができる。
前記使用者端末機又は前記認証サーバーで伝送される認証情報又は認証キーを含む伝送対象データには、データの無欠性検証のための検証キーが追加されて伝送され、前記検証キーは、伝送対象データの各々に対してOTP(One Time Password)演算を遂行した第1OTP演算値を追加し、前記使用者端末機又は前記認証サーバーで前記データの受信の時には、受信されたデータに対するOTP(One Time Password)演算を遂行した第2OTP演算値と前記検証キーとを比較して無欠性検証を遂行することができる。
前記認証サーバーでは一定時間内に前記第1サーバー認証情報が複数個に伝送された場合に、前記使用者端末機に前記第2使用者認証情報の追加的な受動入力を要求し、前記第2使用者認証情報が受動入力を通じて伝送されれば、受動入力された第2使用者認証情報と前記第2サーバー認証情報とを比較して使用者認証を遂行することができる。
前記認証サーバーで前記使用者端末機に第3使用者認証情報を要請する段階と、前記第3使用者認証情報が前記使用者端末機を通じて伝送されれば、前記認証サーバーで、前記第3使用者認証情報と前記第3サーバー認証情報との一致の可否を判断して使用者認証を遂行する段階と、をさらに含み、前記第3使用者認証情報は、前記使用者端末機で前記認証機関の固有キーと前記第4使用者認証キーとを構成要素として単方向性関数を利用する変換を遂行して第5使用者認証キーを生成し、前記第5使用者認証キーに対するOTP(One Time Password)演算を遂行して生成され、前記第3サーバー認証情報は、前記認証サーバーで、前記認証機関の固有キーと前記第4サーバー認証キーとを構成要素として単方向性関数を利用する変換を遂行して第5サーバー認証キーを生成し、前記第5サーバー認証キーに対するOTP(One Time Password)演算を遂行して生成されることができる。
前記使用者端末機は、前記第1段階乃至前記4段階の認証手続を遂行中にハッキングを含む攻撃兆候を感知して、攻撃兆候が感知される場合、認証手続を強制に中断するための強制中断信号を生成して前記認証サーバーに伝送することによって、認証手続を強制中断させることができる。
本発明によれば、公開ネットワーク上で個人情報流出を根本的に遮断し、ハッキングの危険から自由になって保安性が強化され、伝送データの無欠性に対する検証が可能である効果がある。また、認証のための認証サーバー、認証機関、ウェブサイト等の真偽のチェックが可能であり、無欠性及び唯一性の確保が可能である使用者認証が可能になる長所がある。また、認証情報を生成する時、前の値を利用して単方向性変換を遂行して次の値を生成する連鎖(chaining)方式を取ることによって、端末機の時間操作を通じて未来に生成される値を予め探り出す操作等を根本的に防止できる効果がある。
本発明の実施形態に係る使用者認証方法に使用される認証装置の簡略概念図である。 本発明の第1実施形態に係る使用者認証方法を示した順序図である。 図2で第1共通認証キー及び暗号化された第1共通認証キーを生成する過程を示したブロック図である。 図2で第1サーバー認証情報の生成過程を示したブロック図である。 図2で第1使用者認証情報の生成過程を示したブロック図である。 本発明の第2実施形態に係る使用者認証方法を示した順序図である。 図6で第2使用者認証情報の生成過程を示したブロック図である。 図6で第2サーバー認証情報の生成過程を示したブロック図である。 第3サーバー認証情報及び第3使用者認証情報の生成過程を示したブロック図である。 本発明の第3実施形態に係る使用者認証方法で第2使用者認証情報を生成する過程を示したブロック図である。 本発明の第3実施形態に係る使用者認証方法で第2サーバー認証情報の生成過程を示したブロック図である。 本発明の第4実施形態に係る使用者認証方法を示した順序図である。 図12で第1共通認証キー及び暗号化された第1共通認証キーを生成する過程を示したブロック図である。 本発明の第5実施形態に係る使用者認証方法を示した順序図である。
以下では本発明の望ましい実施形態が、本発明が属する技術分野で通常の知識を有する者に本発明の徹底した理解を提供する意図の外には他の意図無しで、添付した図面を参照にして詳細に説明される。
図1は本発明の実施形態にしたがう使用者認証方法に使用される認証装置500の簡略概念図である。
図1に図示されたように、本発明の実施形態に係る使用者認証方法のための認証装置500は使用者端末機100及び認証サーバー200を具備する。
前記使用者端末機100は前記認証サーバー200と有無線インターネット網を通じて互いに連結され、前記使用者端末機100には前記認証サーバー200で提供された使用者認証のための専用アプリケーションプログラム(以下、'専用アプリ'と称する)が設置される。前記使用者端末機100はスマートフォン、タブレット、PDA等を含んで通常の技術者に広く公知されたモバイル端末機が含まれることができる。また、デスクトップコンピュータPC、ノートブック型コンピューター、シンクライアント(thin client)用端末機、ゼロクライアント(zero−client)用端末機等を含むことができる。ここで、シンクライアント(thin client)用端末機はCPU・メモリ等の必須的なハードウェア装置のみを搭載した状態でネットワークに連結された中央サーバーですべての業務を管理するように設計された業務用端末機を称する。前記ゼロクライアント(zero client)用端末機はメモリ等の必須的な要素も全て無くしてPC本体の自体が必要としなく、すべての業務をサーバーで処理するようにして単なるサーバーを連結する端末機の役割のみを遂行するようにするものを称する。
本発明で、前記使用者端末機100は使用者が使用できる有無線通信が可能であるすべての端末機を称するが、特別に区分が必要である場合には、スマートフォン、タブレット、PDA等を含むモバイル端末機の場合は第1使用者端末機と称し、デスクトップコンピュータPC、ノートブック型コンピューター、シンクライアント(thin client)用端末機、ゼロクライアント(zero−client)用端末機等の場合は第2使用者端末機と称し、図面符号は同一の番号である'100'を使用する。
前記認証サーバー200は一般的に金融機関等の認証機関で使用者認証等の認証手続きに使用されるサーバーを含み、その他の通常の技術者に広く公知された認証サーバーが含まれる。
以下で使用される認証のための認証番号、暗証番号等の番号、固有キー、認証キー、認証情報等は文字、特殊文字、数字、各種の記号等が組合されたことであって、単純に数字のみの組合を意味しないことは明白であり、暗号化されたことを意味することもあり得、暗号化されないことを意味することもできる。また、番号、キー、情報、値等の用語は互いに区分のために便宜上に与えた用語であり、特別な意味が与えられたことではない。
また、以下で前記使用者端末機100で遂行される各種構成は使用者端末機100に設置された専用アプリによって遂行される構成である。したがって、前記使用者端末機100によって遂行されたとすれば,前記使用者端末機100に設置された専用アプリによって遂行されることを意味する。
また、本発明では'一定基準'という用語が使用されるが、この一定基準という用語は何らかの基準又は予め定まれた基準があるという意味であり、同一の用語が複数に使用されたとしても互いに同一の基準を有することを意味することではない。したがって、本発明で使用される一定基準という用語が複数に使用される場合には、特別に同一の基準であると明示した場合を除いては互いに同一の基準を意味しない。
以下、使用者端末機100及び認証サーバー200を基本構成として本発明に係る使用者認証方法の各実施形態を説明する。
図2は本発明の第1実施形態に係る使用者認証方法を示した順序図であり、図3は図22で第1共通認証キー及び暗号化された第1共通認証キーを生成する過程を示したブロック図であり、図4は第1サーバー認証情報の生成過程を示したブロック図であり、図5は第1使用者認証情報の生成過程を示したブロック図である。
図2乃至図5に図示されたように、本発明の第1実施形態に係る使用者認証方法は使用者が使用者端末機100が使用者登録のために前記専用アプリをダウンロードして設置することによって開始される。使用者登録手続きは前記専用アプリの設置過程で遂行されることも可能であり、前記専用アプリの設置の後に別の使用者登録過程を通じて遂行されることも可能である。
先ず、使用者によって使用者登録のための手続が開始されて、使用者が使用者情報と個人暗証番号とを前記使用者端末機100を通じて入力すれば(S102)、前記使用者端末機100では前記使用者端末機100の機械的固有キーを利用して単方向性関数110を利用する第1次変換を遂行して第1共通認証キーを生成する(S104)。
ここで、前記第1共通認証キーは前記使用者端末機100の機械的固有キーを単独構成要素として一定基準によって生成された演算キーを通じて前記単方向性関数110を利用する第1次変換を通じて生成されることも可能であるが、前記使用者端末機100の機械的固有キーに他の構成要素が追加されることが可能である。
本発明の第1実施形態の場合には使用者が入力した前記個人暗証番号が前記第1共通認証キーの生成のための構成要素に追加されることができる。
ここで、前記使用者端末機100の機械的固有キーは、例えばシリアル番号やUSIM番号等を含むことができ、それ以外に前記使用者端末機を区分するために与えられた各種固有番号、電話番号等を含むことができる。
前記単方向性関数110は任意の長さのデータを固定された長さのデータにマッピングして変換させる関数として、逆変換、即ち元のデータに復元することが不可能であることと公知された関数を全て意味することができる。前記単方向性関数110としてはMD5、SHA、SHA2、scrypt等の暗号学的ハッシュ(hash)関数と、CRC32及びCHECKSUM等の非暗号学的ハッシュ関数を含んで通常の技術者に公知されたすべての単方向性関数が含まれることができ、前記第1共通認証キーはこれらの単方向性関数の中で選択されたいずれか1つの単方向性関数を利用して生成されることができる。
前記第1共通認証キーは図3に図示されたように、前記個人暗証番号及び前記使用者端末機100の機械的固有キーを構成要素として一定基準によって生成された演算キーを通じて演算して第1次変換させることによって生成されることができる。前記第1共通認証キーには前記専用アプリの固有キー(例えば、Device Token、Bundle ID、Package Name、App ID等)が構成要素にさらに含まれることもできる。
以後に前記第1共通認証キーは暗号化ユニット120を通じて暗号化キーを通じて暗号化される第2次変換を通じて暗号化された第1共通認証キーとして生成される(S106)。
ここで、暗号化には暗号化のための暗号化キーと復号化のための復号化キーとが同一の対称キー方式が使用されることができ、Twofish、Serpent、AES、Blowfish、CAST5、RC4、3DES、IDEA、RC6、DES等の中で選択された暗号化方式が利用されることができる。それ以外にも通常の技術者に広く公知された暗号化方式が適用されることが可能である。
前記使用者端末機100は前記暗号化された第1共通認証キーを前記使用者情報と共に前記認証サーバー200に伝送する(S108)。
前記認証サーバー200は前記使用者端末機100から伝送された前記暗号化された第1共通認証キーを前記使用者情報にマッチングして前記使用者情報と共に登録及び格納する(S202)。したがって、使用者登録手続が遂行されるようになる。前記使用者登録手続が遂行されれば、前記使用者端末機100では前記暗号化された第1共通認証キーを削除することができる。
従来の場合、使用者登録が遂行されれば、通常的に認証サーバーで個人暗証番号を格納しているが、本発明の第1実施形態の場合は前記認証サーバー200や使用者端末機100で暗証番号を格納せず、前記認証サーバー200では単なる前記第1共通認証キーのみを格納している。
したがって、使用者が個人暗証番号を忘れるか、或いは流出される場合には新しい登録手続を通じて新しい暗証番号が含まれた暗号化された第1共通認証キーを前記認証サーバー200に伝送して登録されるようにすることができるので、保安性が強化されることができる。
また、単方向性関数を利用する第1変換を通じて個人情報流出を防止することができ、暗号化の第2変換を通じて公開されたネットワーク環境でハッキングの心配せずに安全に使用者認証又は認証サーバー認証が可能な長所がある。
以後に前記認証サーバー200では内蔵された認証機関の固有キーと前記暗号化された第1共通認証キーとを組合せて第1サーバー認証情報を生成する(S204)。
前記第1サーバー認証情報は図4に図示されたように、2つの方式によって生成可能である。
1つの方法は図4の(a)に図示されたように、前記認証サーバー200で内蔵された認証機関の固有キーと前記暗号化された第1共通認証キーとを構成要素として単方向性関数210を通じた変換を通じて第1サーバー認証キーを生成し、前記第1サーバー認証キーに対するOTP(One Time Password)演算して時間値に同期化された第1サーバー認証情報を生成することができる。ここで、前記第1サーバー認証キーは前記認証機関の固有キーを演算キーとして前記暗号化された第1共通認証キーに対して前記単方向性関数210を通じた変換を遂行して生成される。また、前記第1サーバー認証情報はOTP発生器230を通じたOTP演算を通じて生成されることができる。
他の方法は図4の(b)に図示されたように、前記認証サーバー200で内蔵された認証機関の固有キーと前記暗号化された第1共通認証キーとを構成要素として単方向性関数210を通じた変換を通じて第1サーバー認証キーを生成し、前記第1サーバー認証キーから時間情報を利用して一定基準によって抽出される第2サーバー認証キーを生成する。
前記第2サーバー認証キーは別の時間抽出値発生器220を通じて抽出されて生成され、前記第2サーバー認証キーは第1サーバー認証キーから生成された任意の時間同期値を意味する。前記時間抽出値発生器220は一般的なOTP(One Time Password)発生器と動作原理が同一であり、一般的なOTP(One Time Password)発生器は出力値が数字で表示されるが、前記時間抽出値発生器220は出力値が数字や文字、その他の多様な記号等で表示される点が異なる。したがって、前記時間抽出値発生器220は一般的なOTP(One Time Password)演算を遂行するOTP発生器を含む概念として理解されなければならない。
以後に前記認証サーバー200で前記第2サーバー認証キーに対するOTP(One Time Password)発生器230を通じたOTP演算を遂行して前記第1サーバー認証情報を生成することが可能である。
前記第1サーバー認証情報は使用者登録の後に他の手続きに関わらず、独立的に生成されることが可能である。即ち、前記第1サーバー認証情報は前記使用者登録の後から後述する第1使用者認証情報の生成の時までの時間内に生成されれば、十分である。
そして、前記第1サーバー認証情報を前記使用者端末機100に伝送する場合にも、生成後直ちに伝送することも可能であり、必要であると判断される時点に伝送することも可能である。また、使用者端末機100の要請によって伝送することも可能である。
それ以後に使用者によって認証手続が開始されて前記使用者端末機100で使用者から認証のために前記個人暗証番号が入力されれば(S110)、前記使用者端末機100では前記使用者端末機100の機械的固有キーを利用して単方向性関数110を利用する第1次変換を遂行して第2共通認証キーを生成する(S112)。
