JP2019505941A - ワンタイム動的位置認証方法及びシステム並びにワンタイム動的パスワード変更方法 - Google Patents

ワンタイム動的位置認証方法及びシステム並びにワンタイム動的パスワード変更方法 Download PDF

Info

Publication number
JP2019505941A
JP2019505941A JP2018558473A JP2018558473A JP2019505941A JP 2019505941 A JP2019505941 A JP 2019505941A JP 2018558473 A JP2018558473 A JP 2018558473A JP 2018558473 A JP2018558473 A JP 2018558473A JP 2019505941 A JP2019505941 A JP 2019505941A
Authority
JP
Japan
Prior art keywords
dynamic
factor
password
authentication
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018558473A
Other languages
English (en)
Other versions
JP6713548B2 (ja
Inventor
ユンタオ マ、
ユンタオ マ、
ウェイ リウ、
ウェイ リウ、
グアンフア スン、
グアンフア スン、
ヨンシェン シュー、
ヨンシェン シュー、
ジュン フアン、
ジュン フアン、
Original Assignee
ダーリアン マジック イメージ テクノロジー カンパニー リミテッド
ダーリアン マジック イメージ テクノロジー カンパニー リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ダーリアン マジック イメージ テクノロジー カンパニー リミテッド, ダーリアン マジック イメージ テクノロジー カンパニー リミテッド filed Critical ダーリアン マジック イメージ テクノロジー カンパニー リミテッド
Publication of JP2019505941A publication Critical patent/JP2019505941A/ja
Application granted granted Critical
Publication of JP6713548B2 publication Critical patent/JP6713548B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0872Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Abstract

本出願は、ワンタイム動的位置認証方法及びシステム並びにワンタイム動的パスワード変更方法を提供する。この方法は、後述のステップを含む。そのステップとは、認証サーバーが、クライアントから認証リクエストを受信し、位置因子列を生成し、位置因子列及び全要素動的因子テーブルの構造を含む生成される情報をクライアントへと送信する。そして、クライアントが、生成される情報を受信し、全要素動的因子テーブルを生成し、位置因子列を全要素動的因子テーブル内へと配置し、第1の位置規則に従ってユーザーが入力する動的グラフィカルパスワードを取得し、動的グラフィカルパスワードを認証サーバーへと送信する。そして認証サーバーが、動的グラフィカルパスワードをクライアントから受信し、動的グラフィカルパスワードに対応しており動的グラフィカルパスワードの解読を通して取得される第1の位置規則が予め設定されている位置規則と一貫している場合に認証を成功と判断するステップである。本出願において、画像とグラフィカルパスワードの覚え易さとが、ワンタイム動的パスワードの流動性と結びついている。それにより、認証システムの全体の便利さ及び安全性が改善される。

Description

本出願は、2016年1月29日に中国特許庁に提出された「ワンタイム動的位置認証方法、システム及びパスワード変更方法」と題された中国特許出願第201610066012.3号の優先権を主張するものであり、その内容全体を引用により援用する。
本発明は、サイバーセキュリティの技術分野に関し、特に、ワンタイム動的位置認証方法及びシステム並びにワンタイム動的パスワード変更方法に関する。
インターネット技術の発展に伴って、より多くのウェブサイトがインターネットサービスを提供可能になっている。
ウェブサイトが提供するサービスを受けるために、ユーザーは、ネットワーク端末を用いて対象のサービスウェブサイトにログインする必要があり、そして、対象のサービスウェブサイトにアクセスすることで、対象のサービスウェブサイトが提供するサービスを受ける。
ネットワークアクセスの安全性を確保するために、対象のサービスウェブサイトは、ネットワーク端末側でユーザーの識別認証をする必要がある。
共通ユーザー識別認証方法では、ユーザーネーム及びパスワードを用いる方法で認証を行う。
その方法では、ユーザーネーム及びパスワードは、一度確認されると固定され、したがって、非常に突破し易いであろう。
固定ユーザーネーム及びパスワードの安全性を改善するために、サービスを提供する対象のサービスウェブサイトは、ユーザーがネットワーク端末を通じて決定するユーザーネーム及びパスワードを設定する際に様々な制限を設けなければならない。
例えば、ユーザーネーム及びパスワードは、大文字の英字、小文字の英字、数字及び/又は記号の組み合わせであるべきである。
その結果、ユーザーに貧弱な体験を提供するだけでなく、パスワードが、複雑になり、覚えることが困難になる。
たとえそうしたとしても、ユーザーネーム及びパスワードの特定の情報は、トロイやフィッシングなどのような単純な方法で、なおも簡単に取得可能である。
動的パスワードやトークンなどのような、他の改善されたユーザー識別認証方法によって認証が行われている。
それらは、現在一般的なユーザー識別認証方法であり、主要な方法として動的パスワード、モバイルトークン、USBキー、生体認証などを含む。
しかし、これらの技術の実行は、ハードウェア又は第3者のプラグインに依存しており、結果として、安全性の脅威がなお存在する。
例えば、モバイル動的パスワードを用いるユーザー識別認証方法においては、ショートメッセージサービス(SMS)のメッセージをテレコムオペレータ経由で送信する必要がある。
しかし、違法な疑似基地局、トロイ、サービスウェブサイトプラットフォーム/電波塔への攻撃などのような攻撃方法があるため、この認証方法の安全性を確保することが困難である。
さらに、モバイルトークンのようなハードウェアトークンを用いるユーザー識別認証方法において、複数のネットワーク装置間の時間誤差やユーザー操作時間やその他の要因を基に、アタッカーは、短時間でトークンコンテンツを取得し、アカウントを突破し、ユーザー情報を盗むことができる。
したがって、安全性を確保するのは、やはり困難である。
本発明は、現存する従来のパスワードの欠点を解決するために、ワンタイム動的位置認証方法及びシステム並びにワンタイム動的パスワード変更方法を提供する。
前述の技術的な問題を解決するために、本発明の実施形態は、後述の技術的な解決方法を開示する。
ワンタイム動的位置認証方法であって、
認証サーバーがクライアントから認証リクエストを受信するステップと、
位置因子ライブラリから選択される位置因子に基づいて位置因子列を生成し、前記位置因子列及び全要素動的因子テーブルの構造を含む生成される情報を前記クライアントへと送信するステップと、
前記クライアントが、前記生成される情報を受信し、前記全要素動的因子テーブルの前記構造に基づいて前記全要素動的因子テーブルを生成し、前記位置因子列を前記全要素動的因子テーブル内へと配置するステップと、
第1の位置規則に従ってユーザーが入力する動的グラフィカルパスワードを取得し、前記動的グラフィカルパスワードを前記認証サーバーへと送信するステップと、
前記認証サーバーが、前記クライアントから前記動的グラフィカルパスワードを受信し、前記動的グラフィカルパスワードに対応しており解読を通して取得される前記第1の位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するステップと、を含むワンタイム動的位置認証方法。
好ましくは、前記全要素動的因子テーブルの前記構造を決定するステップが、前記認証サーバーと前記クライアントとの間の交渉を通じてなされ、前記全要素動的因子テーブルの前記構造が、外側テーブル形状の構造と、内側テーブル形状の構造とを含む。
好ましくは、前記全要素動的因子テーブルの前記構造を、前記交渉を通じて決定する前記ステップが、前記全要素動的因子テーブルの一定の構造を使用するステップを含む。
好ましくは、前記認証リクエストがユーザーIDを含み、前記ユーザーに対応する前記全要素動的因子テーブルの前記構造が、前記ユーザーIDに基づいて決定される。
好ましくは、前記生成される情報が、内側テーブル変更方法をさらに含み、
前記位置因子列を前記全要素動的因子テーブル内へと配置する前記ステップが、
前記内側テーブル変更方法に基づいて前記位置因子列を前記全要素動的因子テーブル内へと配置するステップを含む。
好ましくは、前記内側テーブル変更方法が、予め設定されているアルゴリズムに基づいて、前記認証サーバーにより決定される。
好ましくは、前記位置因子が、英字、単語、中国語文字、数字、記号、画像又は色を含む。
好ましくは、前記第1の位置規則が、連続的な位置因子の組み合わせ、非連続的な位置因子の組み合わせ、同一の場所で繰り返される位置因子の組み合わせ及び固定文字の組み合わせの内の1つか、又はそれらの任意の組み合わせを含む。
好ましくは、前記生成される情報を前記クライアントへと送信する前記ステップが、
前記認証サーバーが、前記生成される情報を文字形態又は画像形態で前記クライアントへと送信するステップを含む。
好ましくは、前記ワンタイム動的位置認証方法が、前記クライアントが現在のユーザーのユーザーネームを取得するステップと、前記クライアントが前記動的グラフィカルパスワードを現在のユーザーネームとして使用するステップと、をさらに含む。
ワンタイム動的位置認証方法であって、
クライアントが、位置因子ライブラリから選択される位置因子に基づいて位置因子列を生成し、全要素動的因子テーブルの構造に基づいて全要素動的因子テーブルを生成し、前記位置因子列を前記全要素動的因子テーブル内へと配置するステップと、
第1の位置規則に従ってユーザーが入力する動的グラフィカルパスワードを取得し、前記動的グラフィカルパスワードを認証サーバーへと送信するステップと、
前記認証サーバーが、前記クライアントから前記動的グラフィカルパスワードを受信し、前記動的グラフィカルパスワードに対応しており解読を通して取得される前記第1の位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するステップと、を含むワンタイム動的位置認証方法。
好ましくは、位置因子ライブラリから選択される位置因子に基づいて前記位置因子列を生成する前記ステップが、
現在のユーザーが選択する位置因子と、前記全要素動的因子テーブルに含まれる位置因子の全数と、を取得するステップと、
前記選択される位置因子と前記位置因子の全数とに基づいて前記位置因子列を生成するステップと、を含み、
前記位置因子列に同一の位置因子が少なくとも2回存在する。
好ましくは、前記第1の位置規則が、連続的な位置因子の組み合わせ、非連続的な位置因子の組み合わせ、同一の場所で繰り返される位置因子の組み合わせ及び固定文字の組み合わせの内の1つか、又はそれらの任意の組み合わせを含む。
ユーザーに認証を提供する認証サーバーと、前記ユーザーにネットワークログイン及びアクセスを提供するクライアントと、位置因子ライブラリと、を備えるワンタイム動的位置認証システムであって、
前記認証サーバーが、前記クライアントから情報を受信するように構成されている第1の受信ユニットと、前記クライアントに情報を送信するように構成されている第1の送信ユニットと、前記第1の受信ユニット及び前記第1の送信ユニットに接続されている位置因子列生成ユニット、位置規則解読ユニット及びパスワード判断ユニットと、を含み、
前記位置因子列生成ユニットが、位置因子ライブラリから選択される位置因子に基づいて位置因子列を生成するように構成され、前記第1の送信ユニットが、前記位置因子列及び全要素動的因子テーブルの構造を含む生成される情報を前記クライアントへと送信するように構成され、前記位置規則解読ユニットが、第1の位置規則に従ってユーザーが入力する動的グラフィカルパスワードを受信し、前記動的グラフィカルパスワードに対応する前記第1の位置規則を、解読を通して取得するように構成され、
前記パスワード判断ユニットが、前記第1の位置規則が予め設定されている位置規則と一貫しているかどうかを判断し、前記第1の送信ユニットを用いることによって前記クライアントに判断結果を送信するように構成され、
前記クライアントが、前記認証サーバーから情報を受信するように構成されている第2の受信ユニットと、情報を前記認証サーバーへと送信するように構成されている第2の送信ユニットと、前記第2の受信ユニット及び前記第2の送信ユニットに接続されている全要素動的因子テーブル表示ユニット及び動的グラフィカルパスワード生成ユニットと、を含み、
前記全要素動的因子テーブル表示ユニットが、前記位置因子列を前記全要素動的因子テーブル内へと配置するように構成され、
前記動的グラフィカルパスワード生成ユニットが、前記全要素動的因子テーブル内への前記第1の位置規則に従った前記ユーザーの入力に基づいて、前記動的グラフィカルパスワードを生成し、前記動的グラフィカルパスワードを前記第2の送信ユニットによって前記認証サーバーへと送信するように構成されている、ワンタイム動的位置認証システム。
好ましくは、前記第1の受信ユニットと前記第1の送信ユニットの間で、前記認証サーバーが、前記全要素動的因子テーブルの前記構造を前記クライアントと交渉するように構成されている第1の交渉ユニットをさらに含み、
前記第2の受信ユニットと前記第2の送信ユニットの間で、前記クライアントが、前記全要素動的因子テーブルの前記構造を前記サーバーと交渉するように構成されている第2の交渉ユニットをさらに含む。
好ましくは、前記ワンタイム動的位置認証システムが負荷平衡器をさらに含み、前記負荷平衡器が、前記認証サーバーに接続され、受信した認証リクエストの負荷が設定されている負荷閾値よりも大きいかどうかを判断し、前記負荷が前記設定されている負荷閾値よりも大きい場合、最後に受信した認証リクエストを別の認証サーバーへと割り当てるように構成されている。
ワンタイム動的パスワード変更方法であって、
認証サーバーが、パスワード変更リクエストをクライアントから取得するステップと、
全要素動的因子テーブルに基づいて2つの位置因子列を生成し、前記2つの位置因子列を前記クライアントへと1度に送信するステップと、
前記クライアントが、前記2つの位置因子列を受信し、前記2つの位置因子列を複数の前記全要素動的因子テーブル内へとそれぞれ配置し、ユーザーによって入力される第1の動的グラフィカルパスワードを第1の全要素動的因子テーブルから第1の位置規則に従って取得し、前記ユーザーによって入力される第2の動的グラフィカルパスワードを第2の全要素動的因子テーブルから第2の位置規則に従って取得し、前記第1の動的グラフィカルパスワード及び前記第2の動的グラフィカルパスワードを前記認証サーバーへと送信するステップと、
前記認証サーバーが、前記クライアントから前記2つの動的グラフィカルパスワードを受信し、前記2つの動的グラフィカルパスワードに対応しており解読を通して取得される前記第1の位置規則及び前記第2の位置規則が同一である場合、前記第1の位置規則又は前記第2の位置規則を新しい動的グラフィカルパスワードとして使用し、パスワード変更を成功と示すか、又はそうでない場合はパスワード変更を失敗と示すステップと、
前記クライアントが、前記認証サーバーが送信するパスワード変更成功又は失敗の結果を受信するステップと、を含むワンタイム動的パスワード変更方法。
好ましくは、前記認証サーバーが、変更前のパスワードと、前記第1の動的グラフィカルパスワードと、前記第2の動的グラフィカルパスワードとを取得する工程が、
まず前記認証サーバーが、前記変更前のパスワードを前記クライアントから取得し、前記変更前のパスワードが予め設定されているパスワードと同じ場合、次に前記第1の動的グラフィカルパスワード及び前記第2の動的グラフィカルパスワードを取得するステップか、
又は前記認証サーバーが、前記変更前のパスワードと、前記第1の動的グラフィカルパスワードと、前記第2の動的グラフィカルパスワードとを前記クライアントから同時に取得するステップか、を含む。
ワンタイム動的位置認証方法であって、
クライアントが全要素動的因子テーブルの構造を取得するステップと、
前記全要素動的因子テーブルの前記構造に基づいて、位置因子ライブラリから位置因子を選択し、位置因子列を生成するステップと、
ユーザーが、前記位置因子列に基づいて生成される前記全要素動的因子テーブルに基づいて動的グラフィカルパスワードを入力し、前記動的グラフィカルパスワードと前記全要素動的因子テーブルの情報とを含む認証情報を認証サーバーへと送信するステップと、
前記認証サーバーが、前記クライアントから前記動的グラフィカルパスワードを受信し、前記動的グラフィカルパスワードに対応しており解読を通して取得される位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するステップと、を含むワンタイム動的位置認証方法。
好ましくは、クライアントが前記全要素動的因子テーブルの前記構造を取得する前記ステップが、
前記クライアントが、認証リクエストを前記認証サーバーへと送信するステップと、
前記認証サーバーが、前記認証リクエストに基づいて前記全要素動的因子テーブルの前記構造を決定し、前記全要素動的因子テーブルの前記構造を前記クライアントへと送信するステップと、を含む。
ネットワークアクセスユーザーに認証サービスを提供する認証サーバーと、ネットワークを通じて前記認証サーバーに接続され、前記ネットワークアクセスユーザーにネットワークログイン及びアクセスを提供するクライアントと、を備えるワンタイム動的位置認証システムであって、
前記クライアントが、動的因子テーブル構造取得ユニットと、情報処理ユニットと、前記認証サーバーへと情報を送信するように構成されている第1の送信ユニットと、を含むクライアントであって、
前記動的因子テーブル構造取得ユニットが、全要素動的因子テーブルの構造を取得するように構成され、
前記情報処理ユニットが、前記全要素動的因子テーブル構造に基づいて位置因子ライブラリから位置因子を選択し、位置因子列を生成するように構成され、前記位置因子列に基づいて生成される全要素動的因子テーブルに基づいて動的グラフィカルパスワードを前記ネットワークアクセスユーザーによって入力され、
前記第1の送信ユニットが、前記動的グラフィカルパスワードと前記全要素動的因子テーブルの情報とを含む認証情報を前記認証サーバーへと送信するように構成され、
前記認証サーバーが、前記クライアントから情報を受信するように構成されている第1の受信ユニットと、位置規則解読ユニットと、パスワード判断ユニットと、を含む認証サーバーであって、
前記位置規則解読ユニットが、前記動的グラフィカルパスワードに対応する位置規則を、解読を通して取得するように構成され、
前記位置規則判断ユニットが、前記動的グラフィカルパスワードに対応する前記位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するように構成されている、ワンタイム動的位置認証システム。
ワンタイム動的位置認証方法であって、
クライアントが、全要素動的因子テーブルの構造を取得するステップと、
前記動的因子テーブル構造に基づいて位置因子ライブラリから位置因子を選択し、第1の位置因子列を生成するステップと、
ユーザーが、前記第1の位置因子列に基づいて生成される第1の全要素動的因子テーブルに基づいて動的グラフィカルパスワードを入力し、前記動的グラフィカルパスワードを含む認証情報を認証サーバーへと送信するステップと、
前記認証サーバーが、前記クライアントが送信する前記認証情報を受信するステップと、
前記第1の全要素動的因子テーブルと同じ、第2の全要素動的因子テーブルを生成するステップと、
前記第2の全要素動的因子テーブルに基づいて前記動的グラフィカルパスワードを解読し、前記動的グラフィカルパスワードに対応しており解読を通して取得される位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するステップと、を含むワンタイム動的位置認証方法。
ネットワークアクセスユーザーに認証サービスを提供する認証サーバーと、ネットワークを通じて前記認証サーバーに接続され、前記ネットワークアクセスユーザーにネットワークログイン及びアクセスを提供するクライアントと、を備えるワンタイム動的位置認証システムであって、
前記クライアントが、動的因子テーブル構造取得ユニットと、情報処理ユニットと、前記認証サーバーへと情報を送信するように構成されている第1の送信ユニットと、を含むクライアントであって、
前記動的因子テーブル構造取得ユニットが、全要素動的因子テーブルの構造を取得するように構成され、
前記情報処理ユニットが、前記全要素動的因子テーブル構造に基づいて位置因子ライブラリから位置因子を選択し、第1の位置因子列を生成するように構成され、前記第1の位置因子列に基づいて生成される第1の全要素動的因子テーブルに基づいて動的グラフィカルパスワードを前記ネットワークアクセスユーザーによって入力され、
前記第1の送信ユニットが、前記動的グラフィカルパスワードを含む認証情報を前記認証サーバーへと送信するように構成され、
前記認証サーバーが、前記クライアントから情報を受信するように構成されている第1の受信ユニットと、動的因子テーブル生成ユニットと、位置規則解読ユニットと、位置規則判断ユニットと、を含む認証サーバーであって、
前記動的因子テーブル生成ユニットが、前記第1の全要素動的因子テーブルと同じ、第2の全要素動的因子テーブルを生成するように構成され、
前記位置規則解読ユニットが、前記第2の全要素動的因子テーブルに基づいて前記動的グラフィカルパスワードを解読し、前記動的グラフィカルパスワードに対応する位置規則を取得するように構成され、
前記位置規則判断ユニットが、前記動的グラフィカルパスワードに対応する前記位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するように構成されている、ワンタイム動的位置認証システム。
ワンタイム動的パスワード変更方法であって、
クライアントが全要素動的因子テーブルの構造を取得するステップと、
前記全要素動的因子テーブル構造に基づいて、位置因子ライブラリから位置因子を選択し、2つの位置因子列を生成するステップと、
ユーザーが、前記2つの位置因子列に基づいて生成される2つの全要素動的因子テーブルに基づいて2つの動的グラフィカルパスワードを入力し、前記2つの動的グラフィカルパスワードと前記2つの全要素動的因子テーブルの情報とを含むパスワード変更情報を認証サーバーへと送信するステップと、
前記認証サーバーが、前記2つの動的グラフィカルパスワードを前記クライアントから受信し、前記2つの動的グラフィカルパスワードに対応する第1の位置規則及び第2の位置規則を前記2つの全要素動的因子テーブルの情報に基づいて解読を通して取得し、前記第1の位置規則及び前記第2の位置規則が同一である場合、前記第1の位置規則又は前記第2の位置規則を新しい動的グラフィカルパスワードとして使用し、パスワード変更を成功と示すか、又はそうでない場合はパスワード変更を失敗と示すステップと、