ここで、前記第1共通認証キーは前記使用者端末機100の機械的固有キーを単独構成要素として一定基準によって生成された演算キーを通じて前記単方向性関数110を利用する第1次変換を通じて生成されることも可能であるが、前記使用者端末機100の機械的固有キーに他の構成要素が追加されることが可能である。
本発明の第1実施形態に場合には第1共通認証キーの生成方式と同様に使用者が入力した前記個人暗証番号が前記第2共通認証キーの生成のための構成要素に追加されることができる。
即ち、前記個人暗証番号及び前記使用者端末機100の機械的固有キーを組合して単方向性関数110を利用する第1次変換を遂行して第2共通認証キーを生成する(S112)。
前記単方向性関数110は前記第1共通認証キーを生成した単方向性関数と同一関数が使用されることができ、同一方式に適用可能である。
前記第2共通認証キーは前記第1共通認証キーの生成方式と同様に、前記個人暗証番号及び前記使用者端末機100の機械的固有キーを構成要素として一定基準によって生成された演算キーを通じて演算して第1次変換させることによって生成されることができる。
前記第2共通認証キーには前記専用アプリの固有キー(例えば、Device Token、Bundle ID、Package Name、App ID等)が構成要素にさらに含まれることもできる。これは前記第1共通認証キーに前記専用アプリの固有キーが構成要素として含まれた場合に対応して可能である。
以後に前記第2共通認証キーは第1共通認証キーの場合と同様に、暗号化ユニット120を通じて前記暗号化キーを通じて暗号化される第2次変換を通じて暗号化された第2共通認証キーとして生成される(S114)。暗号化方式は第1共通認証キーの場合と同様に適用される。
以後に前記使用者端末機100では前記暗号化された第2共通認証キーを利用して第1使用者認証情報を生成する(S116)。前記第1使用者認証情報に対応される前記第1サーバー認証情報の生成に対しては既に説明した。
前記第1使用者認証情報は図5に図示されたように、2つの方式によって生成可能である。
1つの方法は図5の(a)に図示されたように、前記認証サーバー200に内蔵された認証機関の固有キーと前記暗号化された第1共通認証キーとを構成要素として単方向性関数210を通じた変換を通じて第1サーバー認証キーを生成し、前記第1サーバー認証キーに対するOTP(One Time Password)演算して時間値に同期化された第1サーバー認証情報を生成することができる。前記認証機関の固有キーは前記専用アプリの設置の時に内蔵されて提供されるか、或いは認証手続の開始の前にアップデート等を通じて提供されることが可能である。
ここで、前記第1使用者認証キーは前記認証機関の固有キーを演算キーとして前記暗号化された第2共通認証キーに対して前記単方向性関数110を通じた変換を遂行して生成されることができる。また、前記第1使用者認証情報はOTP発生器130を通じたOTP演算を通じて生成されることができる。
他の方法は図5の(b)に図示されたように、前記認証サーバー200で予め提供された認証機関の固有キーと前記暗号化された第2共通認証キーとを構成要素として単方向性関数110を通じた変換を通じて第1使用者認証キーを生成し、前記第1使用者認証キーから時間情報を利用して一定基準によって抽出される第2使用者認証キーを生成する。前記認証機関の固有キーは前記専用アプリの設置の時に内蔵されて提供されるか、或いは認証手続の開始の前にアップデート等を通じて提供されることが可能である。
前記第2使用者認証キーは別の時間抽出値発生器120を通じて抽出されて生成され、前記第2使用者認証キーは第1使用者認証キーから生成された任意の時間同期値を意味することができる。前記時間抽出値発生器120は一般的なOTP(One Time Password)発生器と動作原理が同一であり、一般的なOTP(One Time Password)発生器は出力値が数字で表示されるが、前記時間抽出値発生器120は出力値が数字や文字、その他の多様な記号等で表示される点が異なる。したがって、前記時間抽出値発生器120は一般的なOTP(One Time Password)演算を遂行するOTP発生器を含む概念として理解されなければならない。
以後に前記使用者端末機100で前記第2使用者認証キーに対してOTP発生器(130)を通じたOTP(One Time Password)演算を遂行して前記第1使用者認証情報を生成することが可能である。
ここで、前記第1使用者認証情報の生成方式は前記第1サーバー認証情報の生成方式と同一性が維持されなければならない。前記第1サーバー認証情報が図4の(a)を通じて説明された方式に生成されれば、前記第1使用者認証情報また図5の(a)を通じて説明した方式に生成されなければならない。また、単方向性関数やOTP演算等も互いに対応されるように適用されなければならない。そして、前記第1サーバー認証情報が図4の(b)を通じて説明された方式に生成されれば、前記第1使用者認証情報また図5の(b)を通じて説明した方式に生成されなければならない。また、単方向性関数やOTP演算、時間値抽出等も対応して同一の方式が適用されなければならない。
以後に前記第1使用者認証情報が前記使用者端末機100を通じて前記認証サーバー200に伝送されれば(S118)、前記認証サーバー200では認証情報の一致の可否、即ち前記第1使用者認証情報と前記第1サーバー認証情報との一致の可否にしたがって使用者認証を遂行する(S208)。前記第1使用者認証情報は手動に使用者によって入力されて伝送されることも可能であり、自動に伝送されるようにすることも可能であり、使用者の伝送指示によって自動に伝送されるようにすることも可能である。
ここで、前記使用者端末機100は前記認証サーバー200と連結された1つ又は複数の使用者端末機が使用されることが可能である。例えば、第1使用者端末機100に第1共通認証キー等の登録手続を進行し、第2使用者端末機100に認証手続を進行することが可能であり、その反対の場合も可能である。また、認証手続の場合にも、第1使用者認証情報は前記第1使用者端末機100を通じて生成し、前記第1使用者認証情報の入力や伝送は前記第2使用者端末機100を通じて遂行されることが可能である。以外にも多様な手続きで複数の使用者端末機100が利用されることが可能である。
そして、前記第1使用者認証情報と前記第1サーバー認証情報とを使用者が使用者端末機100で比較することによって、前記認証サーバー200の真偽、認証サーバー200に連結された接続ウェブページの真偽、又は認証サービスを供給するサービス供給者又は認証機関の真偽を確認することが可能である。従来の場合、認証機関を詐称して認証機関の接続ウェブページと類似に構成して使用者を混同させる事例が多くあるにもこれに対する適切な対応策がなかったことが事実である。本発明ではこのような問題点を解決するために認証機関(又はサービス供給者)の真偽を使用者が確認することが可能である。
このために前記第1サーバー認証情報が生成される場合、前記認証サーバー200では前記第1サーバー認証情報を前記接続ウェブページを通じて表示するようにするか、或いは前記使用者端末機100に伝送するようにする(S206)。前記第1サーバー認証情報が表示されるか、或いは伝送されれば、これを前記使用者端末機100で前記第1使用者認証情報と比較することによって前記認証サーバー200が真の認証サーバーであるか、或いは前記接続ウェブページが真のものであるかの真偽を判別する認証サーバー認証が可能である(S120)。即ち、前記認証サーバー200の真偽、認証サーバー200に連結された接続ウェブページの真偽、又は認証サービスを供給するサービス供給者又は認証機関の真偽を確認することが可能である。
ここで、前記第1サーバー認証情報が暗号化された前記第2共通認証キーを生成する前に予め前記使用者端末機100に伝送された状態である場合には再伝送するか、別に伝送する必要無しで予め伝送された前記第1サーバー認証情報を利用して認証サーバー認証を遂行する。
本発明の第1実施形態では、前記第1サーバー認証情報及び前記第1使用者認証情報を前記使用者端末機100で比較すれば、一致の可否を通じて認証機関又は認証サーバー200の真偽を判別する認証機関認証又は認証サーバー認証が可能であり、前記第1サーバー認証情報及び前記第1使用者認証情報を前記認証サーバー200で比較すれば、一致の可否を通じて使用者認証が可能であるようになる。
ここで、前記認証サーバーの認証手続(S206、S120)と前記使用者認証手続(S118、S208)とは同時に遂行されることも可能であり、前記認証サーバーの認証手続が先に遂行された後に認証が確認されれば、前記使用者認証手続が遂行されることも可能であり、認証サーバーの認証手続又は使用者認証手続の中でいずれか1つが選択されて遂行されることも可能である。
上述した本発明の第1実施形態の場合に前記使用者端末機100と前記認証サーバー200との間に伝送されるすべてのデータは公開キー方式の暗号化が遂行されて伝送されることができる。
上述した本発明の第1実施形態の場合に、認証サーバー認証ではない使用者認証を遂行する場合において、使用者端末機100を複数個使用するか、或いはモバイル端末機、デスクトップコンピュータPC、タブレット等を同時に使用して使用者認証を遂行する場合、ハッキング試図、異常現象や誤謬等その他の原因によって前記第1使用者認証情報が前記認証サーバー200に一定時間内に複数個が伝送される場合があり得る。
この場合には確実な認証のために前記認証サーバー200では前記第1使用者認証情報が伝送された場合でも、前記使用者端末機100に前記第1使用者認証情報の再伝送を要性し、自動伝送ではない手動入力を通じた再伝送を要請することが可能である。この時、第1使用者認証情報は使用者が手動入力が可能するように前記使用者端末機100の画面に表示されなければならない。ここで、手動入力は2回連続に遂行するように要請することが可能である。手動入力を通じて第1使用者認証情報が伝送されれば、前記認証サーバー200で手動入力を通じて伝送された第1使用者認証情報と前記第1サーバー認証情報とを比較して使用者認証を遂行することが可能である。
一方、認証過程でハッキング等の攻撃兆候がある場合に、例えば、ローディング時間が平常時より顕著に遅くなった場合、デスクトップコンピュータPCでログインする場合に、デスクトップコンピュータPCの画面とモバイル端末機画面とに現れる事前約束された値が異なる場合等を含んで通常の技術者に広く公知されたハッキング等の攻撃兆候が感知される場合に、前記使用者端末機100では認証手続を強制中断させることができる強制中断信号を自動又は手動に前記認証サーバー200に伝送することが可能である。前記強制中断信号が前記認証サーバー200に伝送されれば、前記使用者端末機100及び前記認証サーバー200は上述した認証手続を中断し、新しい認証手続が開始する時まで待機する。
他の例として、前記攻撃兆候が感知される場合に前記認証サーバー200で自体判断して強制中断の可否を問う信号を前記使用者端末機100に伝送して使用者端末機100の応答信号に対応して強制中断の可否を決定することも可能である。
そして、前記使用者端末機100と前記認証サーバー200との間に伝送される認証情報及び認証キー等を含むすべての伝送対象データにはデータの無欠性検証のための検証キーが追加されることができる。即ち、伝送対象データに前記検証キーが追加されて伝送されることが可能である。前記検証キーは伝送対象データの各々に対してOTP(One Time Password)演算を遂行した第1OTP演算値を含むことができる。
そして、前記使用者端末機100又は前記認証サーバー200で前記データの受信の時には、受信されたデータに対するOTP(One Time Password)演算を遂行した第2OTP演算値と前記検証キーを比較して無欠性検証を遂行することが可能である。
例えば、前記使用者端末機100で前記第1使用者認証情報を前記認証サーバー200に伝送する場合に、前記第1使用者認証情報に前記第1使用者認証情報をOTP演算した第1OTP演算値が検証キーとして追加されて伝送されることが可能である。この場合、前記認証サーバー200では前記第1使用者認証情報を受信した場合、前記検証キーを分離した第1使用者認証情報に対するOTP(One Time Password)演算を遂行した第2OTP演算値と前記検証キーとを比較して無欠性検証を遂行することによって前記第1使用者認証情報の無欠性検証が可能になる。
上述した本発明の第1実施形態の場合で前記第1使用者認証情報と前記第1サーバー認証情報とを前記使用者端末機100で比較して認証する認証サーバー認証を遂行した場合には、追加的な使用者認証手続が必要とする。そして、前記第1使用者認証情報と前記第1サーバー認証情報とを前記認証サーバー200で比較して認証する使用者認証を遂行した場合にも追加的な信頼性確保のために追加的な使用者認証が必要とする場合がある。このために後述する本発明の第2実施形態が必要とする。
以下、本発明の第2実施形態を説明する。
図6は本発明の第2実施形態に係る使用者認証方法を示した順序図である。
図7は図6で第2使用者認証情報を生成する過程を示したブロック図であり、図8は第2サーバー認証情報の生成過程を示したブロック図である。
図6乃至図8に図示されたように、本発明の第2実施形態に係る使用者認証方法は、本発明の第1実施形態を通じて説明された認証手続を全て含み、前記第1使用者認証情報と前記第1サーバー認証情報とを通じて使用者認証(S208)又は認証サーバー認証(S120)が行われた状態で追加される過程を含む。したがって、前記第1使用者認証情報と前記第1サーバー認証情報とを通じて使用者認証(S208)又は認証サーバー認証(S120)が行われる過程は本発明の第1実施形態を通じて説明したので、詳細な説明を省略する。
前記第1サーバー認証情報及び前記第1使用者認証情報が生成され、前記使用者認証(S208)又は認証サーバー認証(S120)が遂行される前段階又は前記第1サーバー認証情報及び前記第1使用者認証情報を通じた前記使用者認証(S208)又は認証サーバー認証(S120)が遂行された後に、前記使用者端末機100では前記第1使用者認証情報又は前記第1サーバー認証情報と前記第2共通認証キーを利用して第2使用者認証情報とを生成する(S122)。
前記第2使用者認証情報の生成のための構成要素としては第1使用者認証情報及び前記第2共通認証キーが使用されることが一般的であるが、前記認証サーバー200で前記第1サーバー認証情報が伝送された場合には、前記第1サーバー認証情報が利用されることもあり得る。これは前記第1サーバー認証情報と前記第1使用者認証情報とが互いに同一の値であるという前提で可能である。以下では第1使用者認証情報を利用して前記第2使用者認証情報を生成する場合を説明する。
また、前記第2共通認証キーは前記暗号化された第2共通認証キーを復号化キーを利用して復号化した第2共通認証キーを意味するか、或いは暗号化されていない状態の第2共通認証キーを言う。以下で第2共通認証キーに特別な修飾語が無い場合に、前記第2共通認証キーは復号化された第2共通認証キーを意味するか、或いは暗号化されていない状態の第2共通認証キーを意味する。
前記第2使用者認証情報は図7に図示されたように、2つの方式によって生成可能である。
1つ方法は図7の(a)に図示されたように、前記第2共通認証キーと前記第1使用者認証情報とを構成要素として単方向性関数110を通じた変換を通じて第3使用者認証キーを生成し、前記第3使用者認証キーに対するOTP(One Time Password)演算をして時間値に同期化された前記第2使用者認証情報を生成することができる。
ここで、前記第3使用者認証キーは前記第2共通認証キーを演算キーとして前記第1使用者認証情報に前記単方向性関数110を通じた変換を遂行して生成されることができる。また、前記第2使用者認証情報はOTP発生器130を通じたOTP演算を通じて生成されることができる。