前記クライアントが、前記認証サーバーが送信するパスワード変更成功又は失敗の結果を受信するステップと、を含むワンタイム動的パスワード変更方法。
ワンタイム動的パスワード変更方法であって、
クライアントが全要素動的因子テーブルの構造を取得するステップと、
前記全要素動的因子テーブルの前記構造に基づいて、位置因子ライブラリから位置因子を選択し、2つの第1の位置因子列を生成するステップと、
ユーザーが、前記2つの第1の位置因子列に基づいて生成される2つの第1の全要素動的因子テーブルに基づいて2つの動的グラフィカルパスワードを入力し、前記2つの動的グラフィカルパスワードを含むパスワード変更情報を認証サーバーへと送信するステップと、
前記認証サーバーが、前記クライアントが送信する前記パスワード変更情報を受信するステップと、
前記2つの第1の全要素動的因子テーブルと同じ、2つの第2の全要素動的因子テーブルを生成するステップと、
前記2つの動的グラフィカルパスワードに対応する第1の位置規則及び第2の位置規則を前記2つの第2の全要素動的因子テーブルに基づいて解読を通して取得し、前記第1の位置規則及び前記第2の位置規則が同一である場合、前記第1の位置規則又は前記第2の位置規則を新しい動的グラフィカルパスワードとして使用し、パスワード変更を成功と示すか、又はそうでない場合はパスワード変更を失敗と示すステップと、
前記クライアントが、前記認証サーバーが送信するパスワード変更成功又は失敗の結果を受信するステップと、を含むワンタイム動的パスワード変更方法。
上述の技術的な解決方法から理解可能なように、本発明の実施形態で提供されるワンタイム動的位置認証方法及びシステム並びにワンタイム動的パスワード変更方法は、後述のような有益な効果を有する。
1、認証の間、ユーザーが全要素動的因子テーブルに基づいて位置規則に従って動的グラフィカルパスワードを入力する。
動的グラフィカルパスワードは動的パスワードをグラフィカルパスワードと組み合わせ、新しいパスワードを形成するものである。
新しいパスワードは動的パスワードの多様性を有するだけでなく、画像も有し、グラフィカルパスワードを覚え易くしている。
さらに、グラフィカルパスワードが単純な形態であり、変化しないという欠点と、動的パスワードに基づく認証には携帯電話、ベースステーション、ハードウェア又は他のメディアを使う必要があるという欠点を回避している。
2、本実施形態によって提供される全要素動的因子テーブルは、外側テーブル形状の構造と、内側テーブル形状の構造とを含み、全要素動的因子テーブルの構造は、ユーザーの要求によって変化してもよい。
さらに、複数の内側テーブルの形状構造だけでなく、互いの内側テーブル内の位置因子が変更可能であるため、動的グラフィカルパスワードを入力する度毎に、異なる全要素動的因子テーブルが表示される。
したがって、パスワードの入力を故意に封鎖的にする必要がなく、傍受に対して免疫がある。
たとえ動的グラフィカルパスワードが傍受される場合でも、傍受された動的グラフィカルパスワードによって位置規則はなお突破され得ず、したがってユーザー情報を保護することができる。
3、位置因子ライブラリ内の位置因子の種類には、英字、単語、中国語文字、数字、記号、画像、色などが含まれ、全要素動的因子テーブルの無作為性及び偽造防止性能が向上する。
ユーザーが設定する動的グラフィカルパスワードには、連続的な位置因子の組み合わせ、非連続的な位置因子の組み合わせ、同一の場所での位置因子の繰り返し、従来の固定文字、及びそれらの任意の組み合わせが含まれる。
したがって、動的グラフィカルパスワードの柔軟性及び多様性はさらに向上し、動的グラフィカルパスワードは、低い繰り返し率及び高い複雑性を有するようになり、入力された動的グラフィカルパスワードを突破することはより困難になる。
4、クライアントは、ユーザーが入力し、特定の位置規則を有する動的グラフィカルパスワードをユーザーパスワードとして使用する。
それにより、現在の固定文字のパスワード又はグラフィカルパスワードと比較すると覚え易くなる。
さらに、従来の固定パスワードは過度な制限のためにユーザー体験が乏しくなるという問題が解決される。
本発明に従って提供されるワンタイム動的位置認証方法では、動的グラフィカルパスワードを生成するために、パスワードを設定する権利がユーザーに与えられ、位置規則はユーザーが自由に設定可能である。
したがって、ユーザーがパスワードを忘れる問題が回避され、ユーザー体験が向上する。
5、クライアントとサーバーの間の送信は、安全なSSL(セキュアソケットレイヤ:Secure Sockets Layer)通信リンクを通じてなされ、送信されるデータは暗号化されたデータである。
さらに、全要素動的因子テーブル及び入力された動的グラフィカルパスワードは毎回変化する。
したがって、入力された動的グラフィカルパスワードが傍受される場合でも、ユーザーの実際の位置グラフィックは、なお突破され得ない。
それにより、動的グラフィカルパスワードは傍受及び突破に対して免疫があり、高い偽造防止性能及び安全性を有することが可能である。
6、ユーザーが入力する動的グラフィカルパスワードは、いかなるハードウェア端末装置に対しても独立しているソフトウェアによって実施される。
それによりパスワード管理に関連する購入及び管理費を削減し、コストを大幅に節約し、外部ハードウェア端末装置の損失、失敗、損傷又は他の問題から生じるシステムの安全の脅威を効率的に回避する。
さらに、ハードウェア端末装置の使用の制限も効率的に回避され、パスワード認証をPC又はモバイル端末上の様々なプラットフォームで自由に、時間や場所のような物理的な外部状況の制約無しに、行うことができる。
7、本発明に従って提供されるワンタイム動的パスワード変更方法では、2つの位置規則が同じであると認証サーバーが判断する際のみ、パスワード変更は成功する。
2つの動的グラフィカルパスワードの入力に対応する全要素動的因子テーブルが異なるので、2つの動的グラフィカルパスワードもまた異なっている。
結果として、動的グラフィカルパスワードは、盗まれたり傍受されたりする際でさえ、突破されないであろう。
以前のパスワード変更方法と比較して、本開示にかかるパスワード変更方法は、高い安全性と偽造防止性能を有する。
本発明をより明確に説明するために、実施形態の説明に必要な添付の図面が、下記に簡単に説明される。
明らかに、当業者は創造的な努力をすることなく、これらの添付の図面から他の図面をさらに見出すことができる。
図1は、本発明の1実施形態による、ワンタイム動的位置認証システムを示す概略の構造図である。
図2は、本発明の1実施形態による、ワンタイム動的位置認証方法のフローチャートである。
図3は、本発明の1実施形態による、英字の位置因子を有する全要素動的因子テーブルを示す概略図である。
図4は、本発明の1実施形態による、数字の位置因子を有する全要素動的因子テーブルを示す概略図である。
図4Aは、本発明の1実施形態による、数字と英字とが混在する位置因子を有する全要素動的因子テーブルを示す概略図である。
図5は、本発明の1実施形態による、内側テーブル及び外側テーブルを有する全要素動的因子テーブルを示す概略図である。
図6は、本発明の1実施形態による、規則的な外側テーブルを有する全要素動的因子テーブルを示す概略図である。
図7は、本発明の1実施形態による、変則的な外側テーブルを有する全要素動的因子テーブルを示す概略図である。
図8は、本発明の1実施形態による、規則的な内側テーブルを有する全要素動的因子テーブルを示す概略図である。
図9は、本発明の1実施形態による、変則的な内側テーブルを有する全要素動的因子テーブルを示す概略図である。
図10A及び図10Bは、本発明の1実施形態による、位置規則と位置規則に対応するワンタイム認証方法とを示す概略図である。
図11は、本発明の1実施形態による、連続的な位置因子を組み合わせている位置規則を示す概略図である。
図12A、図12B及び図12Cは、本発明の1実施形態による、非連続的な位置因子を組み合わせている3つの位置規則の概略図である。
図13は、本発明の1実施形態による、同一の場所で繰り返される位置因子を組み合わせている位置規則を示す概略図である。
図14は、本発明の1実施形態による、固定文字を組み合わせている位置規則を示す概略図である。
図15A及び図15Bは、本発明の1実施形態による、分散している位置因子を組み合わせている2つの位置規則を示す概略図である。
図16は、本発明の1実施形態による、複数の形態を組み合わせている位置規則を示す概略図である。
図17は、本発明の1実施形態による、全要素動的因子テーブル内の内側テーブルの、時計回りの回転変更を示す概略図である。
図18は、本発明の1実施形態による、全要素動的因子テーブル内の内側テーブルの、反時計回りの回転変更を示す概略図である。
図19は、本発明の1実施形態による、全要素動的因子テーブル内の内側テーブルの無作為な回転変更を示す概略図である。
図20A及び図20Bはそれぞれ、変更前のモードの内側テーブル形態を有する全要素動的因子テーブルと、クライアント上に表示される変更後の内側テーブル形態を有する全要素動的因子テーブルと、を示す。
図21A及び図21Bはそれぞれ、変更前のモードの内側テーブル形態を有する別の全要素動的因子テーブルと、クライアント上に表示される変更後の内側テーブル形態を有する別の全要素動的因子テーブルと、を示す。
図22は、本発明の1実施形態による、別のワンタイム動的位置認証方法の部分的なフローチャートである。
図23は、本発明の1実施形態による、ワンタイム動的位置認証システムを示す構造ブロック図である。
図24は、本発明の1実施形態による、別のワンタイム動的位置認証システムを示す構造ブロック図である。
図25は、本発明の1実施形態による、大量のアクセスデータのためのワンタイム動的位置認証システムを示す概略構造図である。
図26は、本発明の1実施形態による、さらに別のワンタイム動的位置認証方法のフローチャートである。
図27は、本発明の1実施形態による、さらに別のワンタイム動的位置認証システムを示す構造ブロック図である。
図28は、本発明の1実施形態による、さらに別のワンタイム動的位置認証方法のフローチャートである。
図29は、本発明の1実施形態による、さらに別のワンタイム動的位置認証システムを示す構造ブロック図である。
図30は、本発明の1実施形態による、ワンタイム動的パスワード変更方法のフローチャートである。
図31は、本発明の1実施形態による、別のワンタイム動的パスワード変更方法のフローチャートである。
当業者が本発明をより理解するために、本発明は、添付の図面を本発明の実施形態と併せて参照することにより、明確にかつ完全に説明される。
図1は、1実施形態によるワンタイム動的位置認証システムを示す概略の構造図である。
図1に示されるように、ワンタイム動的位置認証システムは、クライアントと、認証サーバーと、データベースとを含んでいる。
認証サーバーは、データベースを含んでいる。
データベースは、位置因子ライブラリを含んでいる。
あるいは、位置因子ライブラリは、属性ファイルに格納されている。
位置因子ライブラリは、位置因子を格納するように構成されており、かつ、全要素動的因子テーブルを生成する要素の組である。
位置因子ライブラリは、英字、単語、中国語文字、数字、記号、画像、色などのような、異なる種類の位置因子を含んでいる。
サーバーは、クライアントからの登録リクエストに基づいて、1つ以上の種類の位置因子を選ばれた位置因子として選択してもよい。
サーバーは、ユーザーIDを格納するように構成されているメモリを更に含んでいる。
サーバーとクライアントの間の有線又は無線送信を含む送信は、ネットワークを介して行われる。
特に、クライアントとサーバーの間の送信は、SSL(セキュアソケットレイヤ:Secure Sockets Layer)プロトコルに基づいた通信リンクによって行われる。
これにより、安全な情報通信が確保される。
あるいは、サーバー及びクライアントは、インターネットの代わりに専用ラインを介して接続されていてもよい。
さらに、本実施形態に記載のクライアントは、端末装置を含んでいてもよく、特に、モバイル端末、ノートパソコン、PC、パームトップ型コンピュータなどを含んでいてもよい。
上述の端末は、網羅的ではなく単なる例であり、クライアントには、上述の端末が含まれていてもよいが、これらに限定されない。
ワンタイム動的位置認証方法は、図2に関連して完全に説明される。
図2に示されるように、認証方法は、後述のステップを含んでいる。
ステップS201:クライアントが、認証リクエストを認証サーバーへと送信する。
この認証リクエストは、ユーザー情報を含んでいても含んでいなくてもよい。
認証リクエストがユーザー情報を含んでいる場合、ユーザー情報とは、特に、ユーザーネーム、アカウント、ログインIDなどのような、システムの1ユーザーに固有の識別子の名称である。
ステップS101:認証サーバーが、クライアントが送信する認証リクエストを受信する。
認証サーバーは、ネットワークとSSLプロトコルを介してクライアントと通信し、クライアントからサービスリクエストを受信する。
ステップS102:認証サーバーが、位置因子ライブラリから位置因子を選択し、位置因子列を生成する。
認証サーバーは、特別な暗号化アルゴリズムを用いて位置因子列を生成してもよい。
位置因子列は、全要素動的因子テーブル内の位置因子として用いられる。
全要素動的因子テーブルは、プロンプトのための表示モードであり、選択された位置因子及び位置因子によって形成される。
全要素動的因子テーブル内の位置因子は、位置因子ライブラリから選択される位置因子であり、自由に変更することができ、固定されていない。
図3は、全要素動的因子テーブルを示す概略図である。
テーブル内で、選択された全ての位置因子は、英字である。
図4は、別の全要素動的因子テーブルを示す概略図である。
テーブル内で、選択された全ての因子は、アラビア数字である。
位置因子は、英字、単語、中国語文字、数字及び記号の内の1つ又は組み合わせをさらに含む。
図4Aに示されるように、全要素動的因子テーブルには、英字と数字の組み合わせが含まれ、全要素動的因子テーブルの複雑さ及び多様性をさらに高めることができ、それにより突破がより困難になる。
さらに、図5に示されるように、全要素動的因子テーブルの構造には、外側テーブルの形状構造及び内側テーブルの形状構造が含まれる。
さらに、全要素動的因子テーブルの構造は、全要素動的因子テーブルの困難係数と同様に、認証サーバーとクライアントの間の交渉を通して決定されてもよい。
例えば、図3から図5に示されるように、ユーザーが選択する位置因子は、6×6の位置因子表示モード内に入る。
例として、6桁パスワードを挙げると、単一型の位置因子における位置グラフィックの組み合わせの数は、36の6乗である。
10桁のパスワードを使用にあたり選択する場合、パスワードの突破可能性は、3.656158×10の15乗分の1(つまり、36の10乗分の1)である。
位置因子として固定文字の組み合わせを用いる場合、突破の可能性は、さらに低くなるであろう。
あるいは、9×9の位置因子表示モードが選択されてもよい。
位置因子がより増えるにつれ、パスワードの複雑性と安全性は、より高くなる。
実施可能な好ましい解決方法において、クライアントと認証サーバーは、交渉を通して全要素動的因子テーブルを決定してもよい。
特に、認証サーバーは、システムレベル又はユーザーレベルの方法で、全要素動的因子テーブルを生成してもよい。
システムレベルの方法では、認証リクエストを受信後、認証サーバーは、全要素動的因子テーブルの予め設定されている構造と、全要素動的因子テーブルを生成するための他のパラメータ情報と、を選択し、位置因子列を生成する。
ユーザーレベルの方法では、認証サーバーは、ユーザーレベル設定指示をユーザーから受け取り、ユーザーレベル設定指示に基づいて、全要素動的因子テーブルを生成するアイテム情報のプロンプトをクライアントへと送信する。
クライアントは、アイテム情報の指示完了後、アイテム情報を認証サーバーへと送信する。
そして、認証サーバーは、アイテム情報を受信し、アイテム情報に基づいて位置因子列を生成する。
具体的には、ユーザーレベルの設定工程におけるアイテム情報には、全要素動的因子テーブルの外側テーブル構造及び内側テーブル構造、内側テーブルの数並びに内側テーブル内の位置因子が含まれる。
例えば、クライアントから認証リクエストを受信した後、認証サーバーは、設定アイテムリストをクライアントへと送信する。
設定アイテムリストには、外側テーブル構造は、規則的な形状かどうか、内側テーブル構造は、規則的な形状かどうか、内側テーブルの数、内側テーブルの位置因子の種類等についての選択肢が含まれている。
ユーザーが、好みに基づいてクライアント上のリストを記入した後、記入完了信号指示が、認証サーバーへと送信される。
記入完了信号指示の受信後、認証サーバーは、全要素動的因子テーブルの構造を生成するためのパラメータ情報を選択し、位置因子列を決定する。
本実施形態において、パスワードの信頼性を確保するために、ユーザーは、動的グラフィカルパスワードを入力する必要がある。
したがって、認証サーバーは、位置因子列をそれに対応するように生成する。
数式、ランダムな順列組み合わせ又は設定された統一アルゴリズムを含む特別なアルゴリズムを用いてもよい。
具体的には、例えば、クライアントとサーバーとの間の交渉を通じてユーザーに選ばれる位置因子は、数字のみであり、全要素動的因子テーブルの外側テーブル構造及び内側テーブル構造は、共に規則的な構造であり、外側テーブルは、4つの3×3の内側テーブルを含み、各内側テーブルは9つの位置因子を含む。
外側テーブル構造、内側テーブル構造、外側テーブル構造パラメータ及び内側テーブル構造パラメータに基づいて位置因子ライブラリからサーバーによって選択される位置因子は、アラビア数字すなわち0から9である。
6×6を例にとると、選択される位置因子は、アラビア数字であり、サーバーにより生成される各位置因子列は、36個の数字を含んでいる。
36個の数字からなる位置因子列をサーバーから受信した後、クライアントは、全要素動的因子テーブルの構造に基づいて、位置因子列の数字を全要素動的因子テーブル内へと配置する。
ステップS102において、全要素動的因子テーブルの構造には、外側テーブル形状の構造及び内側テーブル形状の構造が含まれる。
図5に示されるように、外側テーブルは、少なくとも1つの内側テーブルを含み、各内側テーブルは、複数の位置因子を含んでいる。
外側テーブルは、全要素動的因子テーブルの物理的な外側形状であるだけでなく、様々な内側テーブルを含んでおり、テーブルの外見を有する構想テーブルでもある。
さらに、外側テーブルの形状は、固定されておらず、図6に示されるように規則的な形状であってもよいし、図7に示されるように変則的な形状であってもよい。
内側テーブルは、全要素動的因子テーブル内で別個に分割されたサブテーブルであり、様々なモードで形成されていてもよい。
図8及び図9に示されるように、内側テーブルは、規則的な形状の組み合わせであっても、変則的な形状の組み合わせであってもよく、規則的及び変則的な形状の内側テーブルがそれぞれ示されている。
外側テーブル及び内側テーブルの具体的な形状は、サーバーとクライアントの間の交渉を通して決定されてもよいし、又は、サーバーが予め設定されているプログラムによって位置因子列を自動的に生成する。
位置因子列は、全要素動的因子テーブルの内容から変換されたデータ文字列である。
ユーザーは、全要素動的因子テーブルの無作為性及び独自性を高める、異なる全要素動的因子テーブルを設定するのが望ましい。
さらに、異なるユーザーは、異なる好みを有するので、サーバーは、ユーザーの好みに基づいて異なる位置因子を選択し、異なる全要素動的因子テーブルが生成される。
生成される情報は、文字形態又は画像形態でクライアントへと送信されてもよい。
図2に示されるようにその方法は、後述のステップをさらに含む。
ステップS103:位置因子列及び全要素動的因子テーブルの構造を含む生成される情報をクライアントへと送信する。
ステップS202:サーバーが送信する、生成される情報をクライアントが受信する。
ステップS203:認証サーバーからの位置因子列に基づいて、全要素動的因子テーブルを生成する。
ユーザー認証の間、クライアントは、全要素動的因子テーブルに基づいて動的グラフィカルパスワードを入力し、パスワードとして用いられる位置グラフィックを確認する必要がある。
したがって、クライアントは、最初に動的グラフィカルパスワードリクエスト、すなわち、認証リクエスト、を認証サーバーへと送信し、認証サーバーに位置因子列を生成するよう指示を出す必要があり、クライアントは、認証サーバーから返信される生成された情報を受信した後にのみ、全要素動的因子テーブルを生成可能である。
クライアントは、全要素動的因子テーブルの外側テーブル構造及び内側テーブル構造と、位置因子ライブラリから選択される位置因子に基づいて生成される位置因子列と、に基づいて全要素動的因子テーブルを生成する。
図10に示されるように、ステップS102で生成される位置因子列は、全要素動的因子テーブル内へと配置され、各位置因子は、全要素動的因子テーブル内で少なくとも2回存在する。
それは、突破の可能性を低減させ、全要素動的因子テーブル内の位置因子の無作為性と偽造防止性能を向上させるためである。
全要素動的因子テーブルを表示する際、クライアントは、いかなる追加のプラグイン、例えば、アクティブエックス(Active X)、もロードしたりインストールしたりする必要はない。
実施形態において、複数のプラットフォーム間の高い互換性が提供され、全要素動的因子テーブルを表示できないという欠点を回避している。
それにより、ユーザー体験が改善される。
全要素動的因子テーブル内へと配置される要素は、明確に識別可能であり、現在の一般的な認証コードと比較するとより認識しやすく、パスワード入力をより便利にしている。
ステップS204:ユーザーは、全要素動的因子テーブルに基づいて動的グラフィカルパスワードを入力する。
具体的には、既に設定されている位置規則、例えば、第1の位置規則、に従って、ユーザーは第1の位置規則に対応するポイントに対応する位置因子(又は要素)を動的グラフィカルパスワードとして用いる。
動的グラフィカルパスワードは、第1の位置規則に従って全要素動的因子テーブル内の位置因子によって形成される。
図10A及び図10Bは、ユーザーが入力する第1の位置規則と、第1の位置規則に従って入力される動的グラフィカルパスワードに対応する動的要素(又は位置因子)をそれぞれ示す。
この実施形態において、認証方法は、単一要素モードとして定義される。
単一要素モードとは、全要素動的因子テーブルが表示されるたびに、内部の位置因子が変化することを意味している。
ステップS205:ユーザーの入力が完了した後、クライアントは、ユーザーが入力した動的グラフィカルパスワードを認証サーバーへと送信する。
ステップS104:認証サーバーは、クライアントが送信した動的グラフィカルパスワードを受信する。
ステップS105:認証サーバーは、動的グラフィカルパスワードを解読することで第1の位置規則を取得し、第1の位置規則を予め設定されている位置規則と比較し、ステップS106へと進む。
ステップS106:動的グラフィカルパスワードに対応しており解読を通して取得される第1の位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断する。
予め設定されている位置規則とは、ユーザーが最初のログインで登録した動的グラフィカルパスワードに対応する位置規則である。