他の方法は図7の(b)に図示されたように、前記第2共通認証キーと前記第1使用者認証情報とを構成要素として単方向性関数110を通じた変換を通じて第3使用者認証キーを生成し、前記第3使用者認証キーから時間情報を利用して一定基準によって抽出される第4使用者認証キーを生成する。
前記第4使用者認証キーは別の時間抽出値発生器120を通じて抽出されて生成され、前記第4使用者認証キーは第3使用者認証キーから生成された任意の時間同期値を意味する。前記時間抽出値発生器120は一般的なOTP(One Time Password)発生器と動作原理が同一であり、一般的なOTP(One Time Password)発生器は出力値が数字で表示されるが、前記時間抽出値発生器220は出力値が数字や文字、その他の多様な記号等で表示される点が異なる。したがって、前記時間抽出値発生器120は一般的なOTP(One Time Password)演算を遂行するOTP発生器を含む概念として理解されなければならない。
以後に前記使用者端末機100で前記第4使用者認証キーに対してOTP発生器130を通じたOTP(One Time Password)演算を遂行して時間値に同期化された前記第2使用者認証情報を生成することが可能である。
前記第2使用者認証情報が生成されれば、前記使用者端末機100では前記第2使用者認証情報と前記暗号化された第1共通認証キーの復号化のための復号化キーを前記認証サーバー200に提供する(S124)。
前記認証サーバー200では前記使用者端末機100で提供された前記復号化キーを利用して前記暗号化された第1共通認証キーを第1共通認証キーとして復号化する。以下では別の修飾語が無い第1共通認証キーの用語は復号化された第1共通認証キーを意味することができる。
そして、前記第1共通認証キーと前記第1サーバー認証情報とを利用して第2サーバー認証情報を生成する(S210)。ここで、前記使用者端末機100で前記第1使用者認証情報が伝送された場合には前記第1サーバー認証情報の代わりに前記第1使用者認証情報が使用されることができることは、前記第2使用者認証情報の生成の時と同様である。
前記第2サーバー認証情報は図8に図示されたように、2つの方式によって生成可能である。
1つ方法は図8の(a)に図示されたように、前記認証サーバー200で前記第1サーバー認証情報と前記第1共通認証キーとを構成要素として単方向性関数210を通じた変換を通じて第3サーバー認証キーを生成し、前記第3サーバー認証キーに対するOTP(One Time Password)演算をして時間値に同期化された第2サーバー認証情報を生成することができる。ここで、前記第3サーバー認証キーは前記第1共通認証キーを演算キーとして前記第1サーバー認証情報に対して前記単方向性関数210を通じた変換を遂行して生成されることができる。また、前記第2サーバー認証情報は前記第3サーバー認証キーに対してOTP発生器230を通じたOTP演算を通じて生成される。
他の方法は図8の(b)に図示されたように、前記認証サーバー200で前記第1サーバー認証情報と前記第1共通認証キーとを構成要素として単方向性関数210を通じた変換を通じて第3サーバー認証キーを生成し、前記第3サーバー認証キーから時間情報を利用して一定基準によって抽出される第4サーバー認証キーを生成する。
前記第4サーバー認証キーは別の時間抽出値発生器220を通じて抽出されて生成され、前記第4サーバー認証キーは第3サーバー認証キーから生成された任意の時間同期値を意味する。前記時間抽出値発生器220は一般的なOTP(One Time Password)発生器と動作原理が同一であり、一般的なOTP(One Time Password)発生器は出力値が数字で表示されるが、前記時間抽出値発生器220は出力値が数字や文字、その他の多様な記号等で表示される点が異なる。したがって、前記時間抽出値発生器220は一般的なOTP(One Time Password)演算を遂行するOTP発生器を含む概念として理解されなければならない。
以後に前記認証サーバー200で前記第4サーバー認証キーに対するOTP(One Time Password)発生器230を通じたOTP演算を遂行して前記第2サーバー認証情報を生成することが可能である。
ここで、前記第2使用者認証情報と前記第2サーバー認証情報との生成方式と同一性が維持されなければならない。前記第1サーバー認証情報が図8の(a)を通じて説明された方式に生成されれば、前記第2使用者認証情報また図7の(a)を通じて説明した方式に生成されなければならない。また、単方向性関数やOTP演算等も互いに対応されるように適用されなければならない。そして、前記第2サーバー認証情報が図8の(b)を通じて説明された方式に生成されれば、前記第2使用者認証情報また図7の(b)を通じて説明した方式に生成されなければならない。また、単方向性関数やOTP演算、時間値抽出等も対応して同一の方式が適用されなければならない。
以後に前記認証サーバー200では認証情報の一致の可否、即ち前記第2使用者認証情報と前記第2サーバー認証情報との一致の可否にしたがって使用者認証を遂行する(S212)。前記第2使用者認証情報は手動で使用者によって入力されて伝送されることも可能であり、自動に伝送されるようにすることも可能であり、使用者の伝送指示によって自動に伝送されるようにすることも可能である。
ここで、前記使用者端末機100は前記認証サーバー200と連結された1つ又は複数の使用者端末機が使用されることが可能である。例えば、第1使用者端末機100に第1共通認証キー等の登録手続を進行し、第2使用者端末機100に認証手続を進行することが可能であり、その反対の場合も可能である。また、認証手続の場合にも、第1使用者認証情報や第2使用者認証情報は前記第1使用者端末機100を通じて生成し、前記第1使用者認証情報や第2使用者認証情報の入力や伝送は前記第2使用者端末機100を通じて遂行されることが可能である。それ以外にも多様な手続きで複数の使用者端末機100が利用されることが可能である。
上述した本発明の第2実施形態の場合に前記使用者端末機100と前記認証サーバー200との間に伝送されるすべてのデータは公開キー方式の暗号化が遂行されて伝送されることができる。
上述した本発明の第2実施形態で使用者認証を遂行する場合において、使用者端末機100を多数個使用するか、或いはモバイル端末機、デスクトップコンピュータPC、タブレット等を同時に使用して使用者認証を遂行する場合、異常現象や誤謬等その他の原因によって前記第1使用者認証情報又は第1サーバー認証情報が一定時間内に複数個が伝送される場合があり得る。
特に、第1サーバー認証情報が前記使用者端末機100に伝送されるようにして認証サーバー認証を遂行し、第2使用者認証情報が前記認証サーバー200に伝送されるようにして使用者認証を遂行する場合に、認証サーバー認証のために前記認証サーバー200で互いに異なる使用者端末機100又は同一の使用者端末機100に一定時間(例えば、30秒、60秒等)内に前記第1サーバー認証情報が多数個に伝送される場合があり得る。
この場合、確実な認証のために前記認証サーバー200では前記使用者端末機100で前記第2使用者認証情報が伝送された後でも、前記使用者端末機100に前記第2使用者認証情報の再伝送を要請し、自動伝送ではない手動入力を通じた再伝送を要請することが可能である。この時、前記第2使用者認証情報は前記使用者端末機100の画面に表示されなければならない。前記第2使用者認証情報が前記使用者端末機100で手動入力を通じて伝送されれば、前記認証サーバー200では手動入力された第2使用者認証情報と前記第2サーバー認証情報とを比較して使用者認証を追加的に遂行することが可能である。
認証の保安性を高めるために、前記第2使用者認証情報の再伝送を通じた追加認証の後又は前記第2使用者認証情報の再伝送を通じた追加認証に取り替えて、第3使用者認証情報及び第3サーバー認証情報の比較を通じた追加認証も可能である。これは図9を通じて説明する。
図9は第3サーバー認証情報及び第3使用者認証情報の生成過程を示したブロック図である。
前記第2使用者認証情報の再伝送を通じて追加認証の後又は前記第2使用者認証情報の再伝送を通じた追加認証に取り替えて、前記認証サーバー200では前記第3使用者認証情報を前記使用者端末機100に要請する。
この場合、前記使用者端末機100では図9の(a)に図示されたように、前記第2使用者認証情報生成のための構成要素である第4使用者認証キーと前記認証機関の固有キーを構成要素として単方向性関数110を利用する変換を遂行して第5使用者認証キーとを生成し、前記第5使用者認証キーに対するOTP(One Time Password)演算を遂行して前記第3使用者認証情報を生成することができる。
この時、前記認証サーバー200では前記第3使用者認証情報に対応される第3サーバー認証情報を生成する。
前記認証サーバー200では図9の(b)に図示されたように、前記第2サーバー認証情報生成のための構成要素である第4サーバー認証キーと前記認証機関の固有キーを構成要素に単方向性関数210を利用する変換を遂行して第5サーバー認証キーとを生成し、前記第5サーバー認証キーに対するOTP(One Time Password)演算を遂行して前記第3サーバー認証情報を生成することができる。
その後に前記第3使用者認証情報が前記認証サーバー200に伝送されれば、前記認証サーバー200には前記第3使用者認証情報と前記第3サーバー認証情報との一致の可否を判断して追加的な使用者認証を遂行する。
そして、認証過程でハッキング等の攻撃兆候がある場合に、例えばローディング時間が平常時より顕著に遅くなった場合、デスクトップコンピュータPCでログインする場合に、デスクトップコンピュータPCの画面とモバイル端末機画面とに現れる事前約束された値が異なる場合等を含んで通常の技術者に広く公知されたハッキング等の攻撃兆候が感知される場合に、前記使用者端末機100では認証手続を強制中断させることができる強制中断信号を自動又は手動に前記認証サーバー200に伝送することが可能である。前記強制中断信号が前記認証サーバー200に伝送されれば、前記使用者端末機100及び前記認証サーバー200は上述した認証手続を中断し、新しい認証手続が開始する時まで待機する。
他の例として、前記攻撃兆候が感知される場合に前記認証サーバー200で自体判断して強制中断の可否を問う信号を前記使用者端末機100に伝送して使用者端末機100の応答信号に対応して強制中断の可否を決定することも可能である。
一方、前記使用者端末機100と前記認証サーバー200との間に伝送される認証情報及び認証キー等を含むすべての伝送対象データにはデータの無欠性検証のための検証キーが追加されることができる。即ち、伝送対象データに前記検証キーが追加されて伝送されることが可能である。前記検証キーは伝送対象データの各々に対してOTP(One Time Password)演算を遂行した第1OTP演算値を含むことができる。
そして、前記使用者端末機100又は前記認証サーバー200で前記データの受信の時には、受信されたデータに対するOTP(One Time Password)演算を遂行した第2OTP演算値と前記検証キーとを比較して無欠性検証を遂行することが可能である。
例えば、前記使用者端末機100で前記第1使用者認証情報や前記第2使用者認証情報を前記認証サーバー200に伝送する場合に、前記第1使用者認証情報や前記第2使用者認証情報に前記第1使用者認証情報や前記第2使用者認証情報をOTP演算した第1OTP演算値が検証キーとして追加されて伝送されることが可能である。この場合、前記認証サーバー200では前記第1使用者認証情報や前記第2使用者認証情報を受信した場合、前記検証キーを分離した第1使用者認証情報や前記第2使用者認証情報に対するOTP(One Time Password)演算を遂行した第2OTP演算値と前記検証キーとを比較して無欠性検証を遂行することによって前記第1使用者認証情報や前記第2使用者認証情報の無欠性検証が可能になる。
本発明の第2実施形態の場合は保安性が強化され、無欠性が確保される長所を有する。ここで、構成要素をさらに追加して認証手続上の保安性を強化することが可能である。これは本発明の第3実施形態を通じて説明する。
図10は本発明の第3実施形態に係る使用者認証方法で第2使用者認証情報を生成する過程を示したブロック図であり、図11は本発明の第3実施形態に係る使用者認証方法で第2サーバー認証情報の生成過程を示したブロック図である。
図10及び図11に図示されたように、本発明の第3実施形態は本発明の第2実施形態で第2使用者認証情報及び前記第2サーバー認証情報生成の時にギャップタイム(gap time)値又はギャップタイムキーが構成要素として追加される点を除くては本発明の第2実施形態と同一の構成を有する。
前記ギャップタイム値は本発明の第1実施形態及び第2実施形態を通じて説明した手続中、使用者が認証のための個人暗証番号を入力する手続(S110)で求められる。具体的に、前記使用者が認証のための個人暗証番号を入力すれば、前記使用者端末機100では前記使用者が個人暗証番号を入力するのに所要される時間を1/n(nは任意の量の実数)秒(second)単位に測定し、この時測定した時間値をギャップタイム値として定義する。
ここで、1/n秒は前記使用者端末機100のハードウェア的又はソフトウェア的に分割される範囲の時間単位を意味する。例えば、個人暗証番号を第1番目の桁値から最後の桁値まで入力するのに、秒単位には10秒が掛かったと表現されることができるが、1/1000秒単位に測定する場合には10436等に測定値が得ることができる。又は、1/1,000,000秒単位、又は1/1、000,000,000秒単位にして測定する場合は数多い数字が含まれた測定値が得ることができる。
ここで、前記個人暗証番号入力のための入力窓が画面に表示された時点から前記個人暗証番号の第1番目の桁値が入力される時点までの時間区間を第1時間区間として定義し、前記個人暗証番号の最後の桁値が入力される時点から前記個人暗証番号の入力完了を知らせる入力キー(又はエンターキー)の信号が入力される時点までの時間区間を第2時間区間として定義する時、前記ギャップタイム値は前記第1時間区間の中でいずれか1つの時点から前記第2時間区間の中でいずれか1つの時点までの時間測定値である。
前記ギャップタイムキーは前記ギャップタイム値で一定基準によって抽出された数字値を意味する。
前記使用者端末機100では前記ギャップタイム値が測定される場合、前記ギャップタイム値及び/又は前記ギャップタイムキーを前記認証サーバー200にも伝送する。前記認証サーバー200では前記使用者端末機100から前記ギャップタイム値又は/及び前記ギャップタイムキーが伝送されれば、これを前記使用者情報等とマッチングして格納及び登録する。
本発明の第3実施形態において、前記第2使用者認証情報は図10に図示されたように、2つの方式によって生成可能である。
1つの方法は図10の(a)に図示されたように、前記第2共通認証キーと前記第1使用者認証情報とを構成要素として単方向性関数110を通じた変換を通じて第3使用者認証キーを生成し、前記第3使用者認証キーに対するOTP(One Time Password)演算をして時間値に同期化された前記第2使用者認証情報を生成することができる。
ここで、前記第3使用者認証キーは前記第2共通認証キーを演算キーとして前記ギャップタイム値又はギャップタイムキーに前記第1使用者認証情報を組合せた値を前記単方向性関数110を通じた変換を遂行して生成されることができる。また、前記第2使用者認証情報は前記第3使用者認証キーに対してOTP発生器130を通じたOTP演算を通じて生成されることができる。