ユーザーが最初の登録の間に設定する、つまり、予め設定されている位置規則は、位置規則データベース又は他の属性ファイルに格納される。
ステップS105において、第1の位置規則が予め設定されている位置規則と同一か又は一貫しているかどうかを判断するとは、全要素動的因子テーブル内の第1の位置規則及び予め設定されている位置規則の動作軌跡が同一かどうかを判断することを意味する。
各全要素動的因子テーブルにおいて、各位置因子は、1つの座標位置に対応し、サーバーは、位置規則に対応する座標位置を識別することにより、ユーザーが入力する動的グラフィカルパスワードの動作軌跡を取得することができる。
これは、2つの動作軌跡に対応する第1の位置規則及び予め設定されている位置規則のそれぞれが同一であるかを判断するためである。
ユーザーが入力する第1の位置規則及び予め設定されている位置規則の動作軌跡が同一であると判断される場合、認証は、成功である。
その他の場合、認証はステップS107に進む。
ステップS107:クライアントからの動的グラフィカルパスワードに対応する第1の位置規則が、予め設定されている位置規則と一貫していないか又は異なっている場合、認証を失敗と判断し、認証サーバーは、ステップS108に進む。
ステップS108:認証サーバーは、上述の判断の後に認証結果を生成し、クライアントへ認証結果を送信する。
認証結果は、認証成功か認証失敗かのいずれかを含む。
ステップS206:クライアントは、認証サーバーが送信する認証結果を受信し、認証が成功の場合、対象システムへと進み、ユーザーオペレーションを実行する。
又は、受信した認証結果が失敗を示す場合、クライアントは、認証が失敗し再認証が必要であることをユーザーに示すフィードバックメッセージを提供する。
本実施形態に従って提供される、ワンタイム動的位置認証方法は、後述の有益な効果を有している。
1、認証の間、ユーザーが、全要素動的因子テーブルに基づいて位置規則に従って動的グラフィカルパスワードを入力する。
動的グラフィカルパスワードは、動的パスワードをグラフィカルパスワードと組み合わせ、新しいパスワードを形成するものである。
新しいパスワードは、動的パスワードの多様性を有するだけでなく、画像も有し、グラフィカルパスワードを覚え易くしている。
さらに、グラフィカルパスワードが単純な形態であり、変化しないという欠点と、動的パスワードに基づく認証には携帯電話、ベースステーション、ハードウェア又は他のメディアを使う必要があるという欠点を回避している。
2、クライアントは、ユーザーが入力し、特定の位置規則を有する動的グラフィカルパスワードをユーザーパスワードとして使用する。
それにより、現在の固定文字のパスワード又はグラフィカルパスワードと比較すると覚え易くなる。
さらに、従来の固定パスワードは、過度な制限のためにユーザー体験が乏しくなるという問題が解決される。
この方法に従って提供されるワンタイム動的位置認証方法では、動的グラフィカルパスワードを生成するために、パスワードを設定する権利がユーザーに与えられ、位置規則はユーザーが自由に設定可能である。
その結果として、ユーザーは、暗記によって固定パスワードを覚える必要がなく、そのためユーザー体験が向上する。
3.クライアントとサーバーの間の送信は、安全なSSL通信リンクを通じてなされ、送信されるデータは暗号化されたデータである。
さらに、全要素動的因子テーブル及び入力された動的グラフィカルパスワードは、例えば、OTP(ワンタイムパスワード)モードにより、毎回変化する。
したがって、入力される動的グラフィカルパスワードが傍受される場合でも、ユーザーの実際の位置グラフィックは、なお突破され得ない。
その結果として、動的グラフィカルパスワードは、盗み見及び傍受に対して免疫があり、突破を困難にすることが可能である。
これにより、識別認証の安全性が改善される。
4、ユーザーが入力する動的グラフィカルパスワードは、いかなる、ハードウェア端末装置に対しても独立しているソフトウェアによって実施される。
それにより、パスワード管理に関連する購入及び管理費を削減し、コストを大幅に節約し、外部ハードウェア端末装置の損失、失敗、損傷又は他の問題から生じるシステムの安全の脅威を効率的に回避する。
さらに、ハードウェア端末装置の使用の制限も効率的に回避され、パスワード認証をPC又はモバイル端末上の様々なプラットフォームで自由に、時間や場所のような物理的な外部状況の制約無しに、行うことができる。
上述の実施形態で実施される好ましい解決方法では、全要素動的因子テーブルの無作為性と偽造防止性能をさらに向上させるために、別のワンタイム動的位置認証方法が本発明に従って提供されている。
その方法は、上述の方法の実施形態の全てのステップを含んでおり、異なる点は、ステップS204においてユーザーが入力する動的グラフィカルパスワードに対応する第1の位置規則が、連続的な位置因子の組み合わせ、非連続的な因子の組み合わせ、同一の場所で繰り返される位置因子の組み合わせ及び固定文字の組み合わせの内の1つを含むか、それらの任意の組み合わせを含んでいる点である。
図11は、連続的な位置因子を組み合わせている(連続的な)位置規則を示しており、全ての位置因子は連続している。
図12Aから図12Cは、非連続的な位置因子を組み合わせている非連続的な位置規則を示しており、動的グラフィカルパスワード内の位置因子は、非連続的であり、それらの間には飛びがある。
図13は、同一の場所で繰り返される位置因子を組み合わせている、すなわち、繰り返される単一の位置因子を組み合わせている、(単一ポイントの)位置規則を示している。
図14は、固定文字を組み合わせている位置規則を示している。
図14に示されるように、動的グラフィカルパスワードは、ユーザーが予め設定している「China_NO.1」という固定文字を含んでいる。
さらに、図15A及び図15Bに示されるように、位置規則は分散している位置因子の組み合わせをさらに含む。
動的グラフィカルパスワードは、1つ以上の上述の位置規則の組み合わせに基づいていてもよい。
例えば、図16に示されるように、動的グラフィカルパスワードは、連続的な位置因子、非連続的な位置因子及び固定文字の組み合わせである、「168China431NO.1」である。
位置因子には、英字、単語、中国語文字、数字、記号、画像、色等が含まれる。
さらに、全要素動的因子テーブルの各位置因子は、1文字以上であってもよい。
各因子は、0から9の1文字であってもよく、10から99の2文字でもよく、AIUからEGFまでの3文字であってもよい。
文字が増えるにつれて、パスワードの複雑性は、増し、突破が困難になる。
本実施形態に従って提供されるワンタイム動的位置認証方法において、位置因子ライブラリの位置因子の種類には、英字、単語、中国語文字、数字、記号、画像、色等が含まれる。
これにより、全要素動的因子テーブルの無作為性と偽造防止性能が向上する。
ユーザーが設定する動的グラフィカルパスワードには、連続的な位置因子の組み合わせ、非連続的な因子の組み合わせ、同一の場所での位置因子の繰り返し、従来の固定文字及びそれらの任意の組み合わせが含まれる。
したがって、動的グラフィカルパスワードの柔軟性及び多様性は、さらに向上し、動的グラフィカルパスワードの繰り返し回数は下がり、複雑性が増す。
これにより、入力される動的グラフィカルパスワードの突破は、さらに困難になる。
さらに、動的グラフィカルパスワードの複雑性及び偽造防止性能をさらに向上させるために、ユーザーが全要素動的因子テーブルに基づいてパスワードを設定する際、全要素動的因子テーブルに基づいてユーザーが入力する位置規則又は第1の位置規則には、動作メカニズムが含まれる。
動作メカニズムの観点での解読を通して取得される規則には、後述のいくつかのモードが含まれる。
a)(図13で示されるように)同一の場所のポイント又は1つのポイントが繰り返し選択される、単一ポイントモード。
b)(図15A及び図15Bで示されるように)全要素動的因子テーブル内の全ての位置ポイントが分散している、分散モード。
c)(図11で示されるように)位置因子の全てのポイントが連続的である、連続モード。
d)(図12A、図12B及び図12Cで示されるように)位置ポイントのほとんどが連続的であり、かつ、位置ポイントが非連続的なポイントも含んでいる、非連続モード。
e)(図14で示されるように)全要素動的因子テーブルのポイントが選択されず、従来の固定文字が直接入力される、固定文字(文字は中国語文字、数字、記号などであってもよい)。
f)(図16で示されるように)上述の規則が自由に組み合わされて用いられる、上述のモードの任意の組み合わせ。
本実施形態に従って提供される全要素動的因子テーブルは、外側テーブル形状の構造と、内側テーブル形状の構造とを含み、全要素動的因子テーブルの構造は、ユーザーの要求によって変化してもよい。
さらに、複数の内側テーブルの形状構造だけでなく、互いの内側テーブル内の位置因子が変更可能であるため、動的グラフィカルパスワードを入力する度毎に、異なる全要素動的因子テーブルが表示される。
したがって、パスワードの入力を故意に封鎖的にする必要がなく、傍受に対して免疫がある。
たとえ動的グラフィカルパスワードが傍受される場合でも、傍受された動的グラフィカルパスワードによって位置規則は、なお突破され得ず、ユーザー情報を得ることはできない。
上述の実施形態の好ましい技術的な解決方法では、動的グラフィカルパスワードの偽造防止性能をさらに高めるために、この方法は、クライアントとサーバーが内側テーブルの識別規則を交渉するか、又は、外側テーブル内の内側テーブルの配置の変更規則を交渉することをさらに含んでいる。
内側テーブルの配置変更規則には、時計回りの変更規則、反時計回りの配置変更規則又は無作為な変更規則が含まれる。
本実施形態では、全要素モード認証方法と定義されている別のワンタイム認証方法が提供されている。
単一要素モード認証と比較すると、全要素モードは全要素動的因子テーブルの位置因子を表示のたびに変更するだけでなく、内側テーブルの順番も同様に変更させることを特徴とする。
その変更には、時計回りの変更、反時計回りの変更又は無作為な変更が含まれる。
さらに、これらの内側テーブルの変更方法は、生成される情報に含まれている。
したがってステップS203には、特に、これらの変更方法に基づいて位置因子列を全要素動的因子テーブル内へと配置するステップが含まれる。
図17から図19に示されるように、図17は、全要素動的因子テーブル内の内側テーブルの、予め設定されている時計回りの変更を示す概略図であり、図18は、全要素動的因子テーブル内の4つの内側テーブルの、予め設定されている反時計回りの変更を示す概略図であり、図19は、全要素動的因子テーブル内の内側テーブルの無作為な変更を示す概略図である。
さらに、内側テーブルの変更方法は、予め設定されているアルゴリズムに基づいて、認証サーバーによって決定される。
内側テーブルの回転変更方法は、システムに予め設定されているか、又は、ユーザーが動的グラフィカルパスワードを設定する際に自律的に設定される。
認証の間、内側テーブルは、初期設定においては変更せず、内側テーブルが変更する場合、ユーザーには、後述のようにプロンプトが与えられる。
背景色プロンプト:各内側テーブルは、1つの背景色を割り当てられ、背景色により他のものから区別可能である。
内側テーブルの初期の色の順番は、クライアント上で、文字、英単語又は色ブロックを通してユーザーに示される。
背景識別子プロンプト:1つの半透明のデジタル識別子(例えば、数字、英字又は中国語文字)が、各内側テーブルの背景内に提供される。
認証の間、内側テーブルの順番は、クライアント上で変更する際、内側テーブルの背景内の識別子に基づいて、ユーザーによって識別可能である。
図20Aは、初期のモードの内側テーブル形態を示している。
図20Bは、無作為な変更後にクライアント上に表示される内側テーブル形態を示している。
変更/回転方法は、システムに予め設定されている。
前述の方法は、単なる例示的な方法であり、実際の用途において、他の変更方法が存在する。
認証の間、内側テーブルの位置規則がデータベースに予め格納されている位置規則と同じかどうかが、認証サーバーによる認証基準として用いられる。
別の認証方法(全要素モード)における認証方法が、下記に例示されている。
図21A及び図21Bに示されるように、ユーザーがパスワードを初めて設定する際、設定されるパスワード位置規則は図21A内に示されるグラフィックであり、位置規則の配置は、内側テーブル1の3つのポイントと、内側テーブル4の3つのポイントを巻き込んでいる。
認証の間、4つの内側テーブルの順番が反時計回りに変化し、ユーザーが入力する動的グラフィカルパスワードが、各内側テーブル内のポイント規則が正しいと確認可能な際のみ、認証が成功する。
図21Bに示されるように、クライアントは、色ブロックを通して初期の色配置をユーザーに示す。
反時計回りの変更の後、内側テーブル1は、全要素動的因子テーブルの左下のコーナーに位置している。
よって、パスワード設定の間に入力されるべきバスワードは、内側テーブル1の位置規則である。
同様に、反時計回りの変更の後、内側テーブル4は、左上のコーナーに位置している。
よってパスワード設定の間に入力されるべきパスワードは、内側テーブル4の位置規則である。
本実施形態に従って提供される全要素モードの認証方法において、全要素動的因子テーブルの内側テーブルの形態は変化する。
毎回ユーザーが入力する動的グラフィカルパスワードごとに、グラフィックは、それ自体が変化するだけでなく、異なる要素に対応する。
認証サーバーが動的グラフィカルパスワードの解読を通して取得する位置規則が、予め設定されている位置規則と一度異なると、認証は、失敗する。
それにより、動的グラフィカルパスワードの安全性は改善し、パスワード突破は、より困難になる。
別の好ましい実施形態では、認証リクエストは、ユーザーIDを含み、認証サーバーは、ユーザーIDに基づいて、ユーザーに対応する全要素動的因子テーブルの構造を決定してもよい。
例えば、ユーザーIDは、位置因子の種類、ユーザーの好み等のような情報を含み、認証サーバーは、その情報に基づいて、ユーザーに対応する全要素動的因子テーブルの構造を決定する。
さらに、認証サーバーは、クライアントが送信する認証リクエストを受信した後、一定の全要素動的因子テーブルを用いる。
認証サーバーから全要素動的因子テーブルの一定の構造を直接取得するそのような方法は、システムレベルの設定方法として定義され、全てのユーザーが同一の全要素動的因子テーブルの形態を用いる。
このモードでの認証の間、認証サーバーへと送信される認証リクエストは、他の情報を含んでいる必要はなく、それにより、認証に必要な時間を削減可能であり、認証効率が向上し、識別認証の安全性と便利さが効率的に調和される。
別の好ましい実施形態において、ステップS104の後、この方法は、後述のステップをさらに含む。
ステップS1041:ユーザー情報が取得される。
ユーザーネーム情報には、ユーザーID、ユーザーネーム、アカウント及びユーザーの他の個人情報、例えば個人アバター、が含まれる。
さらに、認証サーバーは、クライアントから、又はデータベースから直接、現在のユーザーのユーザー情報を取得してもよい。
ステップS1042:ユーザー情報が有効かどうかを判断する。
具体的には、ユーザーID又はユーザーネームが存在するかどうかが判断される。
ユーザーID又はユーザーネームが存在する場合、ユーザー情報は、有効と認証され、処理はステップS105に進む。
ユーザーID又はユーザーネームが存在しない場合、ユーザーのユーザー情報は、データベースに存在せず、そのため、ユーザー情報は、無効であると示し、処理は、ステップS107に直接スキップし、認証は失敗となる。
好ましい実施形態において、認証に必要な時間を削減し、認証効率を改善するために、ステップS104は、認証サーバーがユーザー情報と動的グラフィカルパスワードを同時に取得する工程をさらに含んでいる。
ステップS1042は、ステップS105と順番を変更してもよい。
すなわち、ユーザーの位置規則が予め設定されている位置規則と同じかどうかをまず判断し、次に、ユーザー情報が有効かどうかを判断する。
具体的な判断プロセスは、前述の実施形態と同じであり、その詳細は、本明細書内で繰り返し記載されない。
好ましい実施形態において、この方法は、ユーザーが入力する動的グラフィカルパスワードと同じユーザーネーム情報を、認証サーバーが取得する工程を含む。
認証サーバーは、クライアント又はデータベースから、ユーザーのユーザーネーム情報を取得してもよい。
ユーザーネーム情報には、システムのユーザーのユーザーネーム、アカウントナンバー、ユーザーID又はログインIDのような特有の識別子が含まれる。
ユーザーは、ユーザーネームとして位置グラフィックを用いるが、従来のパスワードは、依然としてパスワードとして使われる。
このように、ユーザーが、当初の使用習慣(すなわち従来のパスワードをなお用いる)を維持可能なだけでなく、ユーザー情報の安全性を高めることが可能である。
なぜなら、パスワードは、なお突破されやすい従来のパスワードであるが、ユーザーネームは安全性の高い位置グラフィックであり、推測及び突破が困難であり、覚えやすく、傍受に対して免疫があるためである。
ユーザーネームは、位置グラフィックの形態であり、突破が困難なため、たとえ、パスワードが漏洩した場合でも、突破者は、インターネットアプリケーションにログインできず、そのため、ユーザー情報は、損失せず、より高い安全性が提供される。
本発明は、クライアント及びサーバーを巻き込む、別のワンタイム動的位置認証方法をさらに開示している。その方法は、
クライアントが、位置因子ライブラリから選択される位置因子に基づいて位置因子列を生成し、全要素動的因子テーブルの構造に基づいて全要素動的因子テーブルを生成し、全要素動的因子テーブル内へと位置因子列を配置する工程を含む。
クライアントは、位置因子を格納するように構成されている位置因子ライブラリとメモリとをさらに含む。
メモリは、全要素動的因子テーブルと、全要素動的因子テーブルを生成するパラメータ情報(構造等)と、を格納するように構成されている。
位置因子ライブラリは、データベース内又はクライアント内の属性ファイルに格納されていてもよい。
クライアントは、第1の位置規則に従ってユーザーが入力する動的グラフィカルパスワードを取得し、かつ、その動的グラフィカルパスワードを認証サーバーへと送信するようさらに構成されている。
その動的グラフィカルパスワードは、第1の位置規則に従って全要素動的因子テーブル内の位置因子によって形成されている。
認証サーバーは、クライアントから動的グラフィカルパスワードを受信し、その動的グラフィカルパスワードを解読し、動的グラフィカルパスワードに対応しており解読を通して取得される第1の位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断し、その他の場合、認証を失敗と判断し、認証成功又は認証失敗の結果をクライアントに送信するように構成されている。
本実施形態において、位置因子ライブラリから選択される位置因子に基づいて位置因子列を生成するステップは、
現在のユーザーが選択する位置因子と、全要素動的因子テーブルに含まれる位置因子の全数と、を取得するステップと、
選択される位置因子と全要素動的因子テーブルとに基づいて位置因子の全数を決定するステップと、
全要素動的因子テーブル内の位置因子の無作為な配置及び組み合わせによって位置因子列を生成するステップであって、位置因子列内の1つの位置因子が少なくとも2回存在し、これにより、位置因子列が無作為かつ固有になり、位置因子列の複雑さが増し、動的グラフィカルパスワードの偽造防止性能及び安全性をさらに高めるステップと、を含んでいる。
さらに上述の実施形態は、単に位置因子ライブラリから位置因子を選択する実施方法であり、他の方法で実施されてもよい。
例えば、位置因子は、特別な暗号化アルゴリズムを通して決定され、ユーザーは、自律的に位置因子を選択するか、又は、システムが無作為に位置因子を無作為に選択する。
さらに、動的グラフィカルパスワードの複雑さと偽造防止性能をさらに高めるために、ユーザーが入力する動的グラフィカルパスワードの解読を通して取得する第1の位置規則は、連続的な位置因子の組み合わせ、非連続的な位置因子の組み合わせ、同一の場所での繰り返しの位置因子の組み合わせ及び固定文字の組み合わせの内の1つか、又はそれらの任意の組み合わせを含む。
認証方法の実施形態において、位置因子列の種類、変更方法及び特徴、全要素動的因子テーブル並びに動的グラフィカルパスワードは、上述の実施形態におけるそれらと同じである。
異なる点は、この方法では、クライアントが、位置因子を選択し、位置因子列を生成し、全要素動的因子テーブル内へと位置因子列を配置する機能を有する点である。
これにより、ユーザーが認証リクエストを認証サーバーへと送信するステップが省略され、認証に必要な時間が節約され、認証効率が改善し、識別認証の安全性と便利さが効率的に調和する。
上述の方法の実施形態に対応して、本発明は、図23に示されるように、ユーザーに認証サービスを提供する少なくとも1つの認証サーバー100と、ユーザーにネットワークログインとアクセスを提供する少なくとも1つのクライアント200と、データベース300と、を含むワンタイム動的位置認証システムをさらに開示している。
認証サーバー100は、クライアントから情報を受信するように構成されている第1の受信ユニット101と、クライアントへと情報を送信するように構成されている第1の送信ユニット103と、第1の受信ユニットおよび第1の送信ユニットに接続されている位置因子列生成ユニット102、位置規則解読ユニット104及びパスワード判断ユニット105を含んでいる。
位置因子列生成ユニット102は、位置因子ライブラリ106から選択される位置因子に基づいて位置因子列を生成するように構成されている。
第1の送信ユニット103は、位置因子列と全要素動的因子テーブルの構造とを含む生成される情報をクライアント200へと送信するように構成されている。
位置規則解読ユニットは、第1の位置規則に従ってユーザーが入力する動的グラフィカルパスワードを受信し、動的グラフィカルパスワードに対応する第1の位置規則を解読を通して取得するように構成されている。
パスワード判断ユニット105は、第1の位置規則が予め設定されている位置規則と一貫しているかどうかを判断し、判断結果を第1の送信ユニットを通してクライアントへと送信するように構成されている。
クライアント200は、認証サーバーから情報を受信するように構成されている第2の受信ユニット202と、認証サーバーへと情報を送信するように構成されている第2の送信ユニット201と、第2の受信ユニット202及び第2の送信ユニット201に接続されている全要素動的因子テーブル表示ユニット203及び動的グラフィカルパスワード生成ユニット204と、を含んでいる。
全要素動的因子テーブル表示ユニット205は、全要素動的因子テーブル内へと位置因子列を配置するように構成されている。
動的グラフィカルパスワード生成ユニット204は、第1の位置規則に従ったユーザーの全要素動的因子テーブルへの入力に基づいて、動的グラフィカルパスワードを生成し、動的グラフィカルパスワードを第2の送信ユニット201を通して認証サーバー100へと送信するように構成されている。
データベース300は、認証サーバー100に統合されていてもよく、データベースは、位置因子ライブラリ106を同様に含んでいてもよい。
位置因子ライブラリは、全要素動的因子テーブルを生成する1組の要素(位置因子)を含んでいる。
位置因子は、英字、単語、中国語文字、数字、記号などのように、異なる種類を有する。
位置因子列を生成する位置因子として、1つ以上の種類の位置因子が位置因子ライブラリから選択される。