他の方法は図10の(b)に図示されたように、前記第2共通認証キーと前記第1使用者認証情報及び前記ギャップタイム値又はギャップタイムキーとを構成要素として単方向性関数110を通じた変換を通じて第3使用者認証キーを生成し、前記第3使用者認証キーから時間情報を利用して一定基準によって抽出される第4使用者認証キーを生成することができる。
前記第4使用者認証キーは別の時間抽出値発生器120を通じて抽出されて生成され、前記第4使用者認証キーは第3使用者認証キーから生成された任意の時間同期値を意味する。前記時間抽出値発生器120は一般的なOTP(One Time Password)発生器と動作原理が同一であり、一般的なOTP(One Time Password)発生器は出力値が数字で表示されるが、前記時間抽出値発生器220は出力値が数字や文字、その他の多様な記号等で表示される点が異なる。したがって、前記時間抽出値発生器120は一般的なOTP(One Time Password)演算を遂行するOTP発生器を含む概念として理解されなければならない。
以後に前記使用者端末機100で前記第4使用者認証キーに対してOTP発生器130を通じたOTP(One Time Password)演算を遂行して時間値に同期化された前記第2使用者認証情報を生成することが可能である。
前記第2サーバー認証情報は図11に図示されたように、2つの方式によって生成可能である。
1つの方法は図11の(a)に図示されたように、前記認証サーバー200で前記ギャップタイム値又はギャップタイムキーと前記第1サーバー認証情報と前記第1共通認証キーとを構成要素として単方向性関数210を通じた変換を通じて第3サーバー認証キーを生成し、前記第3サーバー認証キーに対するOTP(One Time Password)演算をして時間値に同期化された第2サーバー認証情報を生成することができる。ここで、前記第3サーバー認証キーは前記第1共通認証キーを演算キーとして前記ギャップタイム値又はギャップタイムキーに前記第1サーバー認証情報を組合した値に対して前記単方向性関数210を通じた変換を遂行して生成されることができる。また、前記第2サーバー認証情報は前記第3サーバー認証キーに対してOTP発生器230を通じたOTP演算を通じて生成される。
他の方法は図11の(b)に図示されたように、前記認証サーバー200で前記ギャップタイム値又はギャップタイムキーと前記第1サーバー認証情報と前記第1共通認証キーとを構成要素として単方向性関数210を通じた変換を通じて第3サーバー認証キーを生成し、前記第3サーバー認証キーから時間情報を利用して一定基準によって抽出される第4サーバー認証キーを生成することができる。
前記第4サーバー認証キーは別の時間抽出値発生器220を通じて抽出されて生成され、前記第4サーバー認証キーは第3サーバー認証キーから生成された任意の時間同期値を意味する。前記時間抽出値発生器220は一般的なOTP(One Time Password)発生器と動作原理が同一であり、一般的なOTP(One Time Password)発生器は出力値が数字で表示されるが、前記時間抽出値発生器220は出力値が数字や文字、その他の多様な記号等で表示される点が異なる。したがって、前記時間抽出値発生器220は一般的なOTP(One Time Password)演算を遂行するOTP発生器を含む概念として理解されなければならない。
以後に前記認証サーバー200で前記第4サーバー認証キーに対するOTP(One Time Password)発生器230を通じたOTP演算を遂行して前記第2サーバー認証情報を生成することが可能である。
ここで、前記第2使用者認証情報と前記第2サーバー認証情報との生成方式と同一性が維持されなければならない。前記第1サーバー認証情報が図11の(a)を通じて説明された方式に生成されれば、前記第2使用者認証情報また図10の(a)を通じて説明した方式に生成されなければならない。また、単方向性関数やOTP演算等も互いに対応されるように適用されなければならない。前記第1サーバー認証情報が図11の(b)を通じて説明された方式に生成されれば、前記第2使用者認証情報また図10の(b)を通じて説明した方式に生成されなければならない。また、単方向性関数やOTP演算、時間値抽出等も対応して同一の方式が適用されなければならない。
本発明に係る第1実施形態乃至第3実施形態の場合は使用者端末機100を通じて入力された個人暗証番号が単方向性関数を利用する第1次変換及び暗号化を利用する第2次変換が遂行されて前記認証サーバー200に伝送されるので、保安性が向上される長所がある。
図12は本発明の第4実施形態に係る使用者認証方法を示した順序図であり、図13は図12で第1共通認証キー及び暗号化された第1共通認証キーを生成する過程を示したブロック図である。
図12乃至図13に図示されたように、本発明の第1実施形態に係る使用者認証方法は使用者が使用者端末機100に使用者登録のために前記専用アプリをダウンロードして設置することから開始される。使用者登録手続きは前記専用アプリの設置過程で遂行されることも可能であり、前記専用アプリの設置の後に別の使用者登録過程を通じて遂行されることも可能である。
先ず、使用者によって使用者登録のための手続が開始されて、使用者が使用者情報と個人暗証番号を前記使用者端末機100を通じて入力すれば(S102)、前記使用者端末機100では第1共通認証キーと前記第1共通認証キーの暗号化のための第1暗号化キーとを生成する(S103)。前記第1共通認証キーの暗号化のための第1暗号化キーは一定基準によってランダムに生成することもでき、別に選択された構成要素を通じて生成されることも可能である。
本発明の第4実施形態の場合は、前記第1暗号化キーは前記使用者によって入力された個人暗証番号を構成要素として生成する場合を説明する。
前記第1暗号化キーは前記使用者が入力した個人暗証番号を構成要素として単方向性関数を利用する変換を遂行することによって生成される。前記単方向性関数の演算キーは一定基準によって生成された値が利用される。
前記単方向性関数110は任意の長さのデータを固定された長さのデータにマッピングして変換させる関数として、逆変換、即ち元のデータに復元することが不可能であることと公知された関数を全て意味することができる。前記単方向性関数としてはMD5、SHA、SHA2、scrypt等の暗号学的ハッシュ(hash)関数と、CRC32及びCHECKSUM等の非暗号学的ハッシュ関数を含んで通常の技術者に公知されたすべての単方向性関数が含むことができ、前記第1暗号化キーはこれらの単方向性関数の中で選択されたいずれか1つの単方向性関数を利用して生成されることができる。
前記第1暗号化キーの生成のための構成要素としては前記個人暗証番号の以外に前記使用者端末機100の機械的固有キーが追加されることができ、ここに前記専用アプリの固有キー(例えば、Device Token、Bundle ID、Package Name、App ID等)が構成要素としてさらに含まれることもできる。また、他の構成要素が追加されることも可能である。
ここで、前記使用者端末機100の機械的固有キーは、例えばシリアル番号やUSIM番号等を含むことができ、以外に前記使用者端末機を区分するために与えられた各種固有番号、電話番号等を含むことができる。
前記第1暗号化キーの生成の前後又は生成と同時に、前記使用者端末機100では図13に図示されたように、前記使用者端末機100の機械的固有キーを利用して単方向性関数110を利用する第1次変換を遂行して第1共通認証キーを生成する(S103)。前記単方向性関数110の演算キーは一定基準によって生成された値が利用されることができる。
前記第1共通認証キーは、前記使用者端末機100の機械的固有キーを単独構成要素として前記単方向性関数110を利用する第1次変換を通じて生成されることができる。前記第1共通認証キーは他の構成要素が追加されて生成されることが可能である。例えば、前記専用アプリの固有キー(例えば、Device Token、Bundle ID、Package Name、App ID等)が構成要素にさらに含まれることもできる。また、固有性が認められるその他の構成要素が追加されることも可能である。
本発明の第1乃至第3実施形態に場合には使用者が入力した前記個人暗証番号が前記第1共通認証キーの生成のための構成要素や、本発明の第4実施形態の場合には前記個人暗証番号は前記第1暗号化キー生成のための構成要素であり、前記第1共通認証キーの構成要素として使用されない。
これは個人暗証番号の盗用や流出を根本的に遮断しながら、公開されたネットワーク上で保安性を強化するためである。
以後に前記第1共通認証キーは暗号化ユニット120を通じて暗号化キーを通じて暗号化される第2次変換を通じて暗号化された第1共通認証キーとして生成される(S106)。
ここで、暗号化は暗号化のための暗号化キーと復号化のための復号化キーとが同一の対称キー方式が使用されることができ、Twofish、Serpent、AES、Blowfish、CAST5、RC4、3DES、IDEA、RC6、DES等の中で選択された暗号化方式が利用されることができる。それ以外にも通常の技術者に広く公知された暗号化方式が適用されることが可能である。
前記使用者端末機100は前記暗号化された第1共通認証キーを前記使用者情報と共に前記認証サーバー200に伝送する(S108)。
前記認証サーバー200は前記使用者端末機100で伝送された前記暗号化された第1共通認証キーを前記使用者情報にマッチングして前記使用者情報と共に登録及び格納する(S202)。したがって、使用者登録手続が遂行される。前記使用者登録手続が遂行されれば、前記使用者端末機100では前記暗号化された第1共通認証キー及び前記第1暗号化キーを削除することができる。場合によって前記暗号化された第1共通認証キー及び前記第1暗号化キーは前記使用者端末機100によって設定された専用格納空間又は前記専用アプリによって前記使用者端末機100内に設定された専用格納空間に格納されることができる。
従来技術の場合、使用者登録が遂行されれば、通常的に認証サーバーで個人暗証番号を格納しているが、本発明の第4実施形態の場合は前記認証サーバー200や使用者端末機100で暗証番号を格納せず、前記認証サーバー200では単なる前記第1共通認証キーのみを格納している。
したがって、使用者が個人暗証番号を忘れるか、或いは流出される場合には新しい登録手続を通じて新しい暗証番号が含まれた第1暗号化キーを通じて再び暗号化して暗号化された第1共通認証キーを前記認証サーバー200に伝送して登録されるようにすることができ、認証機関の場合にハッキング等を通じて前記暗号化された第1共通認証キーが流出された場合にも保安性が強化される。
また、第1共通認証キーに個人暗証番号が構成要素にされず、単方向性関数を利用する第1変換及び暗号化の第2変換を通じて個人情報流出を防止することができ、公開されたネットワーク環境でハッキングの心配せずに安全に使用者認証又は認証サーバー認証が可能な長所がある。
以後に前記認証サーバー200では内蔵された認証機関の固有キーと前記暗号化された第1共通認証キーとを組合して第1サーバー認証情報を生成する(S204)。
前記第1サーバー認証情報は本発明の第1実施形態の場合と同様に図4を通じて説明された2つの方式によって生成可能である。
1つの方法は図4の(a)に図示されたように、前記認証サーバー200で内蔵された認証機関の固有キーと前記暗号化された第1共通認証キーとを構成要素として単方向性関数210を通じた変換を通じて第1サーバー認証キーを生成し、前記第1サーバー認証キーに対するOTP(One Time Password)演算して時間値に同期化された第1サーバー認証情報を生成することができる。ここで、前記第1サーバー認証キーは前記認証機関の固有キーを演算キーとして前記暗号化された第1共通認証キーに対して前記単方向性関数210を通じた変換を遂行して生成されることができる。また、前記第1サーバー認証情報はOTP発生器230を通じたOTP演算を通じて生成されることができる。
他の方法は図4の(b)に図示されたように、前記認証サーバー200で内蔵された認証機関の固有キーと前記暗号化された第1共通認証キーとを構成要素として単方向性関数210を通じた変換を通じて第1サーバー認証キーを生成し、前記第1サーバー認証キーから時間情報を利用して一定基準によって抽出される第2サーバー認証キーを生成する。
前記第2サーバー認証キーは別の時間抽出値発生器220を通じて抽出されて生成され、前記第2サーバー認証キーは第1サーバー認証キーから生成された任意の時間同期値を意味する。前記時間抽出値発生器220は一般的なOTP(One Time Password)発生器と動作原理が同一であり、一般的なOTP(One Time Password)発生器は出力値が数字で表示されるが、前記時間抽出値発生器220は出力値が数字や文字、その他の多様な記号等で表示される点が異なる。したがって、前記時間抽出値発生器220は一般的なOTP(One Time Password)演算を遂行するOTP発生器を含む概念として理解されなければならない。
以後に前記認証サーバー200で前記第2サーバー認証キーに対するOTP(One Time Password)発生器230を通じたOTP演算を遂行して前記第1サーバー認証情報を生成することが可能である。
前記第1サーバー認証情報は使用者登録の後に他の手続きに関わらず、独立的に生成されることが可能である。即ち、前記第1サーバー認証情報は前記使用者登録の後から後述する第1使用者認証情報の生成の時までの時間内に生成されれば、十分である。
そして、前記第1サーバー認証情報を前記使用者端末機100に伝送する場合にも、生成後直ちに伝送することも可能であり、必要であると判断される時点に伝送することも可能である。また、使用者端末機100の要請によって伝送することも可能である。
以後に使用者によって認証手続が開始されて前記使用者端末機100で使用者から認証のための手続が開始されて、使用者が個人暗証番号を入力すれば(S110)、前記使用者端末機100では第2共通認証キーと第2暗号化キーとを生成する(S113)。前記第2共通認証キーは前記第1共通認証キーに対応され、前記第2暗号化キーは前記第1暗号化キーに対応される要素である。したがって、生成方式は互いに対応されなければならない。前記第2共通認証キーの暗号化のための第2暗号化キーは一定基準によってランダムに生成することもでき、別に選択された構成要素を通じて生成されることも可能である。
ここで、前記第2暗号化キーは前記個人暗証番号を構成要素として生成する。前記第2暗号化キーは前記使用者が入力した個人暗証番号を構成要素として単方向性関数を利用する変換を遂行することによって生成される。前記単方向性関数の演算キーは一定基準によって生成された値が利用される。
前記第2暗号化キーの生成のための構成要素としては前記個人暗証番号の以外に前記使用者端末機100の機械的固有キーが追加されることができ、ここに前記専用アプリの固有キー(例えば、Device Token、Bundle ID、Package Name、App ID等)が構成要素としてさらに含まれることもできる。また、他の構成要素が追加されることも可能である。ここで、前記使用者端末機100の機械的固有キーは、例えばシリアル番号やUSIM番号等を含むことができ、それ以外に前記使用者端末機を区分するために与えられた各種固有番号、電話番号等を含むことができる。
前記第1暗号化キーの生成の前後又は生成と同時に、前記使用者端末機100では前記使用者端末機100の機械的固有キーを利用して単方向性関数110を利用する第1次変換を遂行して第1共通認証キーを生成する(S103)。前記単方向性関数の演算キーは一定基準によって生成された値が利用される。