さらに、システムの実施形態において、位置因子列、位置因子ライブラリ、全要素動的因子テーブル及び位置規則は、上述の方法の実施形態におけるそれらと同一であり、それらの詳細は、本明細書内で繰り返し記載されない。
本実施形態のクライアントと認証サーバーは、1つの装置(device or apparatus)又は2つの異なる装置に組み込まれていてもよいことに留意するべきである。
クライアント及びサーバーの機能が1つの装置、例えば、スタンドアローンのPC又はモバイル端末、に組み込まれている場合、オフラインモード又はオフライン機構が形成される。
そのモード又は機構において、その装置自身のような端末は、ネットワーク通信から独立した認証を独立に実行可能である。
この場合、システムの端末には、認証サーバーユニット、クライアントユニット及びデータベースユニットが含まれる。
さらに、認証サーバーユニット、クライアントユニット及びデータベースユニットは、それぞれ、認証サーバー100、クライアント200及びデータベース300と同じ機能を有する。
本実施形態において、図24に示されるように、第1の受信ユニット101と第1の送信ユニット102の間で、サーバーは、全要素動的因子テーブルの構造をクライアントと交渉するように構成されている第1の交渉ユニット107をさらに含み、第2の受信ユニット202と第2の送信ユニット201の間で、クライアントは、全要素動的因子テーブルの構造をサーバーと交渉するように構成されている第2の交渉ユニット206をさらに含んでいる。
第1の交渉ユニット107は、全要素動的因子テーブルの外側テーブル構造及び内側テーブル構造、内側テーブルの困難係数、位置因子の種類、位置因子列の組み合わせモード等を、第2の交渉ユニット206と交渉するように構成されている。
第2の交渉ユニット206は、第1の交渉ユニット107と協働し、ユーザー登録の間にクライアントの個人化及び多様化を行うように構成されており、それにより、ユーザー認証のための動的グラフィカルパスワードの独自性を向上させ、個人の認識度を高め、偽造防止機能をさらに高めている。
さらにこのシステムでは、認証サーバーは、ユーザーネーム情報取得ユニット、ユーザーネーム情報判断ユニット、ユーザーネーム情報判断結果生成ユニット及び格納ユニットをさらに含む。
ユーザーネーム情報には、ユーザーID、ユーザーネーム、アカウント及びユーザーの他の個人情報、例えば、個人アバターが含まれる。
ユーザーネーム情報取得ユニットは、ユーザーネーム情報を取得するように構成され、ユーザーネーム情報をデータベースから取り出すか、現在のクライアントから取得可能である。
ユーザーネーム情報判断ユニットは、ユーザーネーム情報が有効かどうか、すなわち、取得したユーザーネームが存在するかどうか、を判断し、ユーザーネームが存在する場合、ユーザーネーム情報が有効であると判断し、そうでない場合、ユーザーネーム情報が有効でないと判断するように構成されている。
ユーザーネーム情報判断結果生成ユニットは、ユーザーネーム情報判断ユニットの判断に従って判断結果、すなわち、ユーザーネーム情報が有効か有効でないか、を生成し、第1の送信ユニットを通して対応するクライアントへと判断結果を送信するように構成されている。
パスワード判断ユニットとユーザーネーム情報判断ユニットの間の判断の順番に制限はない。
本発明において、高い安全性を有する「OTP(ワンタイムパスワード)」と覚えやすい「グラフィカルパスワード」との概念を組み合わせることで、無作為に生成される配列テーブル内へと位置因子が配置され、配列テーブル内の位置情報がパスワードとして用いられる認証モードが提供されている。
この認証モードにより、いかなる他の外部の暗号化装置からも独立した、非常に高い安全性と覚え易さとを完璧に調和させることができる。
本発明に従って提供されるワンタイム動的位置認証システムにおいて、従来の複雑な数字、文字又は記号の代わりに、「位置グラフィック」が、システム内で生成される動的グラフィカルパスワードによって、認証パスワードとして用いられる。
「位置グラフィック」は、全要素動的因子テーブル内に配置される「位置因子」の場所及びその間の順番を対応させることにより形成される。
ユーザー識別認証の安全性と偽造防止性能が非常に改善される一方で、従来のパスワード動作と比較して便利さと興味深さが改善される。
さらに、システムは、パスワードが覚えやすくなく、かつ、すぐに「漏れやすく」、「推測しやすく」、「傍受しやすく」、「突破しやすく」もあるという従来のパスワードの欠点を解消し、認証及び暗号化の間、外部の暗号化装置、例えば、トークン、への長時間の依存から基本的に解放される。
「クロスプラットフォーム及びフルメディア」相互接続及び認証技術の相互通信は、ビッグデータの同時実行用途における目標要件を完全に考慮に入れることで、実際に達成される。
システムは、認証サーバーに接続された負荷調整器をさらに含み、負荷調整器は、受信した認証リクエストの負荷が設定されている負荷閾値よりも大きいかどうかを判断し、負荷が設定されている負荷閾値よりも大きい場合、最後に受信した認証リクエストを別の認証サーバーへと割り当てるように構成されている。
大量のデータが対象システムにアクセスする際、システムは、認証のためのとても高い負荷下におかれ、ネットワーク渋滞のようなビッグデータ同時実行問題を引き起こす。
結果として、対象システムが機能するさらに前に、いくつかの認証サーバーが故障さえする。
本発明に従って提供されるシステムは、対象システムの認証負荷を削減するために、対象システム内の認証の役割を果たすことができる。
ビッグデータ同時実行シナリオにおいて、動的グラフィカル認証システムは、ユーザーの需要よって、認証サーバー及びデータベースの自由な追加又は削除が可能である。
図25は、大量のデータがアクセスする対象システムの実施形態のネットワーク構造を示す概念図である。
特定の実施形態において、クライアント04は、認証リクエストを対象システムへと送信し、そのリクエストは、対象システムを通じて負荷調整サーバー05へと送信される。
負荷調整サーバー05は、ある調整方法で認証サーバー01へと認証リクエストを割り当てる。
認証サーバー01は、動的因子列を生成し、その動的因子列を対象システム03を通じてクライアント04へと送信する。
クライアント04は、動的因子列の受信後、全要素動的因子テーブル内へと動的因子列を配置する。
ユーザーは、定義された位置規則に従って動的グラフィカルパスワードを入力し、クライアント04は、動的グラフィカルパスワードを対象システム03へと送信する。
対象システム03は、負荷調整サーバー05を通じて動的グラフィカルパスワードを認証サーバー01へと割り当てる。
認証サーバー01は、パスワードを解読することで位置規則を取得し、データベース02から取得する現在のユーザーの位置規則とその位置規則を比較し、2つの位置規則が同じ場合に認証を成功と判断する、又は、2つの位置規則が異なる場合に認証を失敗と判断する。
さらに、本実施形態に従って提供される動的グラフィカル認証システムは、BS又はCSの種類のいかなるシステムにおいても展開でき、認証の役割を果たすことができる。
動的グラフィカル認証システムは、前述のいかなる認証システム及び認証方法とも共存及び使用可能であり、また、システムの前述の認証スキームに取って代わることができる。
所望の互換性が達成され、ユーザーは、システムが構築される際に便利に動作させることができる。
複数のシステム間の情報送信は、データをテーブルから分離してなされる。
認証サーバーは、位置因子列を生成し、クライアントは、位置因子列を全要素動的因子テーブル内へと配置する。
システム全体での通信送信は、暗号化されたSSL通信に基づいており、DB内のデータは暗号化されて格納されており、システムの安全性が向上している。
本発明は、ワンタイム動的パスワード変更方法をさらに提供し、その方法は、後述のステップを含んでいる。
ステップ10:認証サーバーは、パスワード変更リクエスト及び変更前のパスワードをクライアントから取得する。
ステップ20:認証サーバーは、全要素動的因子テーブルに基づいて2つの位置因子列を生成し、その2つの位置因子列を一度にクライアントへと送信する。
ステップ30:クライアントは、2つの位置因子列を受信し、2つの位置因子列を全要素動的因子テーブル内へとそれぞれ配置し、ユーザーによって入力される第1の動的グラフィカルパスワードを第1の全要素動的因子テーブルから第1の位置規則に従って取得し、ユーザーによって入力される第2の動的グラフィカルパスワードを第2の全要素動的因子テーブルから第2の位置規則に従って取得し、第1の動的グラフィカルパスワード及び第2の動的グラフィカルパスワードをパスワード変更情報として認証サーバーへと送信する。
ステップ40:認証サーバーは、クライアントから2つの動的グラフィカルパスワードを受信し、受信した2つの動的グラフィカルパスワードを解読し、パスワード変更動作を実施するかどうかを判断する。
2つの動的グラフィカルパスワードに対応しており解読を通して取得される位置規則が同一である場合、パスワード変更を成功と判断し、新しい位置規則をパスワードとしてデータベースに記録し、又、2つの動的グラフィカルパスワードに対応する位置規則が異なる場合、新しいパスワードを記録しないと判断し、パスワード変更を失敗と判断する。
そして、パスワード変更成功又は失敗の結果をクライアントへと送信する。
ステップ50:クライアントは、認証サーバーが送信するパスワード変更成功又は失敗の結果を受信する。
本実施形態において、位置因子列、位置因子ライブラリ、全要素動的因子テーブル及び位置規則は、前述のワンタイム動的位置認証方法の実施形態におけるそれらと同じであり、全要素動的因子テーブルの構造、内側テーブルの変更及び位置規則の種類もまた前述のそれらと同じであり、それらの詳細は、明細書内で繰り返し記載されない。
ワンタイム動的位置認証方法の前述の実施形態との違いは、クライアントがステップ30で2つの動的グラフィカルパスワードを出力する必要がある点である。
同様に、クライアントは、2つの位置因子列を生成し、2つの位置因子列をクライアントへと送信する。
2つの位置因子列がそれぞれ配置された2つの全要素動的因子テーブルは、互いに異なっている。
2つの位置規則が同じであると認証サーバーが判断する際のみ、パスワード変更は成功する。
2つの動的グラフィカルパスワードの入力に対応する全要素動的因子テーブルが異なるので、2つの動的グラフィカルパスワードもまた異なっている。
結果として、動的グラフィカルパスワードは、盗まれたり傍受されたりする際でさえ、突破されないであろう。
以前のパスワード変更方法と比較すると、本実施形態に従って提供されるパスワード変更方法は、より高い安全性と信頼性を有し、パスワードが盗まれたり傍受されたりする危険性が著しく減少する。
別の好ましい実施形態において、ステップ10で認証サーバーが、変更前のパスワードと、第一の動的グラフィカルパスワードと、第2の動的グラフィカルパスワードと、を取得するステップは後述のステップを含む。
ステップ11:認証サーバーが最初にクライアントから変更前のパスワードを取得し、変更前のパスワードが予め設定されているパスワードと同じ場合、第1の動的グラフィカルパスワード及び第2の動的グラフィカルパスワード取得し、そうでない場合、パスワード変更を失敗と判断するか、又は、ステップ12に進む。
ステップ12:認証サーバーは、変更前のパスワードと、第1の動的グラフィカルパスワードと、第2の動的グラフィカルパスワードとをクライアントから同時に取得し、3つのパスワードを解読し、3つのパスワードに対応する位置規則を取得する。
認証サーバーは、まず、ユーザーネーム情報又はユーザーIDと、現在の動的グラフィカルパスワードとに基づいて、現在のパスワードが正しいかどうかを評価する。
現在のパスワードが正しい場合、認証サーバーは、2つの新しい動的グラフィカルパスワードを解読し、そして、位置規則が同一である場合、パスワード変更を完了するために、データベースに新しい位置規則を記録する。
本実施形態において、認証サーバーは、変更前のパスワードと、第1の動的グラフィカルパスワードと、第2の動的グラフィカルパスワードとを段階的に又同時に(どちらかはパスワード変更システムの実際の負荷に基づいて判断されてもよい)取得する。
システムの負荷が重い際、単位時間当たりの計算強度を削減し、それにより、システムの負荷を削減するために、認証サーバーは、パスワードを段階的に取得してもよい。
システムの負荷が軽い場合、ユーザーの時間を節約しパスワード変更効率を改善するために、認証サーバーは、パスワードの取得と、対応する解読するステップ及び変換を判断するステップの完了とを同時に行ってもよい。
さらに、ステップ30において、動的グラフィカルパスワードは、ユーザーネームとして用いられる。
すなわち、ユーザーネームは、動的グラフィカルパスワード同じである。
ユーザーネームには、システムのユーザーの、入力されたユーザーネーム、アカウント、ユーザーID、ログインID等の様な固有な識別子の名称が含まれる。
動的なグラフィックがユーザーによってユーザーネームとして用いられるが、従来のパスワードは、なおもパスワードとして用いられる。
このように、ユーザーは、当初の使用習慣を維持する、すなわち、従来のパスワードをなおも使用することができるだけでなく、ユーザー情報の安全性を向上できる。
なぜなら、パスワードは、なお、従来のパスワードではあるが、ユーザーネームが高い安全性を有する動的なグラフィックであり、推測及び突破が困難であり、覚えやすく、かつ、傍受のおそれがないためである。
パスワードが漏れた場合であっても、突破者は、ユーザー識別子を用いてインターネットアプリケーションにログインできず、ユーザーの情報は失われず、そのため、識別認証の安全性は、効率的に確保される。
前述の実施形態から理解されるように、本発明に従って提供されるワンタイム動的位置認証方法及びシステム並びにワンタイム動的パスワード変更方法は、後述の有益な効果をさらに有する。
1、動的グラフィカルパスワードがハードウェア及びプラグインから独立している。
クライアント上に表示された全要素動的因子テーブルに基づいてユーザーが動的グラフィカルパスワードを入力するので、パスワードの生成はハードウェア(例えば、携帯電話、ベースステーション又はハードウェア)から独立しており、認証処理又はパスワード変更処理はより安全である。
ハードウェア送信での時間差に基づくアタッカーからの攻撃は、回避される。
さらに、サービス障害、弱い信号、ハードウェアの損失、指定出力を有する必要なハードウェア登録などのような、ハードウェア装置(例えば、携帯電話)の使用から生じる制限に左右されない。
第3者のプラグインから独立することにより、アタッカーが突破ツールなどを第3者のプラグインに埋め込むことを防止し、それにより、パスワードへの脅威を止める。
さらに、ユーザーは、使用中の更新動作に先立ってプラグインをインストールする必要がなく、便利なだけでなく安全性もより高くなる。
2、ビッグデータの同時実行性が、サポートされる。
本発明に関連している認証サーバー及びデータベースは、要求によって自由に追加又は削除が可能である。
さらに、負荷調整サーバーと併せて使用する際、大量のデータアクセスがある状況で、対象サーバーの認証モジュールにおける負荷を解放することができる。
3、広い適用性並びにクロスプラットフォーム及びフルメディアサポートが達成される。
システムは、柔軟なアクセス方法を有する。
具体的には、補完的な認証方法でユーザー認証システムに接続することで、システムは、既存のユーザー認証システムに一度で「置き換わる」か、又は、既存のユーザー認証システムと共存することができる。
この認証方法と認証サーバーは、使用するいかなる端末にも移植することができ、それによりPC、タブレットPC、スマートフォンなどのような様々な端末上のアプリケーション制限を克服することができる。
それにより、実際の認証のための「クロスプラットフォーム及びフルメディア」相互接続が可能になる。
4、経済的であり、環境保護性がある。
システムは、いかなるハードウェアからも独立している。
そしてユーザーの数は、実際の需要によって増減する。
したがって、ハードウェアの購入、管理、使い切り及びその他のコストは、抑えられ、システムユーザーの数は、ユーザーの数の増減につれて、同様に変わる可能性がある。
さらに、ハードウェアから独立しているので、本発明に従って提供される認証システムは、ハードウェアの製造の間の原材料消費及び二酸化炭素の排出並びにユーザーが少ないことから生じるハードウェアの余剰問題無しに、実施することができる。
ワンタイム動的位置認証方法(以下、短縮のために第1の認証方法と呼ぶ)に対応して、本発明の実施形態は、別のワンタイム動的位置認証方法(以下、短縮のために第2の認証方法と呼ぶ)をさらに提供する。
本発明の実施形態に従って提供される、第2の認証方法と第1の認証方法の間の主な違いは、第1の認証方法では、位置因子の選択及び位置因子列の生成がサーバー上で行われる一方で、第2の認証方法では、位置因子の選択及び位置因子列の生成がクライアント上で行われる点である。
第1の認証方法では、サーバーはコンピュータ処理をする必要があり、したがって、サーバーのいくらかのコンピュータリソースは占有される必要がある。
多くのユーザーが認証を実行する際、この処理方法は、サーバーの性能に非常に影響を及ぼすであろう。
この問題を解決するために、第2の認証方法が本発明の実施形態に従って提供され、クライアント上で位置因子が選択され、位置因子列が生成される。
この処理方法では、クライアントのコンピュータリソースが完全に使用され、サーバーの計算タスクを共有する。
したがって、サーバーのコンピュータリソースの消費を効率的に削減することができ、それにより、サーバー性能が改善する。
図26は、本発明に従って提供される第2の認証方法の実施形態のフローチャートである。
第1の実施形態の部分と同じである本実施形態の部分は繰り返し記載されず、第1の実施形態の対応する部分を引用する。
本発明の実施形態に従って提供される第2の認証方法は、後述のステップを含む。
ステップS301:クライアントが、全要素動的因子テーブルの構造及び位置因子ライブラリを取得する。
全要素動的因子テーブルは、構造及び内容を含むテーブルであり、全要素動的因子テーブルに基づいて、ユーザーは、動的パスワードを入力可能である。
全要素動的因子テーブルの構造には、少なくとも1つの後述の構造が含まれるが、これらに限定されない。
(例えば、規則的な種類又は変則的な種類の)外側テーブル構造、(例えば、規則的な種類又は変則的な種類の)内側テーブル構造、内側テーブルの列及び行の数等。
全要素動的因子テーブルの構造は、共通の構造であってもよいし、又、ユーザー定義の構造であってもよい。
共通の構造には、認証システムの各ユーザーに共通の構造が含まれる。
共通の構造を用いると、全ユーザーに与えられる全要素動的因子テーブルは、同一の構造及び同一の位置因子の種類を有する。
ユーザー定義の構造を有すると、個人化された全要素動的因子テーブルを異なるユーザーに与えることが可能になる。
全要素動的因子テーブルの内容は、変更可能であり、したがって、内容としての各要素は、動的因子と呼ばれてもよい。
さらに、全要素動的因子テーブルによって入力されるパスワードは、実際は位置規則であるので、動的な因子は、位置因子とも呼ばれてもよい。
位置因子ライブラリは、複数の選択可能な位置因子を含んでいる。
位置因子は、英字、単語、中国語文字、数字、記号、画像及び/又は色を含んでいる。
特定の実施の間、ステップS301は、複数の実行方法を有していてもよく、3つの選択可能な実行方法が下記に与えられる。
方法1、全要素動的因子テーブルの共通の構造及び位置因子ライブラリがクライアントからローカルで取得される。
全要素動的因子テーブルの構造及び位置因子ライブラリをこの方法で取得する場合、共通の全要素動的因子テーブルの構造情報及び位置因子ライブラリは、前もってクライアント内に格納されている必要がある。
特定の実施の間、クライアントは、共通の全要素動的因子テーブルの複数の構造についての情報を予め格納していてもよい。
認証機能が開始される際、予め設定されているアルゴリズム(例えば、無作為選択アルゴリズム)を用いて、現在の認証で実際用いられる構造として複数の構造から1つの構造が選択されてもよい。
あるいは、認証されるユーザーが能動的に1つの構造を選択してもよく、それにより、ユーザー体験が改善する。
方法2、共通の全要素動的因子テーブルの構造及び位置因子ライブラリが、サーバーから取得される。
全要素動的因子テーブルの構造及び位置因子ライブラリをこの方法で取得する場合、その方法は、後述の具体的なステップを含んでもよい。
1)クライアントが認証リクエストをサーバーへと送信する。
2)サーバーが共通の全要素動的因子テーブルの構造を決定し、認証リクエストに基づいて位置因子ライブラリを取得し、全要素動的因子テーブルの構造及び位置因子ライブラリをクライアントへと送信する。
これまで、ステップS301の2つの選択可能な実行方法を記載してきた。
上述の2つの方法は、それぞれ長所と短所を有していることに留意するべきである。
方法1では、サーバーから構造と位置因子ライブラリとを毎回取得する必要がないため、ネットワークのトラフィックは、効率的に節約可能であるが、ローカルに格納されている情報は、タイムリーに更新されないという問題がある。
方法2では、毎回の認証の間、まず、構造及び位置因子ライブラリをサーバーから取得する必要があるため、より多くのネットワークのトラフィックを消費する必要がある。
しかし、最新の構造及び位置因子ライブラリが確実に取得可能である。
実用的な用途において、具体的な要求によりどちらかの方法が選択され、クライアントが、全要素動的因子テーブルの構造及び位置因子ライブラリを取得可能である。
方法3、全要素動的因子テーブルのユーザー定義の構造及び位置因子ライブラリが、サーバーから取得される。
方法1及び方法2から取得する構造は、共に共通の構造である。
方法3で、異なるユーザーに個人化された全要素動的因子テーブルを与える機能を達成することで、全要素動的因子テーブルのユーザー定義の構造及び位置因子ライブラリをクライアント上で与えることができる。
それは、後述の方法で具体的に実行することができる。
ユーザーが、クライアント上でユーザーネームを入力し、クライアントが、認証サーバーへと認証リクエストを送信し、認証サーバーが、認証リクエストとユーザーIDを受信し、ユーザーIDに基づいて、ユーザーの全要素動的因子テーブルの構造及び位置因子の種類を回収し、認証サーバーが、全要素動的因子テーブルの構造及び位置因子の種類を(クライアントが使用可能な位置因子ライブラリとして)クライアントへと送信する。
ステップS301で取得される全要素動的因子テーブルの構造及び位置因子ライブラリは、ユーザー登録の間に用いられる構造及び位置因子の種類と同じであってもよいし、ユーザー登録の間に用いられる構造及び位置因子の種類と異なっていてもよいことに留意するべきである。
全要素動的因子テーブルの構造及び位置因子ライブラリの取得後、クライアントは、次のステップに進み、2つの位置因子列を生成してもよい。
ステップS302:位置因子が動的因子テーブルの構造に基づいて位置因子ライブラリから選択され、位置因子列が生成される。
全要素動的因子テーブルは、構造及び内容から構成されるため、全要素動的因子テーブルが複数の異なる装置間で送信される際、構造及び内容は別個に送信されてもよい。
全要素動的因子テーブルの内容には、複数の動的因子が含まれ、動的因子が形成する文字列は、位置因子列と呼ばれる。
ステップS302において、前のステップで取得される動的因子テーブルの構造に基づいて、位置因子が位置因子ライブラリから選択され、位置因子が生成される。