前記第2共通認証キーは前記第1共通認証キーの生成方式と同様に前記使用者端末機100の機械的固有キーを単独構成要素として前記単方向性関数110を利用する第1次変換を通じて生成されることも可能であるが、ここに他の構成要素が追加されることが可能である。例えば、前記専用アプリの固有キー(例えば、Device Token、Bundle ID、Package Name、App ID等)が構成要素にさらに含まれることもできる。また、固有性が認められるその他の構成要素が追加されることも可能である。これは前記第1共通認証キーに前記専用アプリの固有キー又は他の構成要素が含まれた場合に対応して可能である。
本発明の第1乃至第3実施形態の場合には使用者が入力した前記個人暗証番号が前記第2共通認証キーの生成のための構成要素や、本発明の第4実施形態の場合には前記個人暗証番号は前記第2暗号化キー生成のための構成要素であり、前記第2共通認証キーの構成要素として使用されない。
即ち、前記個人暗証番号及び前記使用者端末機100の機械的固有キーを組合せて単方向性関数110を利用する第1次変換を遂行して第2共通認証キーを生成する(S113)。
前記単方向性関数110は前記第1共通認証キーを生成した単方向性関数と同一関数が使用されることができ、同一方式に適用可能である。
前記第2共通認証キーは前記第1共通認証キーの生成方式と同様に、前記個人暗証番号及び前記使用者端末機100の機械的固有キーを構成要素として一定基準によって生成された演算キーを通じて演算して第1次変換させることによって生成されることができる。
以後に前記第2共通認証キーは第1共通認証キーの場合と同様に、暗号化ユニット120を通じて前記暗号化キーを通じて暗号化される第2次変換を通じて暗号化された第2共通認証キーとして生成される(S113)。暗号化方式及び第2暗号化キーの生成方式は第1共通認証キーの暗号化方式及び前記第1暗号キーの生成方式と対応されて同様に適用される。
ここで、前記第2暗号化キーは前記個人暗証番号を構成要素として生成する。前記第2暗号化キーは前記使用者が入力した個人暗証番号を構成要素として単方向性関数を利用する変換を遂行することによって生成される。前記単方向性関数の演算キーは一定基準によって生成された値が利用される。
前記第2暗号化キーの生成のための構成要素としては前記個人暗証番号以外に前記使用者端末機100の機械的固有キーが追加されることができ、ここに前記専用アプリの固有キー(例えば、Device Token、Bundle ID、Package Name、App ID等)が構成要素としてさらに含まれることもできる。また、他の構成要素が追加されることも可能である。ここで、前記使用者端末機100の機械的固有キーは、例えばシリアル番号やUSIM番号等を含むことができ、それ以外に前記使用者端末機を区分するために与えられた各種固有番号、電話番号等を含むことができる。
前記第2暗号化キーは前記使用者端末機100によって設定された専用格納空間又は前記専用アプリによって前記使用者端末機100内に設定された専用格納空間に格納されることができる。
ここで、前記第2暗号化キーは別の暗号化方式によって暗号化されて格納されることができる。例えば、前記個人暗証番号と前記使用者端末機の機械的固有キーとを組合して単方向性関数を利用する変換を遂行することによって生成された第3暗号化キーを利用して暗号化された後に格納されることが可能である。
以後に前記使用者端末機100では前記暗号化された第2共通認証キーを利用して第1使用者認証情報を生成する(S116)。前記第1使用者認証情報に対応される前記第1サーバー認証情報の生成に対しては既に説明した。
前記第1使用者認証情報は本発明の第1実施形態を通じて説明した方式と同一の方式によって2つの方式に生成可能である。
1つの方法は図5の(a)に図示されたように、前記認証サーバー200で内蔵された認証機関の固有キーと前記暗号化された第1共通認証キーとを構成要素として単方向性関数210を通じた変換を通じて第1サーバー認証キーを生成し、前記第1サーバー認証キーに対するOTP(One Time Password)演算して時間値に同期化された第1サーバー認証情報を生成することができる。前記認証機関の固有キーは前記専用アプリの設置の時に内蔵されて提供されるか、或いは認証手続の開始の前にアップデート等を通じて提供されることが可能である。
ここで、前記第1使用者認証キーは前記認証機関の固有キーを演算キーとして前記暗号化された第2共通認証キーに対して前記単方向性関数110を通じた変換を遂行して生成されることができる。また、前記第1使用者認証情報はOTP発生器130を通じたOTP演算を通じて生成されることができる。
他の方法は図5の(b)に図示されたように、前記認証サーバー200で予め提供された認証機関の固有キーと前記暗号化された第2共通認証キーとを構成要素として単方向性関数110を通じた変換を通じて第1使用者認証キーを生成し、前記第1使用者認証キーから時間情報を利用して一定基準によって抽出される第2使用者認証キーを生成する。前記認証機関の固有キーは前記専用アプリの設置の時に内蔵されて提供されるか、或いは認証手続の開始の前にアップデート等を通じて提供されることが可能である。
前記第2使用者認証キーは別の時間抽出値発生器120を通じて抽出されて生成され、前記第2使用者認証キーは第1使用者認証キーから生成された任意の時間同期値を意味することができる。前記時間抽出値発生器120は一般的なOTP(One Time Password)発生器と動作原理が同一であり、一般的なOTP(One Time Password)発生器は出力値が数字で表示されるが、前記時間抽出値発生器220は出力値が数字や文字、その他の多様な記号等で表示される点が異なる。したがって、前記時間抽出値発生器120は一般的なOTP(One Time Password)演算を遂行するOTP発生器を含む概念として理解されなければならない。
以後に前記使用者端末機100で前記第2使用者認証キーに対してOTP発生器130を通じたOTP(One Time Password)演算を遂行して前記第1使用者認証情報を生成することが可能である。
ここで、前記第1使用者認証情報の生成方式は前記第1サーバー認証情報の生成方式と同一性が維持されなければならない。前記第1サーバー認証情報が図4の(a)を通じて説明された方式に生成されれば、前記第1使用者認証情報また図5の(a)を通じて説明した方式に生成されなければならない。また、単方向性関数やOTP演算等も互いに対応されるように適用されなければならない。そして、前記第1サーバー認証情報が図4の(b)を通じて説明された方式に生成されれば、前記第1使用者認証情報また図5の(b)を通じて説明した方式に生成されなければならない。また、単方向性関数やOTP演算、時間値抽出等も対応して同一の方式が適用されなければならない。
その後に前記第1使用者認証情報が前記使用者端末機100を通じて前記認証サーバー200に伝送されれば(S118)、前記認証サーバー200では認証情報の一致の可否、即ち前記第1使用者認証情報と前記第1サーバー認証情報との一致の可否にしたがって使用者認証を遂行する(S208)。前記第1使用者認証情報は手動に使用者によって入力されて伝送されることも可能であり、自動に伝送されるようにすることも可能であり、使用者の伝送指示によって自動に伝送されるようにすることも可能である。
ここで、前記使用者端末機100は前記認証サーバー200と連結された1つ又は複数の使用者端末機が使用されることが可能である。例えば、第1使用者端末機100に第1共通認証キー等の登録手続を進行し、第2使用者端末機100に認証手続を進行することが可能であり、その反対の場合も可能である。また、認証手続の場合にも、第1使用者認証情報は前記第1使用者端末機100を通じて生成し、前記第1使用者認証情報の入力や伝送は前記第2使用者端末機100を通じて遂行されることが可能である。それ以外にも多様な手続きで複数の使用者端末機100が利用されることが可能である。
そして、前記第1使用者認証情報と前記第1サーバー認証情報とを使用者が使用者端末機100で比較することと、前記認証サーバー200の真偽、認証サーバー200に連結された接続ウェブページの真偽、又は認証サービスを供給するサービス供給者又は認証機関の真偽を確認することが可能である。従来の場合、認証機関を詐称して認証機関の接続ウェブページと類似に構成して使用者を混同させる事例が多くあるにもこれに対する適切な対応策がなかったことが事実である。本発明ではこのような問題点を解決するために認証機関(又はサービス供給者)の真偽を使用者が確認することが可能である。
このために前記第1サーバー認証情報が生成される場合、前記認証サーバー200では前記第1サーバー認証情報を前記接続ウェブページを通じて表示するようにするか、或いは前記使用者端末機100に伝送するようにする(S206)。前記第1サーバー認証情報が表示されるか、或いは伝送されれば、これを前記使用者端末機100で前記第1使用者認証情報と比較することによって前記認証サーバー200が真の認証サーバーであるか、或いは前記接続ウェブページが真のものであるかの真偽を判別する認証サーバー認証が可能である(S120)。即ち、前記認証サーバー200の真偽、認証サーバー200に連結された接続ウェブページの真偽、又は認証サービスを供給するサービス供給者又は認証機関の真偽を確認することが可能である。
ここで、前記第1サーバー認証情報が暗号化された前記第2共通認証キーを生成する前に予め前記使用者端末機100に伝送された状態である場合には再伝送するか、別に伝送する必要無しで予め伝送された前記第1サーバー認証情報を利用して認証サーバー認証を遂行する。
本発明の第4実施形態では、前記第1サーバー認証情報及び前記第1使用者認証情報を前記使用者端末機100で比較すれば、一致の可否を通じて認証機関又は認証サーバー200の真偽を判別する認証機関認証又は認証サーバー認証が可能であり、前記第1サーバー認証情報及び前記第1使用者認証情報を前記認証サーバー200で比較すれば、一致の可否を通じて使用者認証が可能である。
ここで、前記認証サーバーの認証手続(S206、S120)と前記使用者認証手続(S118、S208)とは同時に遂行されることも可能であり、前記認証サーバーの認証手続が先に遂行された後に認証が確認されれば、前記使用者認証手続が遂行されることも可能であり、認証サーバーの認証手続又は使用者認証手続の中でいずれか1つが選択されて遂行されることも可能である。
上述した本発明の第4実施形態の場合に前記使用者端末機100と前記認証サーバー200との間に伝送されるすべてのデータは公開キー方式の暗号化が遂行されて伝送されることができる。
上述した本発明の第4実施形態の場合に、認証サーバー認証ではない使用者認証を遂行する場合において、使用者端末機100を複数個使用するか、或いはモバイル端末機、デスクトップコンピュータPC、タブレット等を同時に使用して使用者認証を遂行する場合、異常現象や誤謬等その他の原因によって前記第1使用者認証情報が前記認証サーバー200に一定時間内に複数個が伝送される場合があり得る。
この場合には確実な認証のために前記認証サーバー200では前記第1使用者認証情報が伝送された場合でも、前記使用者端末機100に前記第1使用者認証情報の再伝送を要性し、自動伝送ではない手動入力を通じた再伝送を要請することが可能である。この時、第1使用者認証情報は使用者が手動入力可能するように前記使用者端末機100の画面に表示されなければならない。ここで、手動入力は2回連続に遂行するように要請することが可能である。手動入力を通じて第1使用者認証情報が伝送されれば、前記認証サーバー200で手動入力を通じて伝送された第1使用者認証情報と前記第1サーバー認証情報とを比較して使用者認証を遂行することが可能である。
そして、認証過程でハッキング等の攻撃兆候がある場合に、例えばローディング時間が平常時より顕著に遅くなった場合、デスクトップコンピュータPCでログインする場合に、デスクトップコンピュータPCの画面とモバイル端末機画面とに現れる事前約束された値が異なる場合等を含んで通常の技術者に広く公知されたハッキング等の攻撃兆候が感知される場合に、前記使用者端末機100では認証手続を強制中断させることができる強制中断信号を自動又は手動に前記認証サーバー200に伝送することが可能である。前記強制中断信号が前記認証サーバー200に伝送されれば、前記使用者端末機100及び前記認証サーバー200は上述した認証手続を中断し、新しい認証手続が開始する時まで待機する。
他の例として、前記攻撃兆候が感知される場合に前記認証サーバー200で自体判断して強制中断の可否を問う信号を前記使用者端末機100に伝送して使用者端末機100の応答信号に対応して強制中断の可否を決定することも可能である。
一方、前記使用者端末機100と前記認証サーバー200との間に伝送される認証情報及び認証キー等を含むすべての伝送対象データにはデータの無欠性検証のための検証キーが追加されることができる。即ち、伝送対象データに前記検証キーが追加されて伝送されることが可能である。前記検証キーは伝送対象データの各々に対してOTP(One Time Password)演算を遂行した第1OTP演算値を含むことができる。
そして、前記使用者端末機100又は前記認証サーバー200で前記データの受信の時には、受信されたデータに対するOTP(One Time Password)演算を遂行した第2OTP演算値と前記検証キーを比較して無欠性検証を遂行することが可能である。
例えば、前記使用者端末機100で前記第1使用者認証情報を前記認証サーバー200に伝送する場合に、前記第1使用者認証情報に前記第1使用者認証情報をOTP演算した第1OTP演算値が検証キーとして追加されて伝送されることが可能である。この場合、前記認証サーバー200では前記第1使用者認証情報を受信した場合、前記検証キーを分離した第1使用者認証情報に対するOTP(One Time Password)演算を遂行した第2OTP演算値と前記検証キーとを比較して無欠性検証を遂行することによって前記第1使用者認証情報の無欠性検証が可能になる。
上述した本発明の第4実施形態の場合で前記第1使用者認証情報と前記第1サーバー認証情報とを前記使用者端末機100で比較して認証する認証サーバー認証を遂行した場合には、追加的な使用者認証手続が必要とする。そして、前記第1使用者認証情報と前記第1サーバー認証情報とを前記認証サーバー200で比較して認証する使用者認証を遂行した場合にも追加的な信頼性確保のために追加的な使用者認証が必要とする場合がある。このために後述する本発明の第5実施形態が必要とする。
以下、本発明の第5実施形態を説明する。
図14は本発明の第5実施形態に係る使用者認証方法を示した順序図である。
図14に図示されたように、本発明の第2実施形態に係る使用者認証方法は、本発明の第4実施形態を通じて説明された認証手続を全て含み、前記第1使用者認証情報と前記第1サーバー認証情報とを通じて使用者認証(S208)又は認証サーバー認証(S120)が行われた状態で追加される過程を含む。したがって、前記第1使用者認証情報と前記第1サーバー認証情報とを通じて使用者認証(S208)又は認証サーバー認証(S120)が行われる過程は本発明の第4実施形態を通じて説明したので、詳細な説明を省略する。
前記第1サーバー認証情報及び前記第1使用者認証情報が生成され、前記使用者認証(S208)又は認証サーバー認証(S120)が遂行される前段階又は前記第1サーバー認証情報及び前記第1使用者認証情報を通じた前記使用者認証(S208)又は認証サーバー認証(S120)が遂行された後に、前記使用者端末機100では前記第1使用者認証情報又は前記第1サーバー認証情報と前記第2共通認証キーとを利用して第2使用者認証情報を生成する(S122)。