このステップで生成される位置因子列には、英字、単語、中国語文字、数字、記号、画像、色等のような複数の種類の位置因子が含まれてもよい。
代替の実施方法として、ユーザーが指定する種類の位置因子が、動的因子テーブルの構造に基づいて選択され、位置因子列を生成可能である。
この処理方法により、ユーザー体験を効率的に改善可能である。
ステップS303:全要素動的因子テーブルが、位置因子列に基づいて生成される。
全要素動的因子テーブルが、位置因子列及び全要素動的因子テーブルの構造に基づいて生成可能である。
代替の方法では、位置因子列が全要素動的因子テーブル内へと配置される際、いくつかの特定の位置因子の表示内容が、他の内容にさらに取って代わってもよい。
例えば、位置因子が「China」という単語であり、位置因子が動的因子テーブルに直接表示される際、位置因子が特定の長さを有するためにユーザーの視覚的体験に影響を与える可能性がある(例えば、視覚効果が曖昧になる)。
これにより、ユーザー体験が低下する。
この場合、長い位置因子は、短い文字に取って代わられてもよい。
例えば、実際に送信される位置因子が「China」である一方で、A1が動的因子テーブルに表示される。
結論としては、送信される位置因子と表示される位置因子との間で配置関係が形成され、それにより、パスワードの突破がさらに困難になる。
ステップS304:ユーザーが、位置因子列に基づいて生成される全要素動的因子テーブルに基づいて、動的グラフィカルパスワードを入力する。
ステップS305:動的グラフィカルパスワードと全要素動的因子テーブルの情報とを含む認証情報が、サーバーへと送信される。
動的グラフィカルパスワードを入力するための全要素動的因子テーブルは、クライアント上で生成されるので、サーバーが動的グラフィカルパスワードを解読して位置規則を取得可能にするために、ユーザーが入力する動的グラフィカルパスワードとクライアントが生成する全要素動的因子テーブルとを含む認証情報は、サーバーへと送信される必要がある。
特定の実施の間、認証情報内に含まれる全要素動的因子テーブルの情報は、文字の類(すなわち、全要素動的因子テーブルに対応する位置因子列)や、画像の類(すなわち、全要素動的因子テーブルに対応する動的因子テーブルグラフィック)であってもよい。
さらに、認証情報には、ユーザーネームのような情報がさらに含まれてもよい。
ステップS301で取得される全要素動的因子テーブルの構造が、ユーザー登録の間に用いられる構造と異なる場合、認証情報には、動的因子テーブルの開始位置の位置指示子がさらに含まれてもよいことに留意するべきである。
例えば、登録の間の全要素動的因子テーブルの構造が6×6の規則的な構造(すなわち、6列と6行)である一方で、登録の間は、9×9(すなわち、9列と9行)の構造である。
この場合、4列目及び4行目が、動的因子テーブルの開始位置の位置指示子として用いられ、サーバーへと送信されてもよい。
サーバーは、開始位置以下の位置で形成されている動的因子テーブルに基づいて、動的グラフィカルパスワードを解読するであろう。
この処理方法において、動的因子テーブルの構造が変更され、動的因子テーブルの複雑さが高まり、したがって、パスワード突破の困難さを効率的に高めることができる。
代替の解決方法として、認証の間にユーザーが実際に入力する動的グラフィカルパスワードに対応する位置規則が、登録の間に用いられる位置規則と異なっていてもよい。
具体的には、ユーザーは、認証の間に、同意された変更方法に従って、動的グラフィカルパスワードを入力してもよい。
例えば、同意された入力変更方法は、認証の間に、動的グラフィカルパスワードを位置規則に対して左右対称又は上下対称に入力するステップであってもよい。
この場合、サーバーは、同意された入力変更方法を取得し、受信する動的グラフィカルパスワードの解読を通して適切な位置規則を取得する必要がある。
ステップS101:サーバーが、クライアントが送信する認証情報を受信する。
ステップS103:サーバーが、認証情報内の動的グラフィカルパスワードの解読を通して取得する位置規則が、予め設定されている位置規則と一貫しているかどうかを判断する。
第1の認証方法とは異なり、第2の認証方法では、サーバーは、クライアントから送信される全要素動的因子テーブルに基づいて動的グラフィカルパスワードを解読し、動的グラフィカルパスワードに対応する位置規則を取得する。
動的グラフィカルパスワードに対応しており解読を通して取得される位置規則が予め設定されている位置規則と一貫している場合、認証は、成功する。
動的グラフィカルパスワードの解読を通して取得される位置規則が予め設定されている位置規則と一貫していない場合、ユーザー認証は、失敗する。
ユーザーが、同意された変更方法(例えば、位置規則に対して左右対称又は上下対称の方法)に従って動的グラフィカルパスワードを入力する場合、サーバーは、クライアントから送信される全要素動的因子テーブルに基づいて動的グラフィカルパスワードをまず解読し、動的グラフィカルパスワードに対応する第1の位置規則を取得してもよく、次に、同意された入力変更方法に従って、第1の位置規則を第2の位置規則へと解読することに留意するべきである。
第2の位置規則が予め設定されている位置規則と一貫している場合、認証は、成功する。
ステップS104:認証結果情報がクライアントへと送信される。
別のワンタイム位置認証方法の実施形態に対応して、本開示の実施形態は、別のワンタイム位置認証システムをさらに提供する。
図27は、本発明にかかる別のワンタイム動的位置認証システムの実施形態を示す概略図である。
システムの実施形態は、基本的には、方法の実施形態に対応しており、したがって、簡略に記載される。
関連する部分の記載については、方法の実施形態の対応する部分を参照されたい。
下記に記載されるシステムの実施形態は、単なる例示である。
本実施形態の別のワンタイム位置認証システムは、ネットワークアクセスユーザーに認証サービスを提供するサーバー100と、ネットワークを通じてサーバーに接続され、ユーザーにネットワークログイン及びアクセスを提供するクライアント200と、を含んでいる。
クライアント200は、動的因子テーブル構造取得ユニット201と、情報処理ユニット202と、サーバーへと情報を送信するように構成されている第1の送信ユニット203と、を含んでいる。
動的因子テーブル構造取得ユニット201は、全要素動的因子テーブルの構造を取得するように構成されている。
情報処理ユニット202は、動的因子テーブル構造に基づいて位置因子ライブラリから位置因子を選択し、位置因子列を生成するように構成され、位置因子列に基づいて生成される全要素動的因子テーブルに基づいて動的グラフィカルパスワードをユーザーによって入力される。
第1の送信ユニット203は、動的グラフィカルパスワードと全要素動的因子テーブルの情報とを含む認証情報をサーバーへと送信するように構成されている。
サーバー100は、クライアントから情報を受信するように構成されている第1の受信ユニット101と、位置規則解読ユニット102と、位置規則判断ユニット103と、を含んでいる。
第1の受信ユニット101は、認証情報を受信するように構成されている。
位置規則解読ユニット102は、解読を通して、動的グラフィカルパスワードに対応する位置規則を取得するように構成されている。
位置規則判断ユニット103は、動的グラフィカルパスワードの解読を通して取得する位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するように構成されている。
選択的には、動的因子テーブル構造取得ユニット201は、
クライアントがサーバーに認証リクエストを送信するように構成されている、認証リクエスト送信サブユニットと、
クライアントが送信する認証リクエストをサーバーが受信するように構成されている認証リクエスト受信ユニットと、
全要素動的因子テーブルの構造を決定するように構成されている構造決定サブユニットと、
全要素動的因子テーブルの構造をクライアントへと送信するように構成されている構造取得サブユニットと、を含んでいる。
本発明の本実施形態で提供される別のワンタイム動的位置認証方法では、位置因子の選択と位置因子列の生成はクライアント上で行われ、クライアントのコンピュータリソースが完全に使用され、サーバーの計算タスクを効率的に共有する。
したがって、サーバーのコンピュータリソースの消費を効率的に削減することができ、それによりサーバー性能が改善する。
別のワンタイム動的位置認証方法に対応して、本発明の実施形態は、さらに別のワンタイム動的位置認証方法(以下、短縮のために第3の認証方法と呼ぶ)をさらに提供する。
本発明の本実施形態で提供される第3の認証方法の基本的な中心思想は、クライアント及びサーバーが、一定のアルゴリズムを用いて同一の全要素動的因子テーブルを別個に生成することである。
この処理方法において、全要素動的因子テーブルの情報は、ネットワークを介して送信される必要がなく、パスワード突破の困難さを効率的に高めることができる。
図28は、本発明にかかる第3の認証方法の実施形態のフローチャートである。
前述の実施形態の部分と同じである本実施形態の部分は、繰り返し記載されず、詳細は、前述の実施形態の対応する部分を引用する。
本発明の本実施形態で提供される第3の認証方法は、後述のステップを含んでいる。
ステップS301:クライアントが、全要素動的因子テーブルの構造及び位置因子ライブラリを取得する。
全要素動的因子テーブルの構造は、共通の構造であってもよく、又は、ユーザー定義の構造であってもよい。
特定の実施において、ステップS301は、複数の実施方法を有していてもよい。
例えば、全要素動的因子テーブルの共通の構造及び位置因子ライブラリは、クライアントからローカルで取得されるか、全要素動的因子テーブル構造の共通の構造及び位置因子ライブラリは、サーバーから取得されるか、又は全要素動的因子テーブルのユーザー定義の構造及び位置因子ライブラリは、サーバーから取得される。
ステップS302:位置因子が動的因子テーブル構造に基づいて位置因子ライブラリから選択され、第1の位置因子列を生成する。
特定の実施において、クライアントは、まず、共有キーを生成してもよく、次に、共有キーに基づいて第1の位置因子列を生成してもよい。
実用的な用途において、共有キーも、また、まず、サーバーによって生成されてもよく、次にクライアントによってサーバーから取得されてもよい。
この処理方法において、共有キーの生成アルゴリズムを不法に取得することはより困難になり、パスワード突破の困難さを効率的に高めることができる。
ステップS303:第1の全要素動的因子テーブルが、第1の位置因子列に基づいて生成される。
ステップS304:ユーザーが、第1の位置因子列に基づいて生成される第1の全要素動的因子テーブルに基づいて動的グラフィカルパスワードを入力する。
ステップS305:動的グラフィカルパスワードを含む認証情報、がサーバーへと送信される。
クライアントとサーバーが、同一の動的因子テーブルを別個に生成するので、サーバーへと送信される認証情報は、クライアントが生成する第1の全要素動的因子テーブルを含んでいる必要がない。
クライアントが生成する共有キーに基づいて第1の位置因子列が生成される場合、サーバーが、第1の全要素動的因子テーブルと同様に、共有キーに基づいて第2の全要素動的因子テーブルを生成することができるよう、共有キーは、サーバーへと送信される必要があることに留意するべきである。
ステップS101:サーバーが、クライアントが送信する認証情報を受信する。
代替の実施方法として、認証情報には、クライアントが情報を送信する時間がさらに含まれていてもよい。
認証情報の受信後、サーバーは、まず、時間パラメータに基づいて、クライアントが情報を送信する時間と現在の時間の間のタイムインターバルが、予め設定されているタイムインターバル閾値を超えているかどうかを判断してもよい。
「はい」の場合(超えている場合)、情報がクライアントからサーバーに到達するのにかかる時間が設定されている時間を超えている事を示している。
動作がタイムアウトすると、動作タイムアウトの情報指示がクライアントへと送信し返され、現在の認証処理は終了する。
最終結果は、認証失敗となる。
この処理方法において、パスワード突破の困難さをさらに高めることができる。
ステップS102:第1の全要素動的因子テーブルと同じ、第2の全要素動的因子テーブルを生成する。
サーバーは、クライアントと同じ動的因子テーブル生成アルゴリズムを用いることにより、第1の全要素動的因子テーブルと同じ第2の全要素動的因子テーブルを生成する必要がある。
ステップS103:サーバーが、認証情報内の動的グラフィカルパスワードの解読を通して取得する位置規則が予め設定されている位置規則と一貫しているかどうか判断する。
サーバーが第2の全要素動的因子テーブルに基づいて動的グラフィカルパスワードを解読し、動的グラフィカルパスワードに対応する位置規則を取得する。
ステップS104;認証結果情報がクライアントへと送信される。
さらに、別のワンタイム動的位置認証方法の実施形態に対応して、本開示の実施形態は、さらに別のワンタイム動的位置認証システムをさらに提供する。
図29は、本発明にかかるさらに別のワンタイム動的位置認証システムの実施形態を示す概略図である。
システムの実施形態は、基本的には方法の実施形態に類似しており、したがって、簡潔に記載され、関連する部分の記載は方法の実施形態の対応する部分を引用することができる。
下記に記載されるシステムの実施形態は単なる例示である。
本実施形態のさらに別のワンタイム動的位置認証システムは、ネットワークアクセスユーザーに登録サービスを提供するサーバー100と、ネットワークを介してサーバーに接続され、ユーザーにネットワーク登録を提供するクライアント200と、を含んでいる。
クライアント200は、動的因子テーブル構造取得ユニット201と、情報処理ユニット202と、サーバーへと情報を送信するように構成されている第1の送信ユニット203と、を含んでいる。
動的因子テーブル構造取得ユニット201は、全要素動的因子テーブルの構造を取得するように構成されている。
情報処理ユニット202は、動的因子テーブル構造に基づいて位置因子ライブラリから位置因子を選択し、第1の位置因子列を生成するように構成され、第1の位置因子列に基づいて生成される第1の全要素動的因子テーブルに基づいて動的グラフィカルパスワードをユーザーにより入力される。
第1の送信ユニット203は、動的グラフィカルパスワードを含む認証情報をサーバーへと送信するように構成されている。
サーバー100は、クライアントから情報を受信するように構成されている第1の受信ユニット101と、動的因子テーブル生成ユニット102と、位置規則解読ユニット103と、パスワード判断ユニット104と、を含んでいる。
第1の受信ユニット101は、登録情報を受信するように構成されている。
動的因子テーブル生成ユニット102は、第1の全要素動的因子テーブルと同じ、第2の全要素動的因子テーブルを生成するように構成されている。
位置規則解読ユニット103は、第2の全要素動的因子テーブルに基づいて、解読を通して動的グラフィカルパスワードに対応する位置規則を取得するように構成されている。
位置規則判断ユニット104は、動的グラフィカルパスワードの解読を通して取得される位置規則が予め設定されている規則と一貫している場合、認証を成功と判断するように構成されている。
ワンタイム動的パスワード変更方法(以下、短縮のために第1のパスワード変更方法と呼ぶ)に対応して、本発明の実施形態は、別のワンタイム動的パスワード変更方法(以下、短縮のために第2のパスワード変更方法と呼ぶ)をさらに提供する。
本発明の本実施形態で提供される第2のパスワード変更方法が第1のパスワード変更方法と異なっている主な点は、第1のパスワード変更方法では、位置因子の選択及び位置因子列の生成は、サーバー上で行われる一方で、第2のパスワード変更方法では、位置因子の選択及び位置因子列の生成がクライアント上で行われるという点である。
第1のパスワード変更方法では、サーバーは、コンピュータ処理をする必要があり、したがって、サーバーのいくらかのコンピュータリソースは、占有される必要がある。
多くのユーザーが認証を行う際、この処理方法は、サーバーの性能に非常に影響を及ぼすであろう。
この問題を解決するために、第2のパスワード変更方法が本発明の本実施形態で提供され、クライアント上で位置因子が選択され、位置因子列が生成される。
この処理方法では、クライアントのコンピュータリソースは完全に使用され、サーバーの計算タスクを効率的に共有する。
したがって、サーバーのコンピュータリソースの消費を効率的に削減することができ、それによりサーバー性能が改善する。
図30は、本発明にかかる第2のパスワード変更方法の実施形態のフローチャートである。
第1の実施形態の部分と同じである本実施形態の部分は、繰り返し記載されず、詳細は、第1の実施形態の対応する部分を引用する。
本発明の本実施形態で提供される第2のパスワード変更方法は、後述のステップを含んでいる。
ステップS301:クライアントが、全要素動的因子テーブルの構造及び位置因子ライブラリを取得する。
全要素動的因子テーブルの構造は、共通の構造であってもよいし、又は、ユーザー定義の構造であってもよい。
位置因子ライブラリには、複数の選択可能な位置因子が含まれる。
位置因子には、英字、単語、中国語文字、数字、記号、画像及び/又は色が含まれる。
特定の実施において、ステップS301は、複数の実施方法を有していてもよい。
例えば、全要素動的因子テーブルの共通の構造及び位置因子ライブラリは、クライアントからローカルで取得されるか、全要素動的因子テーブルの共通の構造及び位置因子ライブラリは、サーバーから取得されるか、又は、全要素動的因子テーブルのユーザー定義の構造及び位置因子ライブラリは、サーバーから取得される。
特定の実施において、全要素動的因子テーブルのユーザー定義の構造及び位置因子ライブラリは、後述の方法でサーバーから取得されてもよい。
ユーザーが、クライアント上でユーザーネームを入力する。
クライアントが、パスワード変更リクエストをサーバーへと送信する。
サーバーが、パスワード変更リクエスト及びユーザーIDを受信する。
サーバーがユーザーIDに基づいて全要素動的因子テーブルの構造及びユーザーの位置因子の種類を回収する。
サーバーが、全要素動的因子テーブルの構造及び位置因子の種類を(クライアントが使用可能な位置因子ライブラリとして)クライアントへと送信する。
ステップS301で取得される全要素動的因子テーブルの構造及び位置因子ライブラリは、ユーザー登録の間に用いられる構造及び位置因子の種類と同じでもよいし、ユーザー登録の間に用いられる構造及び位置因子の種類とは、異なっていてもよいことに留意するべきである。
全要素動的因子テーブルの構造及び位置因子ライブラリの取得後、クライアントは、次のステップを実行し、2つの位置因子列を生成してもよい。
ステップS302:位置因子が動的因子テーブル構造に基づいて位置因子ライブラリから選択され、2つの位置因子列が生成される。
ステップS302で、前のステップで取得される動的因子テーブル構造に基づいて位置因子が位置因子ライブラリから選択され、2つの位置因子列が生成される。
このステップで生成される位置因子列には、英字、単語、中国語文字、数字、記号、画像及び色のような全ての種類の位置因子が含まれてもよい。
代替の実施方法として、ステップS302で、動的因子テーブル構造に基づいて、ユーザーが指定する種類の位置因子から位置因子が選択され、位置因子列を生成してもよい。
この処理方法により、ユーザー体験を効率的に改善可能である。
ステップS303:2つの全要素動的因子テーブルが、2つの位置因子列に基づいて生成される。
2つの全要素動的因子テーブルが、位置因子列及び全要素動的因子テーブルの構造に基づいて生成可能である。
代替の方法として、位置因子列が全要素動的因子テーブル内へと配置される際、いくつかの特定の位置因子が表示のために他の内容にさらに取って代わってもよい。
送信される位置因子と表示される位置因子との間で配置が形成され、それにより、パスワードの突破がさらに困難になる。
ステップS304:ユーザーが、2つの位置因子列に基づいて生成される2つの全要素動的因子テーブルに基づいて、2つの動的グラフィカルパスワードを入力する。
ステップS305:2つの動的グラフィカルパスワードと2つの全要素動的因子テーブルの情報とを含むパスワード変更情報が、サーバーへと送信される。
動的グラフィカルパスワードを入力するための全要素動的因子テーブルは、クライアント上で生成されるので、サーバーが動的グラフィカルパスワードの解読を通して位置規則を取得可能にするために、ユーザーが入力する動的グラフィカルパスワードとクライアントが生成する2つの全要素動的因子テーブルとを含む情報は、サーバーへと送信される必要がある。
特定の実施において、パスワード変更情報に含まれる全要素動的因子テーブルの情報は、文字の類(すなわち、全要素動的因子テーブルに対応する位置因子列)や、画像の類(すなわち、全要素動的因子テーブルに対応する動的因子テーブルグラフィック)であってもよい。
さらに、パスワード変更情報には、ユーザーネームのような情報がさらに含まれてもよい。
ステップS101:サーバーが、クライアントが送信するパスワード変更情報を受信する。
ステップS103:サーバーが、パスワード変更情報内の2つの動的グラフィカルパスワードの解読を通して取得される位置規則が一貫しているかどうかを判断する。
第1のパスワード変更方法と違い、第2のパスワード変更方法では、サーバーは、クライアントから送信される2つの全要素動的因子テーブルに基づいて、2つの動的グラフィカルパスワードを解読することで、2つの位置規則を取得する。
解読を通して取得される2つの位置規則が一貫している場合、パスワード変更は、成功し、ステップS104が実行され、パスワード変更情報内の位置規則をユーザーの新しいパスワードとして使用する。
解読を通して取得される2つの位置規則が一貫していない場合、パスワード変更は、失敗し、ステップS106が実行され、クライアントへパスワード変更失敗の結果が送信される。
ステップS104:2つの動的グラフィカルパスワードの解読を通して取得される位置規則が一貫している場合、パスワード変更情報内の位置規則をユーザーの新しいパスワードとして使用する。
ステップS106:パスワード変更結果がクライアントへと送信される。
別のワンタイム動的パスワード変更方法に対応して、本発明の実施形態は、さらに別のワンタイム動的パスワード変更方法(以下、短縮のために第3のパスワード変更方法と呼ぶ)をさらに提供する。
本発明の本実施形態で提供される第3のパスワード変更方法の基本的な中心思想は、クライアント及びサーバーが、一定のアルゴリズムを用いて同一の全要素動的因子テーブルを別個に生成することである。
この処理方法において、全要素動的因子テーブルの情報は、ネットワークを通じて送信される必要がなく、パスワード突破の困難さを効率的に高めることができる。
図31は、本発明にかかる第3のパスワード変更方法の実施形態のフローチャートである。
前述の実施形態の部分と同じである本実施形態の部分は、繰り返し記載されず、詳細は、前述の実施形態の対応する部分を引用する。
本発明の本実施形態で提供される第3のパスワード変更方法は、後述のステップを含んでいる。
ステップS301:クライアントが、全要素動的因子テーブルの構造及び位置因子ライブラリを取得する。
全要素動的因子テーブルの構造は、共通の構造であってもよく、又は、ユーザー定義の構造であってもよい。
特定の実施において、ステップS301は、複数の実施方法を有していてもよい。
例えば、全要素動的因子テーブルの共通の構造及び位置因子ライブラリは、クライアントからローカルで取得されるか、全要素動的因子テーブルの共通の構造及び位置因子ライブラリは、サーバーから取得されるか、又は、全要素動的因子テーブルのユーザー定義の構造及び位置因子ライブラリは、サーバーから取得される。
ステップS302:位置因子が動的因子テーブル構造に基づいて位置因子ライブラリから選択され、2つの第1の位置因子列が生成される。
特定の実施において、クライアントは、まず、共有キーを生成してもよく、次に、共有キーに基づいて2つの第1の位置因子列を生成してもよい。
実用的な用途において、共有キーもまた、まず、サーバーによって生成されてもよく、次にクライアントによってネットワークを介してサーバーから取得されてもよい。
この処理方法において、共有キーの生成アルゴリズムを不正に取得することは、より困難になり、パスワード突破の困難さを効率的に高めることができる。
ステップS303:ユーザーが、2つの第1の位置因子列に基づいて生成される2つの第1の全要素動的因子テーブルに基づいて、2つの動的グラフィカルパスワードを入力し、2つの動的グラフィカルパスワードを含むパスワード変更情報をサーバーへと送信する。
クライアントとサーバーが同一の動的因子テーブルを別個に生成するので、サーバーへと送信されるパスワード変更情報は、クライアントが生成する2つの第1の全要素動的因子テーブルを含んでいる必要がない。
クライアントが生成する共有キーに基づいて第1の位置因子列が生成される場合、2つの第1の全要素動的因子テーブルと同様に、サーバーが共有キーに基づいて2つの第2の全要素動的因子テーブルを生成することができるよう、共有キーは、サーバーへと送信される必要があることに留意するべきである。
ステップS101:サーバーが、クライアントが送信するパスワード変更情報を受信する。
代替の実施方法として、パスワード変更情報にはクライアントが情報を送信する時間がさらに含まれていてもよい。
パスワード変更情報の受信後、サーバーはまず時間パラメータに基づいて、クライアントが情報を送信する時間と現在の時間の間のタイムインターバルが、予め設定されているタイムインターバル閾値を超えているかどうかを判断してもよい。
「はい」の場合(超えている場合)、情報がクライアントからサーバーに到達するのにかかる時間が設定されている時間を超えていることを示している。
動作が、タイムアウトすると、動作タイムアウト情報指示が、クライアントへと送信され、現在のパスワード変更処理は、終了する。
最終結果は、パスワード変更失敗となる。
この処理方法において、パスワード突破の困難さをさらに高めることができる。
ステップS102:2つの第1の全要素動的因子テーブルと同じ、2つの第2の全要素動的因子テーブルが生成される。
サーバーは、クライアントと同じ動的因子テーブル生成アルゴリズムを用いることにより、2つの第1の全要素動的因子テーブルと同じ2つの第2の全要素動的因子テーブルを生成する必要がある。
ステップS103:2つの動的グラフィカルパスワードが2つの第2の全要素動的因子テーブルに基づいて解読され、2つの動的グラフィカルパスワードの解読を通して取得される位置規則が一貫している場合、パスワード変更情報内の位置規則をユーザーの新しいパスワードとして使用し、ユーザーのパスワード変更は、完了する。
サーバーは、2つの第2の全要素動的因子テーブルに基づいて2つの動的グラフィカルパスワードを解読し、2つの位置規則を取得する。
さらに、ユーザーがクライアント上で全要素動的因子テーブルの構造及び位置因子ライブラリを定義する際、第3のパスワード変更方法は、ユーザー定義の構造及び/又はユーザーネームに対応する位置因子ライブラリを格納するステップをさらに含んでいてもよい。
「第1の」及び「第2の」のような本明細書内の関係用語は、ある存在又は動作を別の存在又は動作から区別するためのみに使用され、これらの存在又は動作の間に存在する実際の関係又は順番を要求したり、意味したりしていないことに留意するべきである。
さらに、「含む」、「備える」又はそれらの他の任意の派生用語は、一連の要素を含む処理、方法、物又は装置がそれらの要素を含むだけでなく、明確に記載されていない他の要素もまた含むか、又はそのような処理、方法、物又は装置に固有の要素をさらに含むよう、非排他的な包含を対象とする事を意図している。
さらなる限定がなされていない場合、「〜を含む」の表現で限定されている他の要素は、その要素を含む処理、方法、物又は装置内に存在する他の同一の要素を排除しない。
上述の記載は、本発明の単なる特定の実施方法であり、当業者は本発明を理解又は実施が可能である。
これらの実施形態に対する様々な修正が当業者には明確であろうし、本明細書内に定義される一般的な原理は、本発明の精神又は範囲から逸脱することなく他の実施形態に適用されてもよい。
したがって本発明は、本明細書内に記載されている実施形態に限定されず、本明細書内に開示されている原理及び新規性に従う最も広い範囲へと拡張する。
本出願は、2016年1月29日に中国特許庁に提出された「ワンタイム動的位置認証方法、システム及びパスワード変更方法」と題された中国特許出願第201610066012.3号の優先権を主張するものであり、その内容全体を引用により援用する。
本発明は、サイバーセキュリティの技術分野に関し、特に、ワンタイム動的位置認証方法及びシステム並びにワンタイム動的パスワード変更方法に関する。
インターネット技術の発展に伴って、より多くのウェブサイトがインターネットサービスを提供可能になっている。
ウェブサイトが提供するサービスを受けるために、ユーザーは、ネットワーク端末を用いて対象のサービスウェブサイトにログインする必要があり、そして、対象のサービスウェブサイトにアクセスすることで、対象のサービスウェブサイトが提供するサービスを受ける。
ネットワークアクセスの安全性を確保するために、対象のサービスウェブサイトは、ネットワーク端末側でユーザーの識別認証をする必要がある。
共通ユーザー識別認証方法では、ユーザーネーム及びパスワードを用いる方法で認証を行う。
その方法では、ユーザーネーム及びパスワードは、一度確認されると固定され、したがって、非常に突破し易いであろう。
固定ユーザーネーム及びパスワードの安全性を改善するために、サービスを提供する対象のサービスウェブサイトは、ユーザーがネットワーク端末を通じて決定するユーザーネーム及びパスワードを設定する際に様々な制限を設けなければならない。
例えば、ユーザーネーム及びパスワードは、大文字の英字、小文字の英字、数字及び/又は記号の組み合わせであるべきである。
その結果、ユーザーに貧弱な体験を提供するだけでなく、パスワードが、複雑になり、覚えることが困難になる。
たとえそうしたとしても、ユーザーネーム及びパスワードの特定の情報は、トロイやフィッシングなどのような単純な方法で、なおも簡単に取得可能である。
動的パスワードやトークンなどのような、他の改善されたユーザー識別認証方法によって認証が行われている。
それらは、現在一般的なユーザー識別認証方法であり、主要な方法として動的パスワード、モバイルトークン、USBキー、生体認証などを含む。
しかし、これらの技術の実行は、ハードウェア又は第3者のプラグインに依存しており、結果として、安全性の脅威がなお存在する。
例えば、モバイル動的パスワードを用いるユーザー識別認証方法においては、ショートメッセージサービス(SMS)のメッセージをテレコムオペレータ経由で送信する必要がある。
しかし、違法な疑似基地局、トロイ、サービスウェブサイトプラットフォーム/電波塔への攻撃などのような攻撃方法があるため、この認証方法の安全性を確保することが困難である。
さらに、モバイルトークンのようなハードウェアトークンを用いるユーザー識別認証方法において、複数のネットワーク装置間の時間誤差やユーザー操作時間やその他の要因を基に、アタッカーは、短時間でトークンコンテンツを取得し、アカウントを突破し、ユーザー情報を盗むことができる。
したがって、安全性を確保するのは、やはり困難である。
本発明は、現存する従来のパスワードの欠点を解決するために、ワンタイム動的位置認証方法及びシステム並びにワンタイム動的パスワード変更方法を提供する。
前述の技術的な問題を解決するために、本発明の実施形態は、後述の技術的な解決方法を開示する。
ワンタイム動的位置認証方法であって、
認証サーバーがクライアントから認証リクエストを受信するステップと、
位置因子ライブラリから選択される位置因子に基づいて位置因子列を生成し、前記位置因子列及び全要素動的因子テーブルの構造を含む生成される情報を前記クライアントへと送信するステップと、
前記クライアントが、前記生成される情報を受信し、前記全要素動的因子テーブルの前記構造に基づいて前記全要素動的因子テーブルを生成し、前記位置因子列を前記全要素動的因子テーブル内へと配置するステップと、
第1の位置規則に従ってユーザーが入力する動的グラフィカルパスワードを取得し、前記動的グラフィカルパスワードを前記認証サーバーへと送信するステップと、
前記認証サーバーが、前記クライアントから前記動的グラフィカルパスワードを受信し、前記動的グラフィカルパスワードに対応しており解読を通して取得される前記第1の位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するステップと、を含むワンタイム動的位置認証方法。
好ましくは、前記全要素動的因子テーブルの前記構造を決定するステップが、前記認証サーバーと前記クライアントとの間の交渉を通じてなされ、前記全要素動的因子テーブルの前記構造が、外側テーブル形状の構造と、内側テーブル形状の構造とを含む。
好ましくは、前記全要素動的因子テーブルの前記構造を、前記交渉を通じて決定する前記ステップが、前記全要素動的因子テーブルの一定の構造を使用するステップを含む。
好ましくは、前記認証リクエストがユーザーIDを含み、前記ユーザーに対応する前記全要素動的因子テーブルの前記構造が、前記ユーザーIDに基づいて決定される。
好ましくは、前記生成される情報が、内側テーブル変更方法をさらに含み、
前記位置因子列を前記全要素動的因子テーブル内へと配置する前記ステップが、
前記内側テーブル変更方法に基づいて前記位置因子列を前記全要素動的因子テーブル内へと配置するステップを含む。
好ましくは、前記内側テーブル変更方法が、予め設定されているアルゴリズムに基づいて、前記認証サーバーにより決定される。
好ましくは、前記位置因子が、英字、単語、中国語文字、数字、記号、画像又は色を含む。
好ましくは、前記第1の位置規則が、連続的な位置因子の組み合わせ、非連続的な位置因子の組み合わせ、同一の場所で繰り返される位置因子の組み合わせ及び固定文字の組み合わせの内の1つか、又はそれらの任意の組み合わせを含む。
好ましくは、前記生成される情報を前記クライアントへと送信する前記ステップが、
前記認証サーバーが、前記生成される情報を文字形態又は画像形態で前記クライアントへと送信するステップを含む。
好ましくは、前記ワンタイム動的位置認証方法が、前記クライアントが現在のユーザーのユーザーネームを取得するステップと、前記クライアントが前記動的グラフィカルパスワードを現在のユーザーネームとして使用するステップと、をさらに含む。
ワンタイム動的位置認証方法であって、
クライアントが、位置因子ライブラリから選択される位置因子に基づいて位置因子列を生成し、全要素動的因子テーブルの構造に基づいて全要素動的因子テーブルを生成し、前記位置因子列を前記全要素動的因子テーブル内へと配置するステップと、
第1の位置規則に従ってユーザーが入力する動的グラフィカルパスワードを取得し、前記動的グラフィカルパスワードを認証サーバーへと送信するステップと、
前記認証サーバーが、前記クライアントから前記動的グラフィカルパスワードを受信し、前記動的グラフィカルパスワードに対応しており解読を通して取得される前記第1の位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するステップと、を含むワンタイム動的位置認証方法。
好ましくは、位置因子ライブラリから選択される位置因子に基づいて前記位置因子列を生成する前記ステップが、
現在のユーザーが選択する位置因子と、前記全要素動的因子テーブルに含まれる位置因子の全数と、を取得するステップと、
前記選択される位置因子と前記位置因子の全数とに基づいて前記位置因子列を生成するステップと、を含み、
前記位置因子列に同一の位置因子が少なくとも2回存在する。
好ましくは、前記第1の位置規則が、連続的な位置因子の組み合わせ、非連続的な位置因子の組み合わせ、同一の場所で繰り返される位置因子の組み合わせ及び固定文字の組み合わせの内の1つか、又はそれらの任意の組み合わせを含む。
ユーザーに認証を提供する認証サーバーと、前記ユーザーにネットワークログイン及びアクセスを提供するクライアントと、位置因子ライブラリと、を備えるワンタイム動的位置認証システムであって、
前記認証サーバーが、前記クライアントから情報を受信するように構成されている第1の受信ユニットと、前記クライアントに情報を送信するように構成されている第1の送信ユニットと、前記第1の受信ユニット及び前記第1の送信ユニットに接続されている位置因子列生成ユニット、位置規則解読ユニット及びパスワード判断ユニットと、を含み、
前記位置因子列生成ユニットが、位置因子ライブラリから選択される位置因子に基づいて位置因子列を生成するように構成され、前記第1の送信ユニットが、前記位置因子列及び全要素動的因子テーブルの構造を含む生成される情報を前記クライアントへと送信するように構成され、前記位置規則解読ユニットが、第1の位置規則に従ってユーザーが入力する動的グラフィカルパスワードを受信し、前記動的グラフィカルパスワードに対応する前記第1の位置規則を、解読を通して取得するように構成され、
前記パスワード判断ユニットが、前記第1の位置規則が予め設定されている位置規則と一貫しているかどうかを判断し、前記第1の送信ユニットを用いることによって前記クライアントに判断結果を送信するように構成され、
前記クライアントが、前記認証サーバーから情報を受信するように構成されている第2の受信ユニットと、情報を前記認証サーバーへと送信するように構成されている第2の送信ユニットと、前記第2の受信ユニット及び前記第2の送信ユニットに接続されている全要素動的因子テーブル表示ユニット及び動的グラフィカルパスワード生成ユニットと、を含み、
前記全要素動的因子テーブル表示ユニットが、前記位置因子列を前記全要素動的因子テーブル内へと配置するように構成され、
前記動的グラフィカルパスワード生成ユニットが、前記全要素動的因子テーブル内への前記第1の位置規則に従った前記ユーザーの入力に基づいて、前記動的グラフィカルパスワードを生成し、前記動的グラフィカルパスワードを前記第2の送信ユニットによって前記認証サーバーへと送信するように構成されている、ワンタイム動的位置認証システム。
好ましくは、前記第1の受信ユニットと前記第1の送信ユニットの間で、前記認証サーバーが、前記全要素動的因子テーブルの前記構造を前記クライアントと交渉するように構成されている第1の交渉ユニットをさらに含み、
前記第2の受信ユニットと前記第2の送信ユニットの間で、前記クライアントが、前記全要素動的因子テーブルの前記構造を前記サーバーと交渉するように構成されている第2の交渉ユニットをさらに含む。
好ましくは、前記ワンタイム動的位置認証システムが負荷平衡器をさらに含み、前記負荷平衡器が、前記認証サーバーに接続され、受信した認証リクエストの負荷が設定されている負荷閾値よりも大きいかどうかを判断し、前記負荷が前記設定されている負荷閾値よりも大きい場合、最後に受信した認証リクエストを別の認証サーバーへと割り当てるように構成されている。
ワンタイム動的パスワード変更方法であって、
認証サーバーが、パスワード変更リクエストをクライアントから取得するステップと、
全要素動的因子テーブルに基づいて2つの位置因子列を生成し、前記2つの位置因子列を前記クライアントへと1度に送信するステップと、
前記クライアントが、前記2つの位置因子列を受信し、前記2つの位置因子列を複数の前記全要素動的因子テーブル内へとそれぞれ配置し、ユーザーによって入力される第1の動的グラフィカルパスワードを第1の全要素動的因子テーブルから第1の位置規則に従って取得し、前記ユーザーによって入力される第2の動的グラフィカルパスワードを第2の全要素動的因子テーブルから第2の位置規則に従って取得し、前記第1の動的グラフィカルパスワード及び前記第2の動的グラフィカルパスワードを前記認証サーバーへと送信するステップと、
前記認証サーバーが、前記クライアントから前記2つの動的グラフィカルパスワードを受信し、前記2つの動的グラフィカルパスワードに対応しており解読を通して取得される前記第1の位置規則及び前記第2の位置規則が同一である場合、前記第1の位置規則又は前記第2の位置規則を新しい動的グラフィカルパスワードとして使用し、パスワード変更を成功と示すか、又はそうでない場合はパスワード変更を失敗と示すステップと、
前記クライアントが、前記認証サーバーが送信するパスワード変更成功又は失敗の結果を受信するステップと、を含むワンタイム動的パスワード変更方法。
好ましくは、前記認証サーバーが、変更前のパスワードと、前記第1の動的グラフィカルパスワードと、前記第2の動的グラフィカルパスワードとを取得する工程が、
まず前記認証サーバーが、前記変更前のパスワードを前記クライアントから取得し、前記変更前のパスワードが予め設定されているパスワードと同じ場合、次に前記第1の動的グラフィカルパスワード及び前記第2の動的グラフィカルパスワードを取得するステップか、
又は前記認証サーバーが、前記変更前のパスワードと、前記第1の動的グラフィカルパスワードと、前記第2の動的グラフィカルパスワードとを前記クライアントから同時に取得するステップか、を含む。
ワンタイム動的位置認証方法であって、
クライアントが全要素動的因子テーブルの構造を取得するステップと、
前記全要素動的因子テーブルの前記構造に基づいて、位置因子ライブラリから位置因子を選択し、位置因子列を生成するステップと、
ユーザーが、前記位置因子列に基づいて生成される前記全要素動的因子テーブルに基づいて動的グラフィカルパスワードを入力し、前記動的グラフィカルパスワードと前記全要素動的因子テーブルの情報とを含む認証情報を認証サーバーへと送信するステップと、
前記認証サーバーが、前記クライアントから前記動的グラフィカルパスワードを受信し、前記動的グラフィカルパスワードに対応しており解読を通して取得される位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するステップと、を含むワンタイム動的位置認証方法。
好ましくは、クライアントが前記全要素動的因子テーブルの前記構造を取得する前記ステップが、
前記クライアントが、認証リクエストを前記認証サーバーへと送信するステップと、
前記認証サーバーが、前記認証リクエストに基づいて前記全要素動的因子テーブルの前記構造を決定し、前記全要素動的因子テーブルの前記構造を前記クライアントへと送信するステップと、を含む。
ネットワークアクセスユーザーに認証サービスを提供する認証サーバーと、ネットワークを通じて前記認証サーバーに接続され、前記ネットワークアクセスユーザーにネットワークログイン及びアクセスを提供するクライアントと、を備えるワンタイム動的位置認証システムであって、
前記クライアントが、動的因子テーブル構造取得ユニットと、情報処理ユニットと、前記認証サーバーへと情報を送信するように構成されている第1の送信ユニットと、を含むクライアントであって、
前記動的因子テーブル構造取得ユニットが、全要素動的因子テーブルの構造を取得するように構成され、
前記情報処理ユニットが、前記全要素動的因子テーブル構造に基づいて位置因子ライブラリから位置因子を選択し、位置因子列を生成するように構成され、前記位置因子列に基づいて生成される全要素動的因子テーブルに基づいて動的グラフィカルパスワードを前記ネットワークアクセスユーザーによって入力され、
前記第1の送信ユニットが、前記動的グラフィカルパスワードと前記全要素動的因子テーブルの情報とを含む認証情報を前記認証サーバーへと送信するように構成され、
前記認証サーバーが、前記クライアントから情報を受信するように構成されている第1の受信ユニットと、位置規則解読ユニットと、パスワード判断ユニットと、を含む認証サーバーであって、
前記位置規則解読ユニットが、前記動的グラフィカルパスワードに対応する位置規則を、解読を通して取得するように構成され、
前記位置規則判断ユニットが、前記動的グラフィカルパスワードに対応する前記位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するように構成されている、ワンタイム動的位置認証システム。
ワンタイム動的位置認証方法であって、
クライアントが、全要素動的因子テーブルの構造を取得するステップと、
前記動的因子テーブル構造に基づいて位置因子ライブラリから位置因子を選択し、第1の位置因子列を生成するステップと、
ユーザーが、前記第1の位置因子列に基づいて生成される第1の全要素動的因子テーブルに基づいて動的グラフィカルパスワードを入力し、前記動的グラフィカルパスワードを含む認証情報を認証サーバーへと送信するステップと、
前記認証サーバーが、前記クライアントが送信する前記認証情報を受信するステップと、
前記第1の全要素動的因子テーブルと同じ、第2の全要素動的因子テーブルを生成するステップと、
前記第2の全要素動的因子テーブルに基づいて前記動的グラフィカルパスワードを解読し、前記動的グラフィカルパスワードに対応しており解読を通して取得される位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するステップと、を含むワンタイム動的位置認証方法。
ネットワークアクセスユーザーに認証サービスを提供する認証サーバーと、ネットワークを通じて前記認証サーバーに接続され、前記ネットワークアクセスユーザーにネットワークログイン及びアクセスを提供するクライアントと、を備えるワンタイム動的位置認証システムであって、
前記クライアントが、動的因子テーブル構造取得ユニットと、情報処理ユニットと、前記認証サーバーへと情報を送信するように構成されている第1の送信ユニットと、を含むクライアントであって、
前記動的因子テーブル構造取得ユニットが、全要素動的因子テーブルの構造を取得するように構成され、
前記情報処理ユニットが、前記全要素動的因子テーブル構造に基づいて位置因子ライブラリから位置因子を選択し、第1の位置因子列を生成するように構成され、前記第1の位置因子列に基づいて生成される第1の全要素動的因子テーブルに基づいて動的グラフィカルパスワードを前記ネットワークアクセスユーザーによって入力され、
前記第1の送信ユニットが、前記動的グラフィカルパスワードを含む認証情報を前記認証サーバーへと送信するように構成され、
前記認証サーバーが、前記クライアントから情報を受信するように構成されている第1の受信ユニットと、動的因子テーブル生成ユニットと、位置規則解読ユニットと、位置規則判断ユニットと、を含む認証サーバーであって、
前記動的因子テーブル生成ユニットが、前記第1の全要素動的因子テーブルと同じ、第2の全要素動的因子テーブルを生成するように構成され、
前記位置規則解読ユニットが、前記第2の全要素動的因子テーブルに基づいて前記動的グラフィカルパスワードを解読し、前記動的グラフィカルパスワードに対応する位置規則を取得するように構成され、
前記位置規則判断ユニットが、前記動的グラフィカルパスワードに対応する前記位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するように構成されている、ワンタイム動的位置認証システム。
ワンタイム動的パスワード変更方法であって、