前記第2使用者認証情報の生成のための構成要素としては第1使用者認証情報及び前記第2共通認証キーが使用されることが一般的であるが、前記認証サーバー200で前記第1サーバー認証情報が伝送された場合には、前記第1サーバー認証情報が利用されることもあり得る。これは前記第1サーバー認証情報と前記第1使用者認証情報とが互いに同一の値であるという前提で可能である。以下では第1使用者認証情報を利用して前記第2使用者認証情報を生成する場合を説明する。
また、前記第2共通認証キーは前記暗号化された第2共通認証キーを復号化キーを利用して復号化した第2共通認証キーを意味するか、或いは暗号化されていない状態の第2共通認証キーを言う。以下で第2共通認証キーに特別な修飾語が無い場合に、前記第2共通認証キーは復号化された第2共通認証キーを意味するか、或いは暗号化されていない状態の第2共通認証キーを意味する。
前記第2使用者認証情報は本発明の第2実施形態を通じて説明したことと同一の方式に、2つの方式によって生成可能である。
1つの方法は図7の(a)に図示されたように、前記第2共通認証キーと前記第1使用者認証情報とを構成要素として単方向性関数110を通じた変換を通じて第3使用者認証キーを生成し、前記第3使用者認証キーに対するOTP(One Time Password)演算をして時間値に同期化された前記第2使用者認証情報を生成することができる。
ここで、前記第3使用者認証キーは前記第2共通認証キーを演算キーとして前記第1使用者認証情報に前記単方向性関数110を通じた変換を遂行して生成されることができる。また、前記第2使用者認証情報はOTP発生器130を通じたOTP演算を通じて生成されることができる。
他の方法は図7の(b)に図示されたように、前記第2共通認証キーと前記第1使用者認証情報とを構成要素として単方向性関数110を通じた変換を通じて第3使用者認証キーを生成し、前記第3使用者認証キーから時間情報を利用して一定基準によって抽出される第4使用者認証キーを生成する。
前記第4使用者認証キーは別の時間抽出値発生器120を通じて抽出されて生成され、前記第4使用者認証キーは第3使用者認証キーから生成された任意の時間同期値を意味する。前記時間抽出値発生器120は一般的なOTP(One Time Password)発生器と動作原理が同一であり、一般的なOTP(One Time Password)発生器は出力値が数字で表示されるが、前記時間抽出値発生器220は出力値が数字や文字、その他の多様な記号等で表示される点が異なる。したがって、前記時間抽出値発生器120は一般的なOTP(One Time Password)演算を遂行するOTP発生器を含む概念として理解されなければならない。
以後に前記使用者端末機100で前記第4使用者認証キーに対してOTP発生器130を通じたOTP(One Time Password)演算を遂行して時間値に同期化された前記第2使用者認証情報を生成することが可能である。
前記第2使用者認証情報が生成されれば、前記使用者端末機100では前記第2使用者認証情報と前記暗号化された第1共通認証キーの復号化のための復号化キーを前記認証サーバー200に提供する(S124)。
暗号化キーと復号化キーとが同一の方式の対称キー暗号化方式が使用される場合に前記復号化キーは前記第1暗号化キー又は第2暗号化キーになる。
前記認証サーバー200では前記使用者端末機100で提供された前記復号化キーを利用して前記暗号化された第1共通認証キーを第1共通認証キーとして復号化する(S209)。以下では別の修飾語が無い第1共通認証キーの用語は復号化された第1共通認証キーを意味することができる。
そして、前記第1共通認証キーと前記第1サーバー認証情報とを利用して第2サーバー認証情報を生成する(S210)。ここで、前記使用者端末機100で前記第1使用者認証情報が伝送された場合には前記第1サーバー認証情報の代わりに前記第1使用者認証情報が使用されることができることは、前記第2使用者認証情報の生成の時と同様である。
前記第2サーバー認証情報は本発明の第2実施形態を通じて説明したことと同様に2つの方式によって生成可能である。
1つの方法は図8の(a)に図示されたように、前記認証サーバー200で前記第1サーバー認証情報と前記第1共通認証キーとを構成要素として単方向性関数210を通じた変換を通じて第3サーバー認証キーを生成し、前記第3サーバー認証キーに対するOTP(One Time Password)演算をして時間値に同期化された第2サーバー認証情報を生成することができる。ここで、前記第3サーバー認証キーは前記第1共通認証キーを演算キーとして前記第1サーバー認証情報に対して前記単方向性関数210を通じた変換を遂行して生成されることができる。また、前記第2サーバー認証情報は前記第3サーバー認証キーに対してOTP発生器230を通じたOTP演算を通じて生成される。
他の方法は図8の(b)に図示されたように、前記認証サーバー200で前記第1サーバー認証情報と前記第1共通認証キーとを構成要素として単方向性関数210を通じた変換を通じて第3サーバー認証キーを生成し、前記第3サーバー認証キーから時間情報を利用して一定基準によって抽出される第4サーバー認証キーを生成する。
前記第4サーバー認証キーは別の時間抽出値発生器220を通じて抽出されて生成され、前記第4サーバー認証キーは第3サーバー認証キーから生成された任意の時間同期値を意味する。前記時間抽出値発生器220は一般的なOTP(One Time Password)発生器と動作原理が同一であり、一般的なOTP(One Time Password)発生器は出力値が数字で表示されるが、前記時間抽出値発生器220は出力値が数字や文字、その他の多様な記号等で表示される点が異なる。したがって、前記時間抽出値発生器220は一般的なOTP(One Time Password)演算を遂行するOTP発生器を含む概念として理解されなければならない。
その後に前記認証サーバー200で前記第4サーバー認証キーに対するOTP(One Time Password)発生器230を通じたOTP演算を遂行して前記第2サーバー認証情報を生成することが可能である。
ここで、前記第2使用者認証情報と前記第2サーバー認証情報との生成方式と同一性が維持されなければならない。前記第1サーバー認証情報が図8の(a)を通じて説明された方式に生成されれば、前記第2使用者認証情報また図7の(a)を通じて説明した方式に生成されなければならない。また、単方向性関数やOTP演算等も互いに対応されるように適用されなければならない。そして、前記第2サーバー認証情報が図8の(b)を通じて説明された方式に生成されれば、前記第2使用者認証情報また図7の(b)を通じて説明した方式に生成されなければならない。また、単方向性関数やOTP演算、時間値抽出等も対応して同一の方式が適用されなければならない。
以後に前記認証サーバー200では認証情報の一致の可否、即ち前記第2使用者認証情報と前記第2サーバー認証情報との一致の可否にしたがって使用者認証を遂行する(S212)。前記第2使用者認証情報は手動で使用者によって入力されて伝送されることも可能であり、自動で伝送されるようにすることも可能であり、使用者の伝送指示によって自動で伝送されるようにすることも可能である。
ここで、前記使用者端末機100は前記認証サーバー200と連結された1つ又は複数の使用者端末機が使用されることが可能である。例えば、第1使用者端末機100に第1共通認証キー等の登録手続を進行し、第2使用者端末機100に認証手続を進行することが可能であり、その反対の場合も可能である。また、認証手続の場合にも、第1使用者認証情報や第2使用者認証情報は前記第1使用者端末機100を通じて生成し、前記第1使用者認証情報や第2使用者認証情報の入力や伝送は前記第2使用者端末機100を通じて遂行されることが可能である。以外にも多様な手続きで複数の使用者端末機100が利用されることが可能である。
上述した本発明の第5実施形態の場合に前記使用者端末機100と前記認証サーバー200との間に伝送されるすべてのデータは公開キー方式の暗号化が遂行されて伝送されることができる。
上述した本発明の第5実施形態で使用者認証を遂行する場合において、使用者端末機100を多数個使用するか、或いはモバイル端末機、デスクトップコンピュータPC、タブレット等を同時に使用して使用者認証を遂行する場合、異常現象や誤謬等その他の原因によって前記第1使用者認証情報又は第1サーバー認証情報が一定時間内に複数個が伝送される場合があり得る。
特に、第1サーバー認証情報が前記使用者端末機100に伝送されるようにして認証サーバー認証を遂行し第2使用者認証情報が前記認証サーバー200に伝送されるようにして使用者認証を遂行する場合に、認証サーバー認証のために前記認証サーバー200で互いに異なる使用者端末機100又は同一の使用者端末機100に一定時間(例えば、30秒、60秒等)内に前記第1サーバー認証情報が多数個に伝送される場合があり得る。
この場合、確実な認証のために前記認証サーバー200では前記使用者端末機100で前記第2使用者認証情報が伝送された後でも、前記使用者端末機100に前記第2使用者認証情報の再伝送を要請し、自動伝送ではない手動入力を通じた再伝送を要請することが可能である。この時、前記第2使用者認証情報は前記使用者端末機100の画面に表示されなければならない。前記第2使用者認証情報が前記使用者端末機100で手動入力を通じて伝送されれば、前記認証サーバー200では手動入力された第2使用者認証情報と前記第2サーバー認証情報とを比較して使用者認証を追加的に遂行することが可能である。
認証の保安性を高めるために、前記第2使用者認証情報の再伝送を通じて追加認証の後又は前記第2使用者認証情報の再伝送を通じた追加認証に取り替えて、第3使用者認証情報及び第3サーバー認証情報の比較を通じた追加認証も可能である。
これは前記第2使用者認証情報の再伝送を通じて追加認証の後又は前記第2使用者認証情報の再伝送を通じた追加認証に取り替えて、前記認証サーバー200では前記第3使用者認証情報を前記使用者端末機100に要請する。
前記第3使用者認証情報及び前記第3サーバー認証情報は本発明の第2実施形態の場合と同一の方式を適用して生成可能である。
即ち、前記使用者端末機100では図9の(a)に図示されたように、前記第2使用者認証情報生成のための構成要素である第4使用者認証キーと前記認証機関の固有キーを構成要素として単方向性関数110を利用する変換を遂行して第5使用者認証キーとを生成し、前記第5使用者認証キーに対するOTP(One Time Password)演算を遂行して前記第3使用者認証情報を生成することができる。
この時、前記認証サーバー200では前記第3使用者認証情報に対応される第3サーバー認証情報を生成する。
前記認証サーバー200では図9の(b)に図示されたように、前記第2サーバー認証情報生成のための構成要素である第4サーバー認証キーと前記認証機関の固有キーを構成要素に単方向性関数210を利用する変換を遂行して第5サーバー認証キーとを生成し、前記第5サーバー認証キーに対するOTP(One Time Password)演算を遂行して前記第3サーバー認証情報を生成することができる。
以後に前記第3使用者認証情報が前記認証サーバー200に伝送されれば、前記認証サーバー200には前記第3使用者認証情報と前記第3サーバー認証情報との一致の可否を判断して追加的な使用者認証を遂行する。
一方、認証過程でハッキング等の攻撃兆候がある場合に、例えば、ローディング時間が平常時より顕著に遅くなった場合、デスクトップコンピュータPCでログインする場合に、デスクトップコンピュータPCの画面とモバイル端末機画面とに現れる事前約束された値が異なる場合等を含んで通常の技術者に広く公知されたハッキング等の攻撃兆候が感知される場合に、前記使用者端末機100では認証手続を強制中断させることができる強制中断信号を自動又は手動に前記認証サーバー200に伝送することが可能である。前記強制中断信号が前記認証サーバー200に伝送されれば、前記使用者端末機100及び前記認証サーバー200は上述した認証手続を中断し、新しい認証手続が開始する時まで待機する。
他の例として、前記攻撃兆候が感知される場合に前記認証サーバー200で自体判断して強制中断の可否を問う信号を前記使用者端末機100に伝送して使用者端末機100の応答信号に対応して強制中断の可否を決定することも可能である。
一方、前記使用者端末機100と前記認証サーバー200との間に伝送される認証情報及び認証キー等を含むすべての伝送対象データにはデータの無欠性検証のための検証キーが追加されることができる。即ち、伝送対象データに前記検証キーが追加されて伝送されることが可能である。前記検証キーは伝送対象データの各々に対してOTP(One Time Password)演算を遂行した第1OTP演算値を含むことができる。
そして、前記使用者端末機100又は前記認証サーバー200で前記データの受信の時には、受信されたデータに対するOTP(One Time Password)演算を遂行した第2OTP演算値と前記検証キーを比較して無欠性検証を遂行することが可能である。
例えば、前記使用者端末機100で前記第1使用者認証情報や前記第2使用者認証情報を前記認証サーバー200に伝送する場合に、前記第1使用者認証情報や前記第2使用者認証情報に前記第1使用者認証情報や前記第2使用者認証情報をOTP演算した第1OTP演算値が検証キーとして追加されて伝送されることが可能である。この場合、前記認証サーバー200では前記第1使用者認証情報や前記第2使用者認証情報を受信した場合、前記検証キーを分離した第1使用者認証情報や前記第2使用者認証情報に対するOTP(One Time Password)演算を遂行した第2OTP演算値と前記検証キーとを比較して無欠性検証を遂行することによって前記第1使用者認証情報や前記第2使用者認証情報の無欠性検証が可能になる。
本発明の第5実施形態の場合は保安性強化され無欠性が確保される長所を有する。ここで、ギャップタイム(gap time)値又はギャップタイムキーの構成要素をさらに追加して認証手続上の保安性を強化することが可能である。これは本発明の第6実施形態を通じて説明する。
本発明の第6実施形態は本発明の第5実施形態で第2使用者認証情報及び前記第2サーバー認証情報生成の時に本発明の第3実施形態を通じて説明したギャップタイム(gap time)値又はギャップタイムキーが構成要素として追加される点を除いては本発明の第5実施形態と同一の構成を有する。したがって、本発明の第6実施形態は本発明の第5実施形態及び本発明の第3実施形態を通じて実施可能であるので、その説明を省略する。
上述したように、本発明の実施形態によれば、公開ネットワーク上で個人情報流出を根本的に遮断し、ハッキングの危険から自由になって保安性が強化され、伝送データの無欠性に対する検証が可能な効果がある。また、認証のための認証サーバー、認証機関、ウェブサイト等の真偽のチェックが可能であり、無欠性及び唯一性の確保が可能である使用者認証が可能になる長所がある。また、認証情報を生成する時、それ以前の値を利用して単方向性変換を遂行して次の値を生成する連鎖(chaining)方式を取ることによって、端末機の時間操作を通じて未来に生成される値を予め探り出す操作等を根本的に防止できる効果がある。
上記した実施形態の説明は本発明のさらに徹底した理解のために図面を参照に例を挙げたことに過ぎないので、本発明を限定する意味に解釈されてはならない。また、本発明が属する技術分野で通常の知識を有する者において、本発明の基本的原理を逸脱しない範囲内で多様な変化と変更が可能であるのは明らかである。
100 使用者端末機
200 認証サーバー