クライアントが全要素動的因子テーブルの構造を取得するステップと、
前記全要素動的因子テーブル構造に基づいて、位置因子ライブラリから位置因子を選択し、2つの位置因子列を生成するステップと、
ユーザーが、前記2つの位置因子列に基づいて生成される2つの全要素動的因子テーブルに基づいて2つの動的グラフィカルパスワードを入力し、前記2つの動的グラフィカルパスワードと前記2つの全要素動的因子テーブルの情報とを含むパスワード変更情報を認証サーバーへと送信するステップと、
前記認証サーバーが、前記2つの動的グラフィカルパスワードを前記クライアントから受信し、前記2つの動的グラフィカルパスワードに対応する第1の位置規則及び第2の位置規則を前記2つの全要素動的因子テーブルの情報に基づいて解読を通して取得し、前記第1の位置規則及び前記第2の位置規則が同一である場合、前記第1の位置規則又は前記第2の位置規則を新しい動的グラフィカルパスワードとして使用し、パスワード変更を成功と示すか、又はそうでない場合はパスワード変更を失敗と示すステップと、
前記クライアントが、前記認証サーバーが送信するパスワード変更成功又は失敗の結果を受信するステップと、を含むワンタイム動的パスワード変更方法。
ワンタイム動的パスワード変更方法であって、
クライアントが全要素動的因子テーブルの構造を取得するステップと、
前記全要素動的因子テーブルの前記構造に基づいて、位置因子ライブラリから位置因子を選択し、2つの第1の位置因子列を生成するステップと、
ユーザーが、前記2つの第1の位置因子列に基づいて生成される2つの第1の全要素動的因子テーブルに基づいて2つの動的グラフィカルパスワードを入力し、前記2つの動的グラフィカルパスワードを含むパスワード変更情報を認証サーバーへと送信するステップと、
前記認証サーバーが、前記クライアントが送信する前記パスワード変更情報を受信するステップと、
前記2つの第1の全要素動的因子テーブルと同じ、2つの第2の全要素動的因子テーブルを生成するステップと、
前記2つの動的グラフィカルパスワードに対応する第1の位置規則及び第2の位置規則を前記2つの第2の全要素動的因子テーブルに基づいて解読を通して取得し、前記第1の位置規則及び前記第2の位置規則が同一である場合、前記第1の位置規則又は前記第2の位置規則を新しい動的グラフィカルパスワードとして使用し、パスワード変更を成功と示すか、又はそうでない場合はパスワード変更を失敗と示すステップと、
前記クライアントが、前記認証サーバーが送信するパスワード変更成功又は失敗の結果を受信するステップと、を含むワンタイム動的パスワード変更方法。
上述の技術的な解決方法から理解可能なように、本発明の実施形態で提供されるワンタイム動的位置認証方法及びシステム並びにワンタイム動的パスワード変更方法は、後述のような有益な効果を有する。
1、認証の間、ユーザーが全要素動的因子テーブルに基づいて位置規則に従って動的グラフィカルパスワードを入力する。
動的グラフィカルパスワードは動的パスワードをグラフィカルパスワードと組み合わせ、新しいパスワードを形成するものである。
新しいパスワードは動的パスワードの多様性を有するだけでなく、画像も有し、グラフィカルパスワードを覚え易くしている。
さらに、グラフィカルパスワードが単純な形態であり、変化しないという欠点と、動的パスワードに基づく認証には携帯電話、ベースステーション、ハードウェア又は他のメディアを使う必要があるという欠点を回避している。
2、本実施形態によって提供される全要素動的因子テーブルは、外側テーブル形状の構造と、内側テーブル形状の構造とを含み、全要素動的因子テーブルの構造は、ユーザーの要求によって変化してもよい。
さらに、複数の内側テーブルの形状構造だけでなく、互いの内側テーブル内の位置因子が変更可能であるため、動的グラフィカルパスワードを入力する度毎に、異なる全要素動的因子テーブルが表示される。
したがって、パスワードの入力を故意に封鎖的にする必要がなく、傍受に対して免疫がある。
たとえ動的グラフィカルパスワードが傍受される場合でも、傍受された動的グラフィカルパスワードによって位置規則はなお突破され得ず、したがってユーザー情報を保護することができる。
3、位置因子ライブラリ内の位置因子の種類には、英字、単語、中国語文字、数字、記号、画像、色などが含まれ、全要素動的因子テーブルの無作為性及び偽造防止性能が向上する。
ユーザーが設定する動的グラフィカルパスワードには、連続的な位置因子の組み合わせ、非連続的な位置因子の組み合わせ、同一の場所での位置因子の繰り返し、従来の固定文字、及びそれらの任意の組み合わせが含まれる。
したがって、動的グラフィカルパスワードの柔軟性及び多様性はさらに向上し、動的グラフィカルパスワードは、低い繰り返し率及び高い複雑性を有するようになり、入力された動的グラフィカルパスワードを突破することはより困難になる。
4、クライアントは、ユーザーが入力し、特定の位置規則を有する動的グラフィカルパスワードをユーザーパスワードとして使用する。
それにより、現在の固定文字のパスワード又はグラフィカルパスワードと比較すると覚え易くなる。
さらに、従来の固定パスワードは過度な制限のためにユーザー体験が乏しくなるという問題が解決される。
本発明に従って提供されるワンタイム動的位置認証方法では、動的グラフィカルパスワードを生成するために、パスワードを設定する権利がユーザーに与えられ、位置規則はユーザーが自由に設定可能である。
したがって、ユーザーがパスワードを忘れる問題が回避され、ユーザー体験が向上する。
5、クライアントとサーバーの間の送信は、安全なSSL(セキュアソケットレイヤ:Secure Sockets Layer)通信リンクを通じてなされ、送信されるデータは暗号化されたデータである。
さらに、全要素動的因子テーブル及び入力された動的グラフィカルパスワードは毎回変化する。
したがって、入力された動的グラフィカルパスワードが傍受される場合でも、ユーザーの実際の位置グラフィックは、なお突破され得ない。
それにより、動的グラフィカルパスワードは傍受及び突破に対して免疫があり、高い偽造防止性能及び安全性を有することが可能である。
6、ユーザーが入力する動的グラフィカルパスワードは、いかなるハードウェア端末装置に対しても独立しているソフトウェアによって実施される。
それによりパスワード管理に関連する購入及び管理費を削減し、コストを大幅に節約し、外部ハードウェア端末装置の損失、失敗、損傷又は他の問題から生じるシステムの安全の脅威を効率的に回避する。
さらに、ハードウェア端末装置の使用の制限も効率的に回避され、パスワード認証をPC又はモバイル端末上の様々なプラットフォームで自由に、時間や場所のような物理的な外部状況の制約無しに、行うことができる。
7、本発明に従って提供されるワンタイム動的パスワード変更方法では、2つの位置規則が同じであると認証サーバーが判断する際のみ、パスワード変更は成功する。
2つの動的グラフィカルパスワードの入力に対応する全要素動的因子テーブルが異なるので、2つの動的グラフィカルパスワードもまた異なっている。
結果として、動的グラフィカルパスワードは、盗まれたり傍受されたりする際でさえ、突破されないであろう。
以前のパスワード変更方法と比較して、本開示にかかるパスワード変更方法は、高い安全性と偽造防止性能を有する。
本発明をより明確に説明するために、実施形態の説明に必要な添付の図面が、下記に簡単に説明される。
明らかに、当業者は創造的な努力をすることなく、これらの添付の図面から他の図面をさらに見出すことができる。
図1は、本発明の1実施形態による、ワンタイム動的位置認証システムを示す概略の構造図である。
図2は、本発明の1実施形態による、ワンタイム動的位置認証方法のフローチャートである。
図3は、本発明の1実施形態による、英字の位置因子を有する全要素動的因子テーブルを示す概略図である。
図4は、本発明の1実施形態による、数字の位置因子を有する全要素動的因子テーブルを示す概略図である。
図4Aは、本発明の1実施形態による、数字と英字とが混在する位置因子を有する全要素動的因子テーブルを示す概略図である。
図5は、本発明の1実施形態による、内側テーブル及び外側テーブルを有する全要素動的因子テーブルを示す概略図である。
図6は、本発明の1実施形態による、規則的な外側テーブルを有する全要素動的因子テーブルを示す概略図である。
図7は、本発明の1実施形態による、変則的な外側テーブルを有する全要素動的因子テーブルを示す概略図である。
図8は、本発明の1実施形態による、規則的な内側テーブルを有する全要素動的因子テーブルを示す概略図である。
図9は、本発明の1実施形態による、変則的な内側テーブルを有する全要素動的因子テーブルを示す概略図である。
図10A及び図10Bは、本発明の1実施形態による、位置規則と位置規則に対応するワンタイム認証方法とを示す概略図である。
図11は、本発明の1実施形態による、連続的な位置因子を組み合わせている位置規則を示す概略図である。
図12A、図12B及び図12Cは、本発明の1実施形態による、非連続的な位置因子を組み合わせている3つの位置規則の概略図である。
図13は、本発明の1実施形態による、同一の場所で繰り返される位置因子を組み合わせている位置規則を示す概略図である。
図14は、本発明の1実施形態による、固定文字を組み合わせている位置規則を示す概略図である。
図15A及び図15Bは、本発明の1実施形態による、分散している位置因子を組み合わせている2つの位置規則を示す概略図である。
図16は、本発明の1実施形態による、複数の形態を組み合わせている位置規則を示す概略図である。
図17は、本発明の1実施形態による、全要素動的因子テーブル内の内側テーブルの、時計回りの回転変更を示す概略図である。
図18は、本発明の1実施形態による、全要素動的因子テーブル内の内側テーブルの、反時計回りの回転変更を示す概略図である。
図19は、本発明の1実施形態による、全要素動的因子テーブル内の内側テーブルの無作為な回転変更を示す概略図である。
図20A及び図20Bはそれぞれ、変更前のモードの内側テーブル形態を有する全要素動的因子テーブルと、クライアント上に表示される変更後の内側テーブル形態を有する全要素動的因子テーブルと、を示す。
図21A及び図21Bはそれぞれ、変更前のモードの内側テーブル形態を有する別の全要素動的因子テーブルと、クライアント上に表示される変更後の内側テーブル形態を有する別の全要素動的因子テーブルと、を示す。
図22は、本発明の1実施形態による、別のワンタイム動的位置認証方法の部分的なフローチャートである。
図23は、本発明の1実施形態による、ワンタイム動的位置認証システムを示す構造ブロック図である。
図24は、本発明の1実施形態による、別のワンタイム動的位置認証システムを示す構造ブロック図である。
図25は、本発明の1実施形態による、大量のアクセスデータのためのワンタイム動的位置認証システムを示す概略構造図である。
図26は、本発明の1実施形態による、さらに別のワンタイム動的位置認証方法のフローチャートである。
図27は、本発明の1実施形態による、さらに別のワンタイム動的位置認証システムを示す構造ブロック図である。
図28は、本発明の1実施形態による、さらに別のワンタイム動的位置認証方法のフローチャートである。
図29は、本発明の1実施形態による、さらに別のワンタイム動的位置認証システムを示す構造ブロック図である。
図30は、本発明の1実施形態による、ワンタイム動的パスワード変更方法のフローチャートである。
図31は、本発明の1実施形態による、別のワンタイム動的パスワード変更方法のフローチャートである。
当業者が本発明をより理解するために、本発明は、添付の図面を本発明の実施形態と併せて参照することにより、明確にかつ完全に説明される。
図1は、1実施形態によるワンタイム動的位置認証システムを示す概略の構造図である。
図1に示されるように、ワンタイム動的位置認証システムは、クライアントと、認証サーバーと、データベースとを含んでいる。
認証サーバーは、データベースを含んでいる。
データベースは、位置因子ライブラリを含んでいる。
あるいは、位置因子ライブラリは、属性ファイルに格納されている。
位置因子ライブラリは、位置因子を格納するように構成されており、かつ、全要素動的因子テーブルを生成する要素の組である。
位置因子ライブラリは、英字、単語、中国語文字、数字、記号、画像、色などのような、異なる種類の位置因子を含んでいる。
サーバーは、クライアントからの登録リクエストに基づいて、1つ以上の種類の位置因子を選ばれた位置因子として選択してもよい。
サーバーは、ユーザーIDを格納するように構成されているメモリを更に含んでいる。
サーバーとクライアントの間の有線又は無線送信を含む送信は、ネットワークを介して行われる。
特に、クライアントとサーバーの間の送信は、SSL(セキュアソケットレイヤ:Secure Sockets Layer)プロトコルに基づいた通信リンクによって行われる。
これにより、安全な情報通信が確保される。
あるいは、サーバー及びクライアントは、インターネットの代わりに専用ラインを介して接続されていてもよい。
さらに、本実施形態に記載のクライアントは、端末装置を含んでいてもよく、特に、モバイル端末、ノートパソコン、PC、パームトップ型コンピュータなどを含んでいてもよい。
上述の端末は、網羅的ではなく単なる例であり、クライアントには、上述の端末が含まれていてもよいが、これらに限定されない。
ワンタイム動的位置認証方法は、図2に関連して完全に説明される。
図2に示されるように、認証方法は、後述のステップを含んでいる。
ステップS201:クライアントが、認証リクエストを認証サーバーへと送信する。
この認証リクエストは、ユーザー情報を含んでいても含んでいなくてもよい。
認証リクエストがユーザー情報を含んでいる場合、ユーザー情報とは、特に、ユーザーネーム、アカウント、ログインIDなどのような、システムの1ユーザーに固有の識別子の名称である。
ステップS101:認証サーバーが、クライアントが送信する認証リクエストを受信する。
認証サーバーは、ネットワークとSSLプロトコルを介してクライアントと通信し、クライアントからサービスリクエストを受信する。
ステップS102:認証サーバーが、位置因子ライブラリから位置因子を選択し、位置因子列を生成する。
認証サーバーは、特別な暗号化アルゴリズムを用いて位置因子列を生成してもよい。
位置因子列は、全要素動的因子テーブル内の位置因子として用いられる。
全要素動的因子テーブルは、プロンプトのための表示モードであり、選択された位置因子及び位置因子によって形成される。
全要素動的因子テーブル内の位置因子は、位置因子ライブラリから選択される位置因子であり、自由に変更することができ、固定されていない。
図3は、全要素動的因子テーブルを示す概略図である。
テーブル内で、選択された全ての位置因子は、英字である。
図4は、別の全要素動的因子テーブルを示す概略図である。
テーブル内で、選択された全ての因子は、アラビア数字である。
位置因子は、英字、単語、中国語文字、数字及び記号の内の1つ又は組み合わせをさらに含む。
図4Aに示されるように、全要素動的因子テーブルには、英字と数字の組み合わせが含まれ、全要素動的因子テーブルの複雑さ及び多様性をさらに高めることができ、それにより突破がより困難になる。
さらに、図5に示されるように、全要素動的因子テーブルの構造には、外側テーブルの形状構造及び内側テーブルの形状構造が含まれる。
さらに、全要素動的因子テーブルの構造は、全要素動的因子テーブルの困難係数と同様に、認証サーバーとクライアントの間の交渉を通して決定されてもよい。
例えば、図3から図5に示されるように、ユーザーが選択する位置因子は、6×6の位置因子表示モード内に入る。
例として、6桁パスワードを挙げると、単一型の位置因子における位置グラフィックの組み合わせの数は、36の6乗である。
10桁のパスワードを使用にあたり選択する場合、パスワードの突破可能性は、3.656158×10の15乗分の1(つまり、36の10乗分の1)である。
位置因子として固定文字の組み合わせを用いる場合、突破の可能性は、さらに低くなるであろう。
あるいは、9×9の位置因子表示モードが選択されてもよい。
位置因子がより増えるにつれ、パスワードの複雑性と安全性は、より高くなる。
実施可能な好ましい解決方法において、クライアントと認証サーバーは、交渉を通して全要素動的因子テーブルを決定してもよい。
特に、認証サーバーは、システムレベル又はユーザーレベルの方法で、全要素動的因子テーブルを生成してもよい。
システムレベルの方法では、認証リクエストを受信後、認証サーバーは、全要素動的因子テーブルの予め設定されている構造と、全要素動的因子テーブルを生成するための他のパラメータ情報と、を選択し、位置因子列を生成する。
ユーザーレベルの方法では、認証サーバーは、ユーザーレベル設定指示をユーザーから受け取り、ユーザーレベル設定指示に基づいて、全要素動的因子テーブルを生成するアイテム情報のプロンプトをクライアントへと送信する。
クライアントは、アイテム情報の指示完了後、アイテム情報を認証サーバーへと送信する。
そして、認証サーバーは、アイテム情報を受信し、アイテム情報に基づいて位置因子列を生成する。
具体的には、ユーザーレベルの設定工程におけるアイテム情報には、全要素動的因子テーブルの外側テーブル構造及び内側テーブル構造、内側テーブルの数並びに内側テーブル内の位置因子が含まれる。
例えば、クライアントから認証リクエストを受信した後、認証サーバーは、設定アイテムリストをクライアントへと送信する。
設定アイテムリストには、外側テーブル構造は、規則的な形状かどうか、内側テーブル構造は、規則的な形状かどうか、内側テーブルの数、内側テーブルの位置因子の種類等についての選択肢が含まれている。
ユーザーが、好みに基づいてクライアント上のリストを記入した後、記入完了信号指示が、認証サーバーへと送信される。
記入完了信号指示の受信後、認証サーバーは、全要素動的因子テーブルの構造を生成するためのパラメータ情報を選択し、位置因子列を決定する。
本実施形態において、パスワードの信頼性を確保するために、ユーザーは、動的グラフィカルパスワードを入力する必要がある。
したがって、認証サーバーは、位置因子列をそれに対応するように生成する。
数式、ランダムな順列組み合わせ又は設定された統一アルゴリズムを含む特別なアルゴリズムを用いてもよい。
具体的には、例えば、クライアントとサーバーとの間の交渉を通じてユーザーに選ばれる位置因子は、数字のみであり、全要素動的因子テーブルの外側テーブル構造及び内側テーブル構造は、共に規則的な構造であり、外側テーブルは、4つの3×3の内側テーブルを含み、各内側テーブルは9つの位置因子を含む。
外側テーブル構造、内側テーブル構造、外側テーブル構造パラメータ及び内側テーブル構造パラメータに基づいて位置因子ライブラリからサーバーによって選択される位置因子は、アラビア数字すなわち0から9である。
6×6を例にとると、選択される位置因子は、アラビア数字であり、サーバーにより生成される各位置因子列は、36個の数字を含んでいる。
36個の数字からなる位置因子列をサーバーから受信した後、クライアントは、全要素動的因子テーブルの構造に基づいて、位置因子列の数字を全要素動的因子テーブル内へと配置する。
ステップS102において、全要素動的因子テーブルの構造には、外側テーブル形状の構造及び内側テーブル形状の構造が含まれる。
図5に示されるように、外側テーブルは、少なくとも1つの内側テーブルを含み、各内側テーブルは、複数の位置因子を含んでいる。
外側テーブルは、全要素動的因子テーブルの物理的な外側形状であるだけでなく、様々な内側テーブルを含んでおり、テーブルの外見を有する構想テーブルでもある。
さらに、外側テーブルの形状は、固定されておらず、図6に示されるように規則的な形状であってもよいし、図7に示されるように変則的な形状であってもよい。
内側テーブルは、全要素動的因子テーブル内で別個に分割されたサブテーブルであり、様々なモードで形成されていてもよい。
図8及び図9に示されるように、内側テーブルは、規則的な形状の組み合わせであっても、変則的な形状の組み合わせであってもよく、規則的及び変則的な形状の内側テーブルがそれぞれ示されている。
外側テーブル及び内側テーブルの具体的な形状は、サーバーとクライアントの間の交渉を通して決定されてもよいし、又は、サーバーが予め設定されているプログラムによって位置因子列を自動的に生成する。
位置因子列は、全要素動的因子テーブルの内容から変換されたデータ文字列である。
ユーザーは、全要素動的因子テーブルの無作為性及び独自性を高める、異なる全要素動的因子テーブルを設定するのが望ましい。
さらに、異なるユーザーは、異なる好みを有するので、サーバーは、ユーザーの好みに基づいて異なる位置因子を選択し、異なる全要素動的因子テーブルが生成される。
生成される情報は、文字形態又は画像形態でクライアントへと送信されてもよい。
図2に示されるようにその方法は、後述のステップをさらに含む。
ステップS103:位置因子列及び全要素動的因子テーブルの構造を含む生成される情報をクライアントへと送信する。
ステップS202:サーバーが送信する、生成される情報をクライアントが受信する。
ステップS203:認証サーバーからの位置因子列に基づいて、全要素動的因子テーブルを生成する。
ユーザー認証の間、クライアントは、全要素動的因子テーブルに基づいて動的グラフィカルパスワードを入力し、パスワードとして用いられる位置グラフィックを確認する必要がある。
したがって、クライアントは、最初に動的グラフィカルパスワードリクエスト、すなわち、認証リクエスト、を認証サーバーへと送信し、認証サーバーに位置因子列を生成するよう指示を出す必要があり、クライアントは、認証サーバーから返信される生成された情報を受信した後にのみ、全要素動的因子テーブルを生成可能である。
クライアントは、全要素動的因子テーブルの外側テーブル構造及び内側テーブル構造と、位置因子ライブラリから選択される位置因子に基づいて生成される位置因子列と、に基づいて全要素動的因子テーブルを生成する。
図10に示されるように、ステップS102で生成される位置因子列は、全要素動的因子テーブル内へと配置され、各位置因子は、全要素動的因子テーブル内で少なくとも2回存在する。
それは、突破の可能性を低減させ、全要素動的因子テーブル内の位置因子の無作為性と偽造防止性能を向上させるためである。
全要素動的因子テーブルを表示する際、クライアントは、いかなる追加のプラグイン、例えば、アクティブエックス(Active X)、もロードしたりインストールしたりする必要はない。
実施形態において、複数のプラットフォーム間の高い互換性が提供され、全要素動的因子テーブルを表示できないという欠点を回避している。
それにより、ユーザー体験が改善される。
全要素動的因子テーブル内へと配置される要素は、明確に識別可能であり、現在の一般的な認証コードと比較するとより認識しやすく、パスワード入力をより便利にしている。
ステップS204:ユーザーは、全要素動的因子テーブルに基づいて動的グラフィカルパスワードを入力する。
具体的には、既に設定されている位置規則、例えば、第1の位置規則、に従って、ユーザーは第1の位置規則に対応するポイントに対応する位置因子(又は要素)を動的グラフィカルパスワードとして用いる。
動的グラフィカルパスワードは、第1の位置規則に従って全要素動的因子テーブル内の位置因子によって形成される。
図10A及び図10Bは、ユーザーが入力する第1の位置規則と、第1の位置規則に従って入力される動的グラフィカルパスワードに対応する動的要素(又は位置因子)をそれぞれ示す。
この実施形態において、認証方法は、単一要素モードとして定義される。
単一要素モードとは、全要素動的因子テーブルが表示されるたびに、内部の位置因子が変化することを意味している。