Claims (26)

  1. 使用者端末機と認証サーバーとを利用する使用者認証方法において、
    使用者によって使用者登録のための個人暗証番号が入力されれば、前記使用者端末機では前記個人暗証番号及び前記使用者端末機の機械的固有キーを組合せて単方向性関数を利用する第1次変換を遂行して第1共通認証キーを生成し、前記第1共通認証キーを暗号化キーを利用して暗号化する第2次変換を遂行して暗号化された第1共通認証キーを前記認証サーバーに提供し、前記認証サーバーでは前記暗号化された第1共通認証キーを使用者情報にマッチングして登録する第1段階と、
    前記認証サーバーで、内蔵された認証機関の固有キーと前記暗号化された第1共通認証キーとを構成要素として単方向性関数を利用する変換を遂行して第1サーバー認証キーを生成し、前記第1サーバー認証キー又は前記第1サーバー認証キーの変換値である第2サーバー認証キーに対するOTP(One Time Password)演算を遂行して第1サーバー認証情報を生成する第2段階と、
    認証のために使用者から前記個人暗証番号が入力されれば、前記使用者端末機で前記個人暗証番号及び前記使用者端末機の機械的固有キーを組合せて単方向性関数を利用する第1次変換を遂行して第2共通認証キーをリアルタイムに生成し、前記第2共通認証キーを前記暗号化キーを利用して暗号化する第2次変換を遂行して暗号化された第2共通認証キーを生成し、前記認証サーバーから予め提供された認証機関の固有キーと前記暗号化された第2共通認証キーとを構成要素として単方向性関数を利用する変換を遂行して第1使用者認証キーを生成し、前記第1使用者認証キー又は前記第1使用者認証キーの変換値である第2使用者認証キーに対するOTP(One Time Password)演算を遂行して第1使用者認証情報を生成する第3段階と、
    前記第1サーバー認証情報と前記第1使用者認証情報との一致の可否にしたがって使用者認証を遂行するか、又は前記認証サーバーの真偽を判断する認証サーバー認証を遂行する第4段階と、を具備することを特徴とする使用者認証方法。
  2. 前記第1共通認証キー又は前記第2共通認証キーには、前記使用者端末機に設置された専用アプリケーションプログラムの固有キーが構成要素にさらに追加されることを特徴とする請求項1に記載の使用者認証方法。
  3. 前記第4段階は,
    前記使用者端末機で、前記第1使用者認証情報と前記認証サーバーから伝送された前記第1サーバー認証情報とを比較して前記認証サーバーの真偽を判別するようにする認証サーバー認証段階と、
    前記認証サーバーで、前記第1サーバー認証情報と前記使用者端末機から伝送された第1使用者認証情報とを比較して使用者認証を遂行するようにする使用者認証段階と、を含むことを特徴とする請求項1に記載の使用者認証方法。
  4. 前記第2段階は、
    前記認証サーバーで、内蔵された認証機関の固有キーと前記暗号化された第1共通認証キーとを構成要素として、単方向性関数を利用する変換を遂行して前記第1サーバー認証キーを生成する段階と、
    前記認証サーバーで、前記第1サーバー認証キーから時間抽出値発生器を通じて時間情報を利用して一定基準によって抽出される第2サーバー認証キーを生成する段階と、
    前記認証サーバーで前記第2サーバー認証キーに対するOTP(One Time Password)演算を遂行して前記第1サーバー認証情報を生成する段階と、を含み、
    前記第3段階は、
    前記使用者端末機で、前記暗号化された第2共通認証キーが生成されれば、前記認証サーバーから予め提供された認証機関の固有キーと前記暗号化された第2共通認証キーとを構成要素として、単方向性関数を利用する変換を遂行して前記第1使用者認証キーを生成する段階と、
    前記第1使用者認証キーから時間抽出値発生器を通じて時間情報を利用して一定基準によって抽出される第2使用者認証キーを生成する段階と、
    前記使用者端末機で、前記第2使用者認証キーに対するOTP(One Time Password)演算を遂行して前記第1使用者認証情報を生成する段階と、を含むことを特徴とする請求項1に記載の使用者認証方法。
  5. 前記第3段階と第4段階との間又は前記第4段階の後に、
    前記使用者端末機で、復号化キーを利用して復号化された第2共通認証キー又は暗号化されていない状態の前記第2共通認証キーと、前記認証サーバーから伝送された前記第1サーバー認証情報又は前記第1使用者認証情報を構成要素として単方向性関数を利用する変換を遂行して第3使用者認証キーとを生成する段階と、
    前記使用者端末機で前記第3使用者認証キーに対するOTP(One Time Password)演算を遂行して第2使用者認証情報を生成する段階と、
    前記使用者端末機で前記第2使用者認証情報と前記復号化キーとを前記認証サーバーに伝送する段階と、
    前記認証サーバーで、前記暗号化された第1共通認証キーを前記復号化キーを利用して第1共通認証キーとして復号化し、前記第1共通認証キーと前記使用者端末機から伝送された第1使用者認証情報又は前記第1サーバー認証情報を構成要素に単方向性関数を利用する変換を遂行して第3サーバー認証キーを生成する段階と、
    前記第3サーバー認証キーに対するOTP(One Time Password)演算を遂行して第2サーバー認証情報を生成する段階と、をさらに含み、
    前記第4段階の後に、
    前記第2使用者認証情報と前記第2サーバー認証情報との一致の可否を判断して使用者認証を遂行する段階をさらに含むことを特徴とする請求項1に記載の使用者認証方法。
  6. 前記第3段階と第4段階との間又は前記第4段階の後に、
    前記使用者端末機で、復号化キーを利用して復号化された第2共通認証キー又は暗号化されていない状態の前記第2共通認証キーと、前記認証サーバーから伝送された前記第1サーバー認証情報又は前記第1使用者認証情報を構成要素として単方向性関数を利用する変換を遂行して第3使用者認証キーを生成する段階と、
    前記使用者端末機で、前記第3使用者認証キーから時間抽出値発生器を通じて時間情報を利用して一定基準によって抽出される第4使用者認証キーを生成する段階と、
    前記第4使用者認証キーに対するOTP(One Time Password)演算を遂行して前記第2使用者認証情報を生成する段階と、を含み、
    前記使用者端末機で前記第2使用者認証情報と前記復号化キーとを前記認証サーバーに伝送する段階と、
    前記認証サーバーで、前記暗号化された第1共通認証キーを前記復号化キーを利用して第1共通認証キーとして復号化し、前記使用者端末機から伝送された第1使用者認証情報又は前記第1サーバー認証情報と前記第1共通認証キーとを構成要素として単方向性関数を利用する変換を遂行して第3サーバー認証キーを生成する段階と、
    前記認証サーバーで、前記第3サーバー認証キーから時間抽出値発生器を通じて時間情報を利用して一定基準によって抽出される第4サーバー認証キーを生成する段階と、
    前記第4サーバー認証キーに対するOTP(One Time Password)演算を遂行して第2サーバー認証情報を生成する段階と、を含み、
    前記第4段階の後に、
    前記第2使用者認証情報と前記第2サーバー認証情報との一致の可否を判断して使用者認証を遂行する段階をさらに含むことを特徴とする請求項1に記載の使用者認証方法。
  7. 前記第3段階は、使用者が認証のための個人暗証番号を入力するのに所要される時間を1/n(nは任意の正の実数)秒(Second)単位に測定した時間値であるギャップタイム値を前記使用者端末機で測定して前記認証サーバーに伝送する段階をさらに含み、
    前記使用者端末機で前記第3使用者認証キー生成の時に、前記ギャップタイム値又は前記ギャップタイム値で一定基準によって抽出された数字値であるギャップタイムキーが構成要素としてさらに追加され、
    前記認証サーバーで前記第3サーバー認証キー生成の時に、前記ギャップタイム値又は前記ギャップタイムキーが構成要素としてさらに追加されることを特徴とする請求項5に記載の使用者認証方法。
  8. 前記第3段階は、使用者が認証のための個人暗証番号を入力するのに所要される時間を1/n(nは任意の正の実数)秒(Second)単位に測定した時間値であるギャップタイム値を前記使用者端末機で測定して前記認証サーバーに伝送する段階をさらに含み、
    前記使用者端末機で前記第3使用者認証キー生成の時に、前記ギャップタイム値又は前記ギャップタイム値で一定基準によって抽出された数字値であるギャップタイムキーが構成要素としてさらに追加され、
    前記認証サーバーで前記第3サーバー認証キー生成の時に、前記ギャップタイム値又は前記ギャップタイムキーが構成要素としてさらに追加されることを特徴とする請求項6に記載の使用者認証方法。
  9. 前記単方向性関数は、任意の長さを有するデータを固定された長さのデータにマッピングする関数にハッシュ(HASH)関数を含み、
    前記第2次変換のための暗号化は、暗号化キーと復号化キーとが同一の対称キー暗号化方式が使用されることを特徴とする請求項5又は請求項6に記載の使用者認証方法。
  10. 前記使用者端末機又は前記認証サーバーで伝送される認証情報又は認証キーを含む伝送対象データには、データの無欠性検証のための検証キーが追加されて伝送され、
    前記検証キーは、伝送対象データの各々に対してOTP(One Time Password)演算を遂行した第1OTP演算値を追加し、
    前記使用者端末機又は前記認証サーバーで前記データの受信の時には、受信されたデータに対するOTP(One Time Password)演算を遂行した第2OTP演算値と前記検証キーとを比較して無欠性検証を遂行することを特徴とする請求項5又は請求項6に記載の使用者認証方法。
  11. 前記認証サーバーでは一定時間内に前記第1サーバー認証情報が複数個に伝送された場合に、前記使用者端末機に前記第2使用者認証情報の追加的な手動入力を要求し、前記第2使用者認証情報が手動入力を通じて伝送されれば、手動入力された第2使用者認証情報と前記第2サーバー認証情報とを比較して使用者認証を遂行することを特徴とする請求項6に記載の使用者認証方法。
  12. 前記認証サーバーで前記使用者端末機に第3使用者認証情報を要請する段階と、
    前記第3使用者認証情報が前記使用者端末機を通じて伝送されれば、前記認証サーバーで、前記第3使用者認証情報と前記第3サーバー認証情報との一致の可否を判断して使用者認証を遂行する段階と、をさらに含み、
    前記第3使用者認証情報は、前記使用者端末機で前記認証機関の固有キーと前記第4使用者認証キーとを構成要素として単方向性関数を利用する変換を遂行して第5使用者認証キーを生成し、前記第5使用者認証キーに対するOTP(One Time Password)演算を遂行して生成され、
    前記第3サーバー認証情報は、前記認証サーバーで、前記認証機関の固有キーと前記第4サーバー認証キーとを構成要素として単方向性関数を利用する変換を遂行して第5サーバー認証キーを生成し、前記第5サーバー認証キーに対するOTP(One Time Password)演算を遂行して生成されることを特徴とする請求項6又は請求項11に記載の使用者認証方法。
  13. 前記使用者端末機は前記第1段階乃至前記4段階の認証手続を遂行中にハッキングを含む攻撃兆候を感知して、攻撃兆候が感知される場合、認証手続を強制に中断するための強制中断信号を生成して前記認証サーバーに伝送することによって、認証手続を強制中断させることを特徴とする請求項5又は請求項6に記載の使用者認証方法。
  14. 使用者端末機と認証サーバーとを利用する使用者認証方法において、
    使用者によって使用者登録のための手続が開始されれば、前記使用者端末機では前記使用者端末機の機械的固有キーを構成要素として単方向性関数を利用する第1次変換を遂行して第1共通認証キーを生成し、前記第1共通認証キーを暗号化する第2次変換を遂行して暗号化された第1共通認証キーを前記認証サーバーに提供し、前記認証サーバーでは前記暗号化された第1共通認証キーを使用者情報にマッチングして登録する第1段階と、
    前記認証サーバーで、内蔵された認証機関の固有キーと前記暗号化された第1共通認証キーとを構成要素として単方向性関数を利用する変換を遂行して第1サーバー認証キーを生成し、前記第1サーバー認証キー又は前記第1サーバー認証キーの変換値である第2サーバー認証キーに対するOTP(One Time Password)演算を遂行して第1サーバー認証情報を生成する第2段階と、
    認証のために使用者から認証手続が開始されれば、前記使用者端末機で前記使用者端末機の機械的固有キーを構成要素として単方向性関数を利用する第1次変換を遂行して第2共通認証キーをリアルタイムに生成し、前記第2共通認証キーを暗号化する第2次変換を遂行して暗号化された第2共通認証キーを生成し、前記認証サーバーから予め提供された認証機関の固有キーと前記暗号化された第2共通認証キーとを構成要素として単方向性関数を利用する変換を遂行して第1使用者認証キーを生成し、前記第1使用者認証キー又は前記第1使用者認証キーの変換値である第2使用者認証キーに対するOTP(One Time Password)演算を遂行して第1使用者認証情報を生成する第3段階と、
    前記第1サーバー認証情報と前記第1使用者認証情報との一致の可否にしたがって使用者認証を遂行するか、又は前記認証サーバーの真偽を判断する認証サーバー認証を遂行する第4段階と、を具備することを特徴とする使用者認証方法。
  15. 前記第1共通認証キーを暗号化するための第1暗号化キー及び前記第2共通認証キーを暗号化するための第2暗号化キーは、使用者が入力した個人暗証番号を構成要素として単方向性関数を利用する変換を遂行することによって生成されるか、或いはランダムに生成されることを特徴とする請求項14に記載の使用者認証方法。
  16. 前記第1暗号化キー及び前記第2暗号化キーは、前記使用者端末機の機械的固有キーが構成要素として追加されて、前記個人暗証番号と前記使用者端末機の機械的固有キーとを組合せて単方向性関数を利用する変換を遂行することによって生成されることを特徴とする請求項15に記載の使用者認証方法。
  17. 前記第1共通認証キー、前記第2共通認証キー、前記第1暗号化キー、及び前記第2暗号化キーの各々の生成の時には、前記使用者端末機に設置された専用アプリケーションプログラムの固有キーが構成要素としてさらに追加されることを特徴とする請求項16に記載の使用者認証方法。
  18. 前記第2段階は、
    前記認証サーバーで、内蔵された認証機関の固有キーと前記暗号化された第1共通認証キーとを構成要素として、単方向性関数を利用する変換を遂行して前記第1サーバー認証キーを生成する段階と、
    前記認証サーバーで、前記第1サーバー認証キーから時間抽出値発生器を通じて時間情報を利用して一定基準によって抽出される第2サーバー認証キーを生成する段階と、
    前記認証サーバーで前記第2サーバー認証キーに対するOTP(One Time Password)演算を遂行して前記第1サーバー認証情報を生成する段階と、を含み、
    前記第3段階は、
    前記使用者端末機で、前記暗号化された第2共通認証キーが生成されれば、前記認証サーバーから予め提供された認証機関の固有キーと前記暗号化された第2共通認証キーとを構成要素として、単方向性関数を利用する変換を遂行して第1使用者認証キーを生成する段階と、
    前記第1使用者認証キーから時間抽出値発生器を通じて時間情報を利用して一定基準によって抽出される第2使用者認証キーを生成する段階と、
    前記使用者端末機で、前記第2使用者認証キーに対するOTP(One Time Password)演算を遂行して前記第1使用者認証情報を生成する段階と、を含むことを特徴とする請求項15に記載の使用者認証方法。
  19. 前記第3段階と第4段階との間又は前記第4段階の後に、
    前記使用者端末機で、復号化キーを利用して復号化された第2共通認証キー又は暗号化されていない状態の前記第2共通認証キーと、前記認証サーバーから伝送された前記第1サーバー認証情報又は前記第1使用者認証情報を構成要素として単方向性関数を利用する変換を遂行して第3使用者認証キーを生成する段階と、
    前記使用者端末機で前記第3使用者認証キーに対するOTP(One Time Password)演算を遂行して第2使用者認証情報を生成する段階と、
    前記使用者端末機で前記第2使用者認証情報と前記復号化キーとを前記認証サーバーに伝送する段階と、
    前記認証サーバーで、前記暗号化された第1共通認証キーを前記復号化キーを利用して第1共通認証キーとして復号化し、前記第1共通認証キーと前記使用者端末機から伝送された第1使用者認証情報又は前記第1サーバー認証情報を構成要素として単方向性関数を利用する変換を遂行して第3サーバー認証キーを生成する段階と、
    前記第3サーバー認証キーに対するOTP(One Time Password)演算を遂行して第2サーバー認証情報を生成する段階と、をさらに含み、
    前記第4段階の後に、
    前記第2使用者認証情報と前記第2サーバー認証情報との一致の可否を判断して使用者認証を遂行する段階をさらに含むことを特徴とする請求項15に記載の使用者認証方法。
  20. 前記第3段階と第4段階との間又は前記第4段階の後に、
    前記使用者端末機で、復号化キーを利用して復号化された第2共通認証キー又は暗号化されていない状態の前記第2共通認証キーと、前記認証サーバーから伝送された前記第1サーバー認証情報又は前記第1使用者認証情報を構成要素として単方向性関数を利用する変換を遂行して第3使用者認証キーを生成する段階と、
    前記使用者端末機で、前記第3使用者認証キーから時間抽出値発生器を通じて時間情報を利用して一定基準によって抽出される第4使用者認証キーを生成する段階と、
    前記第4使用者認証キーに対するOTP(One Time Password)演算を遂行して前記第2使用者認証情報を生成する段階と、を含み、
    前記使用者端末機で前記第2使用者認証情報と前記復号化キーとを前記認証サーバーに伝送する段階と、
    前記認証サーバーで、前記暗号化された第1共通認証キーを前記復号化キーを利用して第1共通認証キーとして復号化し、前記使用者端末機から伝送された第1使用者認証情報又は前記第1サーバー認証情報と前記第1共通認証キーとを構成要素として単方向性関数を利用する変換を遂行して第3サーバー認証キーを生成する段階と、
    前記認証サーバーで、前記第3サーバー認証キーから時間抽出値発生器を通じて時間情報を利用して一定基準によって抽出される第4サーバー認証キーを生成する段階と、
    前記第4サーバー認証キーに対するOTP(One Time Password)演算を遂行して第2サーバー認証情報を生成する段階と、を含み、
    前記第4段階の後に、
    前記第2使用者認証情報と前記第2サーバー認証情報との一致の可否を判断して使用者認証を遂行する段階をさらに含むことを特徴とする請求項18に記載の使用者認証方法。
  21. 前記第3段階は、使用者が認証のための個人暗証番号を入力するのに所要される時間を1/n(nは任意の正の実数)秒(Second)単位に測定した時間値であるギャップタイム値を前記使用者端末機で測定して前記認証サーバーに伝送する段階をさらに含み、
    前記使用者端末機で前記第3使用者認証キー生成の時に、前記ギャップタイム値又は前記ギャップタイム値で一定基準によって抽出された数字値であるギャップタイムキーが構成要素としてさらに追加され、
    前記認証サーバーで前記第3サーバー認証キー生成の時に、前記ギャップタイム値又は前記ギャップタイムキーが構成要素としてさらに追加されることを特徴とする請求項19に記載の使用者認証方法。
  22. 前記第3段階は、使用者が認証のための個人暗証番号を入力するのに所要される時間を1/n(nは任意の正の実数)秒(Second)単位に測定した時間値であるギャップタイム値を前記使用者端末機で測定して前記認証サーバーに伝送する段階をさらに含み、
    前記使用者端末機で前記第3使用者認証キー生成の時に、前記ギャップタイム値又は前記ギャップタイム値で一定基準によって抽出された数字値であるギャップタイムキーが構成要素としてさらに追加され、
    前記認証サーバーで前記第3サーバー認証キー生成の時に、前記ギャップタイム値又は前記ギャップタイムキーが構成要素としてさらに追加されることを特徴とする請求項20に記載の使用者認証方法。
  23. 前記使用者端末機又は前記認証サーバーで伝送される認証情報又は認証キーを含む伝送対象データには、データの無欠性検証のための検証キーが追加されて伝送され、
    前記検証キーは、伝送対象データの各々に対してOTP(One Time Password)演算を遂行した第1OTP演算値を追加し、
    前記使用者端末機又は前記認証サーバーで前記データの受信の時には、受信されたデータに対するOTP(One Time Password)演算を遂行した第2OTP演算値と前記検証キーとを比較して無欠性検証を遂行することを特徴とする請求項14又は請求項15に記載の使用者認証方法。
  24. 前記認証サーバーでは一定時間内に前記第1サーバー認証情報が複数個に伝送された場合に、前記使用者端末機に前記第2使用者認証情報の追加的な手動入力を要求し、前記第2使用者認証情報が手動入力を通じて伝送されれば、手動入力された第2使用者認証情報と前記第2サーバー認証情報とを比較して使用者認証を遂行することを特徴とする請求項20に記載の使用者認証方法。
  25. 前記認証サーバーで前記使用者端末機に第3使用者認証情報を要請する段階と、
    前記第3使用者認証情報が前記使用者端末機を通じて伝送されれば、前記認証サーバーで、前記第3使用者認証情報と前記第3サーバー認証情報との一致の可否を判断して使用者認証を遂行する段階と、をさらに含み、
    前記第3使用者認証情報は、前記使用者端末機で前記認証機関の固有キーと前記第4使用者認証キーとを構成要素として単方向性関数を利用する変換を遂行して第5使用者認証キーを生成し、前記第5使用者認証キーに対するOTP(One Time Password)演算を遂行して生成され、
    前記第3サーバー認証情報は、前記認証サーバーで、前記認証機関の固有キーと前記第4サーバー認証キーとを構成要素として単方向性関数を利用する変換を遂行して第5サーバー認証キーを生成し、前記第5サーバー認証キーに対するOTP(One Time Password)演算を遂行して生成されることを特徴とする請求項20又は請求項24に記載の使用者認証方法。
  26. 前記使用者端末機は、前記第1段階乃至前記4段階の認証手続を遂行中にハッキングを含む攻撃兆候を感知して、攻撃兆候が感知される場合、認証手続を強制に中断するための強制中断信号を生成して前記認証サーバーに伝送することによって、認証手続を強制中断させることを特徴とする請求項14又は請求項15に記載の使用者認証方法。
JP2017511603A 2016-04-28 2016-05-12 無欠性及び保安性が強化された使用者認証方法 Active JP6378424B1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR10-2016-0052423 2016-04-28
KR1020160052423A KR101746102B1 (ko) 2016-04-28 2016-04-28 무결성 및 보안성이 강화된 사용자 인증방법
PCT/KR2016/005008 WO2017188497A1 (ko) 2016-04-28 2016-05-12 무결성 및 보안성이 강화된 사용자 인증방법

Publications (2)

Publication Number Publication Date
JP6378424B1 JP6378424B1 (ja) 2018-08-22
JP2018524825A true JP2018524825A (ja) 2018-08-30

Family

ID=59218803

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017511603A Active JP6378424B1 (ja) 2016-04-28 2016-05-12 無欠性及び保安性が強化された使用者認証方法

Country Status (5)

Country Link
JP (1) JP6378424B1 (ja)
KR (1) KR101746102B1 (ja)
CN (1) CN107548542B (ja)
SG (1) SG11201701770XA (ja)
WO (1) WO2017188497A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019031666A1 (ko) * 2017-08-09 2019-02-14 주식회사 센스톤 가상카드번호를 생성하는 스마트카드, 스마트카드 기반의 가상카드번호 제공방법 및 프로그램
CN109547400A (zh) 2017-09-22 2019-03-29 三星电子株式会社 通信方法、完整性验证方法和客户端的服务器注册方法
KR102005787B1 (ko) * 2018-04-26 2019-07-31 주식회사위즈베라 인증서 암호화 방법
US11888988B2 (en) 2021-07-20 2024-01-30 Kyndryl, Inc Two-factor authentication based on computation method to derive proxy password

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003299146A (ja) * 2002-02-01 2003-10-17 Canon Inc 無線通信装置
CN1610293A (zh) * 2004-11-19 2005-04-27 陈智敏 手机应用程序进行一次性口令系统登录口令计算的方法
US20060083228A1 (en) * 2004-10-20 2006-04-20 Encentuate Pte. Ltd. One time passcode system
US20060136739A1 (en) * 2004-12-18 2006-06-22 Christian Brock Method and apparatus for generating one-time password on hand-held mobile device
JP2012503814A (ja) * 2008-09-26 2012-02-09 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ デバイス及びユーザの認証
WO2012172052A1 (en) * 2011-06-17 2012-12-20 Abb Research Ltd Securing an industrial control system
US20130268444A1 (en) * 2010-05-28 2013-10-10 Jong Namgoong Three-factor user authentication method for generating otp using iris information and secure mutual authentication system using otp authentication module of wireless communication terminal
US20140120905A1 (en) * 2012-10-31 2014-05-01 Irevo, Inc. Method for mobile-key service
JP2015226133A (ja) * 2014-05-27 2015-12-14 パナソニックIpマネジメント株式会社 端末認証システム、サーバ装置、及び端末認証方法
JP6122205B1 (ja) * 2016-01-06 2017-04-26 センストン インク.SSenStone Inc. 保安性が強化された使用者認証方法

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3697212B2 (ja) 2002-01-16 2005-09-21 株式会社エヌ・ティ・ティ・ドコモ ユーザ認証システム、ユーザ認証方法、ユーザ認証プログラム、及び、コンピュータ読取可能な記録媒体
EP1723594B1 (en) * 2004-02-23 2017-11-29 Symantec International Token authentication system and method
CN101977202B (zh) * 2010-11-11 2012-08-29 北京航空航天大学 一种用于b/s网络结构的一次性口令认证系统和认证方法
KR101583698B1 (ko) * 2011-06-07 2016-01-08 주식회사 잉카인터넷 접속 시도 기기 인증 시스템 및 방법
KR101172234B1 (ko) 2011-06-17 2012-08-07 김승학 키 입력 간의 시간 비율을 이용한 비밀번호 관리 장치 및 방법
CN105052072A (zh) * 2012-12-28 2015-11-11 威斯科数据安全国际有限公司 远程认证和业务签名
US20140379585A1 (en) * 2013-06-25 2014-12-25 Aliaslab S.P.A. Electronic signature system for an electronic document using a payment card
KR101571126B1 (ko) 2014-09-11 2015-11-23 임용훈 사용자 인증을 위한 장치 및 방법
KR101558557B1 (ko) 2015-02-23 2015-10-13 주식회사 벨소프트 아이디와 패스워드 입력 방식을 대체하는 휴대 전화번호 기반의 회원인증 방법 및 서버 시스템
CN104753682B (zh) * 2015-04-03 2019-05-14 北京奇虎科技有限公司 一种会话秘钥的生成系统及方法

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003299146A (ja) * 2002-02-01 2003-10-17 Canon Inc 無線通信装置
US20060083228A1 (en) * 2004-10-20 2006-04-20 Encentuate Pte. Ltd. One time passcode system
CN1610293A (zh) * 2004-11-19 2005-04-27 陈智敏 手机应用程序进行一次性口令系统登录口令计算的方法
US20060136739A1 (en) * 2004-12-18 2006-06-22 Christian Brock Method and apparatus for generating one-time password on hand-held mobile device
JP2012503814A (ja) * 2008-09-26 2012-02-09 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ デバイス及びユーザの認証
US20130268444A1 (en) * 2010-05-28 2013-10-10 Jong Namgoong Three-factor user authentication method for generating otp using iris information and secure mutual authentication system using otp authentication module of wireless communication terminal
WO2012172052A1 (en) * 2011-06-17 2012-12-20 Abb Research Ltd Securing an industrial control system
US20140120905A1 (en) * 2012-10-31 2014-05-01 Irevo, Inc. Method for mobile-key service
JP2015226133A (ja) * 2014-05-27 2015-12-14 パナソニックIpマネジメント株式会社 端末認証システム、サーバ装置、及び端末認証方法
JP6122205B1 (ja) * 2016-01-06 2017-04-26 センストン インク.SSenStone Inc. 保安性が強化された使用者認証方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
鵜尾 健司 ほか: "複数認証エージェントで利用可能な単一ワンタイムパスワード方式について", 情報処理学会研究報告, vol. 2005, no. 41, JPN6011005800, 19 May 2005 (2005-05-19), JP, pages 53 - 58, ISSN: 0003842522 *

Also Published As

Publication number Publication date
CN107548542B (zh) 2020-10-27
WO2017188497A1 (ko) 2017-11-02
KR101746102B1 (ko) 2017-06-13
SG11201701770XA (en) 2018-05-30
CN107548542A (zh) 2018-01-05
JP6378424B1 (ja) 2018-08-22

Similar Documents

Publication Publication Date Title
KR102328725B1 (ko) 하나의 장치를 이용하여 다른 장치를 언로크하는 방법
US10270762B2 (en) User authentication method for enhancing integrity and security
JP6122205B1 (ja) 保安性が強化された使用者認証方法
US10523441B2 (en) Authentication of access request of a device and protecting confidential information
US20170055146A1 (en) User authentication and/or online payment using near wireless communication with a host computer
US10432600B2 (en) Network-based key distribution system, method, and apparatus
KR20180117715A (ko) 개선된 보안성을 갖는 사용자 인증을 위한 방법 및 시스템
EP3206329B1 (en) Security check method, device, terminal and server
JP5380583B1 (ja) デバイス認証方法及びシステム
KR101690989B1 (ko) Fido 인증모듈을 이용한 전자서명 방법
US10474804B2 (en) Login mechanism for operating system
JP6378424B1 (ja) 無欠性及び保安性が強化された使用者認証方法
KR101856530B1 (ko) 사용자 인지 기반 암호화 프로토콜을 제공하는 암호화 시스템 및 이를 이용하는 온라인 결제 처리 방법, 보안 장치 및 거래 승인 서버
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
KR101836236B1 (ko) 애플리케이션 간 인증을 이용한 사용자 인증방법 및 장치, 그 프로그램
KR102547682B1 (ko) Puf기반 otp를 이용하여 사용자 인증을 지원하는 서버 및 그 동작 방법
KR102033842B1 (ko) 사이버 보안 금고
KR20170123222A (ko) 무결성 및 보안성이 강화된 사용자 인증방법
JP6398308B2 (ja) 情報処理システム、情報処理方法、及びプログラム
JP2015226072A (ja) 情報処理システム、情報処理方法、及びプログラム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180724

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180726

R150 Certificate of patent or registration of utility model

Ref document number: 6378424

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250