ステップS205:ユーザーの入力が完了した後、クライアントは、ユーザーが入力した動的グラフィカルパスワードを認証サーバーへと送信する。
ステップS104:認証サーバーは、クライアントが送信した動的グラフィカルパスワードを受信する。
ステップS105:認証サーバーは、動的グラフィカルパスワードを解読することで第1の位置規則を取得し、第1の位置規則を予め設定されている位置規則と比較し、ステップS106へと進む。
ステップS106:動的グラフィカルパスワードに対応しており解読を通して取得される第1の位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断する。
予め設定されている位置規則とは、ユーザーが最初のログインで登録した動的グラフィカルパスワードに対応する位置規則である。
ユーザーが最初の登録の間に設定する、つまり、予め設定されている位置規則は、位置規則データベース又は他の属性ファイルに格納される。
ステップS105において、第1の位置規則が予め設定されている位置規則と同一か又は一貫しているかどうかを判断するとは、全要素動的因子テーブル内の第1の位置規則及び予め設定されている位置規則の動作軌跡が同一かどうかを判断することを意味する。
各全要素動的因子テーブルにおいて、各位置因子は、1つの座標位置に対応し、サーバーは、位置規則に対応する座標位置を識別することにより、ユーザーが入力する動的グラフィカルパスワードの動作軌跡を取得することができる。
これは、2つの動作軌跡に対応する第1の位置規則及び予め設定されている位置規則のそれぞれが同一であるかを判断するためである。
ユーザーが入力する第1の位置規則及び予め設定されている位置規則の動作軌跡が同一であると判断される場合、認証は、成功である。
その他の場合、認証はステップS107に進む。
ステップS107:クライアントからの動的グラフィカルパスワードに対応する第1の位置規則が、予め設定されている位置規則と一貫していないか又は異なっている場合、認証を失敗と判断し、認証サーバーは、ステップS108に進む。
ステップS108:認証サーバーは、上述の判断の後に認証結果を生成し、クライアントへ認証結果を送信する。
認証結果は、認証成功か認証失敗かのいずれかを含む。
ステップS206:クライアントは、認証サーバーが送信する認証結果を受信し、認証が成功の場合、対象システムへと進み、ユーザーオペレーションを実行する。
又は、受信した認証結果が失敗を示す場合、クライアントは、認証が失敗し再認証が必要であることをユーザーに示すフィードバックメッセージを提供する。
本実施形態に従って提供される、ワンタイム動的位置認証方法は、後述の有益な効果を有している。
1、認証の間、ユーザーが、全要素動的因子テーブルに基づいて位置規則に従って動的グラフィカルパスワードを入力する。
動的グラフィカルパスワードは、動的パスワードをグラフィカルパスワードと組み合わせ、新しいパスワードを形成するものである。
新しいパスワードは、動的パスワードの多様性を有するだけでなく、画像も有し、グラフィカルパスワードを覚え易くしている。
さらに、グラフィカルパスワードが単純な形態であり、変化しないという欠点と、動的パスワードに基づく認証には携帯電話、ベースステーション、ハードウェア又は他のメディアを使う必要があるという欠点を回避している。
2、クライアントは、ユーザーが入力し、特定の位置規則を有する動的グラフィカルパスワードをユーザーパスワードとして使用する。
それにより、現在の固定文字のパスワード又はグラフィカルパスワードと比較すると覚え易くなる。
さらに、従来の固定パスワードは、過度な制限のためにユーザー体験が乏しくなるという問題が解決される。
この方法に従って提供されるワンタイム動的位置認証方法では、動的グラフィカルパスワードを生成するために、パスワードを設定する権利がユーザーに与えられ、位置規則はユーザーが自由に設定可能である。
その結果として、ユーザーは、暗記によって固定パスワードを覚える必要がなく、そのためユーザー体験が向上する。
3.クライアントとサーバーの間の送信は、安全なSSL通信リンクを通じてなされ、送信されるデータは暗号化されたデータである。
さらに、全要素動的因子テーブル及び入力された動的グラフィカルパスワードは、例えば、OTP(ワンタイムパスワード)モードにより、毎回変化する。
したがって、入力される動的グラフィカルパスワードが傍受される場合でも、ユーザーの実際の位置グラフィックは、なお突破され得ない。
その結果として、動的グラフィカルパスワードは、盗み見及び傍受に対して免疫があり、突破を困難にすることが可能である。
これにより、識別認証の安全性が改善される。
4、ユーザーが入力する動的グラフィカルパスワードは、いかなる、ハードウェア端末装置に対しても独立しているソフトウェアによって実施される。
それにより、パスワード管理に関連する購入及び管理費を削減し、コストを大幅に節約し、外部ハードウェア端末装置の損失、失敗、損傷又は他の問題から生じるシステムの安全の脅威を効率的に回避する。
さらに、ハードウェア端末装置の使用の制限も効率的に回避され、パスワード認証をPC又はモバイル端末上の様々なプラットフォームで自由に、時間や場所のような物理的な外部状況の制約無しに、行うことができる。
上述の実施形態で実施される好ましい解決方法では、全要素動的因子テーブルの無作為性と偽造防止性能をさらに向上させるために、別のワンタイム動的位置認証方法が本発明に従って提供されている。
その方法は、上述の方法の実施形態の全てのステップを含んでおり、異なる点は、ステップS204においてユーザーが入力する動的グラフィカルパスワードに対応する第1の位置規則が、連続的な位置因子の組み合わせ、非連続的な因子の組み合わせ、同一の場所で繰り返される位置因子の組み合わせ及び固定文字の組み合わせの内の1つを含むか、それらの任意の組み合わせを含んでいる点である。
図11は、連続的な位置因子を組み合わせている(連続的な)位置規則を示しており、全ての位置因子は連続している。
図12Aから図12Cは、非連続的な位置因子を組み合わせている非連続的な位置規則を示しており、動的グラフィカルパスワード内の位置因子は、非連続的であり、それらの間には飛びがある。
図13は、同一の場所で繰り返される位置因子を組み合わせている、すなわち、繰り返される単一の位置因子を組み合わせている、(単一ポイントの)位置規則を示している。
図14は、固定文字を組み合わせている位置規則を示している。
図14に示されるように、動的グラフィカルパスワードは、ユーザーが予め設定している「China_NO.1」という固定文字を含んでいる。
さらに、図15A及び図15Bに示されるように、位置規則は分散している位置因子の組み合わせをさらに含む。
動的グラフィカルパスワードは、1つ以上の上述の位置規則の組み合わせに基づいていてもよい。
例えば、図16に示されるように、動的グラフィカルパスワードは、連続的な位置因子、非連続的な位置因子及び固定文字の組み合わせである、「168China431NO.1」である。
位置因子には、英字、単語、中国語文字、数字、記号、画像、色等が含まれる。
さらに、全要素動的因子テーブルの各位置因子は、1文字以上であってもよい。
各因子は、0から9の1文字であってもよく、10から99の2文字でもよく、AIUからEGFまでの3文字であってもよい。
文字が増えるにつれて、パスワードの複雑性は、増し、突破が困難になる。
本実施形態に従って提供されるワンタイム動的位置認証方法において、位置因子ライブラリの位置因子の種類には、英字、単語、中国語文字、数字、記号、画像、色等が含まれる。
これにより、全要素動的因子テーブルの無作為性と偽造防止性能が向上する。
ユーザーが設定する動的グラフィカルパスワードには、連続的な位置因子の組み合わせ、非連続的な因子の組み合わせ、同一の場所での位置因子の繰り返し、従来の固定文字及びそれらの任意の組み合わせが含まれる。
したがって、動的グラフィカルパスワードの柔軟性及び多様性は、さらに向上し、動的グラフィカルパスワードの繰り返し回数は下がり、複雑性が増す。
これにより、入力される動的グラフィカルパスワードの突破は、さらに困難になる。
さらに、動的グラフィカルパスワードの複雑性及び偽造防止性能をさらに向上させるために、ユーザーが全要素動的因子テーブルに基づいてパスワードを設定する際、全要素動的因子テーブルに基づいてユーザーが入力する位置規則又は第1の位置規則には、動作メカニズムが含まれる。
動作メカニズムの観点での解読を通して取得される規則には、後述のいくつかのモードが含まれる。
a)(図13で示されるように)同一の場所のポイント又は1つのポイントが繰り返し選択される、単一ポイントモード。
b)(図15A及び図15Bで示されるように)全要素動的因子テーブル内の全ての位置ポイントが分散している、分散モード。
c)(図11で示されるように)位置因子の全てのポイントが連続的である、連続モード。
d)(図12A、図12B及び図12Cで示されるように)位置ポイントのほとんどが連続的であり、かつ、位置ポイントが非連続的なポイントも含んでいる、非連続モード。
e)(図14で示されるように)全要素動的因子テーブルのポイントが選択されず、従来の固定文字が直接入力される、固定文字(文字は中国語文字、数字、記号などであってもよい)。
f)(図16で示されるように)上述の規則が自由に組み合わされて用いられる、上述のモードの任意の組み合わせ。
本実施形態に従って提供される全要素動的因子テーブルは、外側テーブル形状の構造と、内側テーブル形状の構造とを含み、全要素動的因子テーブルの構造は、ユーザーの要求によって変化してもよい。
さらに、複数の内側テーブルの形状構造だけでなく、互いの内側テーブル内の位置因子が変更可能であるため、動的グラフィカルパスワードを入力する度毎に、異なる全要素動的因子テーブルが表示される。
したがって、パスワードの入力を故意に封鎖的にする必要がなく、傍受に対して免疫がある。
たとえ動的グラフィカルパスワードが傍受される場合でも、傍受された動的グラフィカルパスワードによって位置規則は、なお突破され得ず、ユーザー情報を得ることはできない。
上述の実施形態の好ましい技術的な解決方法では、動的グラフィカルパスワードの偽造防止性能をさらに高めるために、この方法は、クライアントとサーバーが内側テーブルの識別規則を交渉するか、又は、外側テーブル内の内側テーブルの配置の変更規則を交渉することをさらに含んでいる。
内側テーブルの配置変更規則には、時計回りの変更規則、反時計回りの配置変更規則又は無作為な変更規則が含まれる。
本実施形態では、全要素モード認証方法と定義されている別のワンタイム認証方法が提供されている。
単一要素モード認証と比較すると、全要素モードは全要素動的因子テーブルの位置因子を表示のたびに変更するだけでなく、内側テーブルの順番も同様に変更させることを特徴とする。
その変更には、時計回りの変更、反時計回りの変更又は無作為な変更が含まれる。
さらに、これらの内側テーブルの変更方法は、生成される情報に含まれている。
したがってステップS203には、特に、これらの変更方法に基づいて位置因子列を全要素動的因子テーブル内へと配置するステップが含まれる。
図17から図19に示されるように、図17は、全要素動的因子テーブル内の内側テーブルの、予め設定されている時計回りの変更を示す概略図であり、図18は、全要素動的因子テーブル内の4つの内側テーブルの、予め設定されている反時計回りの変更を示す概略図であり、図19は、全要素動的因子テーブル内の内側テーブルの無作為な変更を示す概略図である。
さらに、内側テーブルの変更方法は、予め設定されているアルゴリズムに基づいて、認証サーバーによって決定される。
内側テーブルの回転変更方法は、システムに予め設定されているか、又は、ユーザーが動的グラフィカルパスワードを設定する際に自律的に設定される。
認証の間、内側テーブルは、初期設定においては変更せず、内側テーブルが変更する場合、ユーザーには、後述のようにプロンプトが与えられる。
背景色プロンプト:各内側テーブルは、1つの背景色を割り当てられ、背景色により他のものから区別可能である。
内側テーブルの初期の色の順番は、クライアント上で、文字、英単語又は色ブロックを通してユーザーに示される。
背景識別子プロンプト:1つの半透明のデジタル識別子(例えば、数字、英字又は中国語文字)が、各内側テーブルの背景内に提供される。
認証の間、内側テーブルの順番は、クライアント上で変更する際、内側テーブルの背景内の識別子に基づいて、ユーザーによって識別可能である。
図20Aは、初期のモードの内側テーブル形態を示している。
図20Bは、無作為な変更後にクライアント上に表示される内側テーブル形態を示している。
変更/回転方法は、システムに予め設定されている。
前述の方法は、単なる例示的な方法であり、実際の用途において、他の変更方法が存在する。
認証の間、内側テーブルの位置規則がデータベースに予め格納されている位置規則と同じかどうかが、認証サーバーによる認証基準として用いられる。
別の認証方法(全要素モード)における認証方法が、下記に例示されている。
図21A及び図21Bに示されるように、ユーザーがパスワードを初めて設定する際、設定されるパスワード位置規則は図21A内に示されるグラフィックであり、位置規則の配置は、内側テーブル1の3つのポイントと、内側テーブル3の3つのポイントを巻き込んでいる。
認証の間、4つの内側テーブルの順番が反時計回りに変化し、ユーザーが入力する動的グラフィカルパスワードが、各内側テーブル内のポイント規則が正しいと確認可能な際のみ、認証が成功する。
図21Bに示されるように、クライアントは、色ブロックを通して初期の色配置をユーザーに示す。
反時計回りの変更の後、内側テーブル1は、全要素動的因子テーブルの左下のコーナーに位置している。
よって、パスワード設定の間に入力されるべきバスワードは、内側テーブル1の位置規則である。
同様に、反時計回りの変更の後、内側テーブル3は、左上のコーナーに位置している。
よってパスワード設定の間に入力されるべきパスワードは、内側テーブル3の位置規則である。
本実施形態に従って提供される全要素モードの認証方法において、全要素動的因子テーブルの内側テーブルの形態は変化する。
毎回ユーザーが入力する動的グラフィカルパスワードごとに、グラフィックは、それ自体が変化するだけでなく、異なる要素に対応する。
認証サーバーが動的グラフィカルパスワードの解読を通して取得する位置規則が、予め設定されている位置規則と一度異なると、認証は、失敗する。
それにより、動的グラフィカルパスワードの安全性は改善し、パスワード突破は、より困難になる。
別の好ましい実施形態では、認証リクエストは、ユーザーIDを含み、認証サーバーは、ユーザーIDに基づいて、ユーザーに対応する全要素動的因子テーブルの構造を決定してもよい。
例えば、ユーザーIDは、位置因子の種類、ユーザーの好み等のような情報を含み、認証サーバーは、その情報に基づいて、ユーザーに対応する全要素動的因子テーブルの構造を決定する。
さらに、認証サーバーは、クライアントが送信する認証リクエストを受信した後、一定の全要素動的因子テーブルを用いる。
認証サーバーから全要素動的因子テーブルの一定の構造を直接取得するそのような方法は、システムレベルの設定方法として定義され、全てのユーザーが同一の全要素動的因子テーブルの形態を用いる。
このモードでの認証の間、認証サーバーへと送信される認証リクエストは、他の情報を含んでいる必要はなく、それにより、認証に必要な時間を削減可能であり、認証効率が向上し、識別認証の安全性と便利さが効率的に調和される。
別の好ましい実施形態において、ステップS104の後、この方法は、後述のステップをさらに含む。
ステップS1041:ユーザー情報が取得される。
ユーザーネーム情報には、ユーザーID、ユーザーネーム、アカウント及びユーザーの他の個人情報、例えば個人アバター、が含まれる。
さらに、認証サーバーは、クライアントから、又はデータベースから直接、現在のユーザーのユーザー情報を取得してもよい。
ステップS1042:ユーザー情報が有効かどうかを判断する。
具体的には、ユーザーID又はユーザーネームが存在するかどうかが判断される。
ユーザーID又はユーザーネームが存在する場合、ユーザー情報は、有効と認証され、処理はステップS105に進む。
ユーザーID又はユーザーネームが存在しない場合、ユーザーのユーザー情報は、データベースに存在せず、そのため、ユーザー情報は、無効であると示し、処理は、ステップS107に直接スキップし、認証は失敗となる。
好ましい実施形態において、認証に必要な時間を削減し、認証効率を改善するために、ステップS104は、認証サーバーがユーザー情報と動的グラフィカルパスワードを同時に取得する工程をさらに含んでいる。
ステップS1042は、ステップS105と順番を変更してもよい。
すなわち、ユーザーの位置規則が予め設定されている位置規則と同じかどうかをまず判断し、次に、ユーザー情報が有効かどうかを判断する。
具体的な判断プロセスは、前述の実施形態と同じであり、その詳細は、本明細書内で繰り返し記載されない。
好ましい実施形態において、この方法は、ユーザーが入力する動的グラフィカルパスワードと同じユーザーネーム情報を、認証サーバーが取得する工程を含む。
認証サーバーは、クライアント又はデータベースから、ユーザーのユーザーネーム情報を取得してもよい。
ユーザーネーム情報には、システムのユーザーのユーザーネーム、アカウントナンバー、ユーザーID又はログインIDのような特有の識別子が含まれる。
ユーザーは、ユーザーネームとして位置グラフィックを用いるが、従来のパスワードは、依然としてパスワードとして使われる。
このように、ユーザーが、当初の使用習慣(すなわち従来のパスワードをなお用いる)を維持可能なだけでなく、ユーザー情報の安全性を高めることが可能である。
なぜなら、パスワードは、なお突破されやすい従来のパスワードであるが、ユーザーネームは安全性の高い位置グラフィックであり、推測及び突破が困難であり、覚えやすく、傍受に対して免疫があるためである。
ユーザーネームは、位置グラフィックの形態であり、突破が困難なため、たとえ、パスワードが漏洩した場合でも、突破者は、インターネットアプリケーションにログインできず、そのため、ユーザー情報は、損失せず、より高い安全性が提供される。
本発明は、クライアント及びサーバーを巻き込む、別のワンタイム動的位置認証方法をさらに開示している。その方法は、
クライアントが、位置因子ライブラリから選択される位置因子に基づいて位置因子列を生成し、全要素動的因子テーブルの構造に基づいて全要素動的因子テーブルを生成し、全要素動的因子テーブル内へと位置因子列を配置する工程を含む。
クライアントは、位置因子を格納するように構成されている位置因子ライブラリとメモリとをさらに含む。
メモリは、全要素動的因子テーブルと、全要素動的因子テーブルを生成するパラメータ情報(構造等)と、を格納するように構成されている。
位置因子ライブラリは、データベース内又はクライアント内の属性ファイルに格納されていてもよい。
クライアントは、第1の位置規則に従ってユーザーが入力する動的グラフィカルパスワードを取得し、かつ、その動的グラフィカルパスワードを認証サーバーへと送信するようさらに構成されている。
その動的グラフィカルパスワードは、第1の位置規則に従って全要素動的因子テーブル内の位置因子によって形成されている。
認証サーバーは、クライアントから動的グラフィカルパスワードを受信し、その動的グラフィカルパスワードを解読し、動的グラフィカルパスワードに対応しており解読を通して取得される第1の位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断し、その他の場合、認証を失敗と判断し、認証成功又は認証失敗の結果をクライアントに送信するように構成されている。
本実施形態において、位置因子ライブラリから選択される位置因子に基づいて位置因子列を生成するステップは、
現在のユーザーが選択する位置因子と、全要素動的因子テーブルに含まれる位置因子の全数と、を取得するステップと、
選択される位置因子と全要素動的因子テーブルとに基づいて位置因子の全数を決定するステップと、
全要素動的因子テーブル内の位置因子の無作為な配置及び組み合わせによって位置因子列を生成するステップであって、位置因子列内の1つの位置因子が少なくとも2回存在し、これにより、位置因子列が無作為かつ固有になり、位置因子列の複雑さが増し、動的グラフィカルパスワードの偽造防止性能及び安全性をさらに高めるステップと、を含んでいる。
さらに上述の実施形態は、単に位置因子ライブラリから位置因子を選択する実施方法であり、他の方法で実施されてもよい。
例えば、位置因子は、特別な暗号化アルゴリズムを通して決定され、ユーザーは、自律的に位置因子を選択するか、又は、システムが無作為に位置因子を無作為に選択する。
さらに、動的グラフィカルパスワードの複雑さと偽造防止性能をさらに高めるために、ユーザーが入力する動的グラフィカルパスワードの解読を通して取得する第1の位置規則は、連続的な位置因子の組み合わせ、非連続的な位置因子の組み合わせ、同一の場所での繰り返しの位置因子の組み合わせ及び固定文字の組み合わせの内の1つか、又はそれらの任意の組み合わせを含む。
認証方法の実施形態において、位置因子列の種類、変更方法及び特徴、全要素動的因子テーブル並びに動的グラフィカルパスワードは、上述の実施形態におけるそれらと同じである。
異なる点は、この方法では、クライアントが、位置因子を選択し、位置因子列を生成し、全要素動的因子テーブル内へと位置因子列を配置する機能を有する点である。
これにより、ユーザーが認証リクエストを認証サーバーへと送信するステップが省略され、認証に必要な時間が節約され、認証効率が改善し、識別認証の安全性と便利さが効率的に調和する。
上述の方法の実施形態に対応して、本発明は、図23に示されるように、ユーザーに認証サービスを提供する少なくとも1つの認証サーバー100と、ユーザーにネットワークログインとアクセスを提供する少なくとも1つのクライアント200と、データベース300と、を含むワンタイム動的位置認証システムをさらに開示している。
認証サーバー100は、クライアントから情報を受信するように構成されている第1の受信ユニット101と、クライアントへと情報を送信するように構成されている第1の送信ユニット103と、第1の受信ユニットおよび第1の送信ユニットに接続されている位置因子列生成ユニット102、位置規則解読ユニット104及びパスワード判断ユニット105を含んでいる。
位置因子列生成ユニット102は、位置因子ライブラリ106から選択される位置因子に基づいて位置因子列を生成するように構成されている。
第1の送信ユニット103は、位置因子列と全要素動的因子テーブルの構造とを含む生成される情報をクライアント200へと送信するように構成されている。
位置規則解読ユニットは、第1の位置規則に従ってユーザーが入力する動的グラフィカルパスワードを受信し、動的グラフィカルパスワードに対応する第1の位置規則を解読を通して取得するように構成されている。
パスワード判断ユニット105は、第1の位置規則が予め設定されている位置規則と一貫しているかどうかを判断し、判断結果を第1の送信ユニットを通してクライアントへと送信するように構成されている。
クライアント200は、認証サーバーから情報を受信するように構成されている第2の受信ユニット202と、認証サーバーへと情報を送信するように構成されている第2の送信ユニット201と、第2の受信ユニット202及び第2の送信ユニット201に接続されている全要素動的因子テーブル表示ユニット205及び動的グラフィカルパスワード生成ユニット204と、を含んでいる。
全要素動的因子テーブル表示ユニット205は、全要素動的因子テーブル内へと位置因子列を配置するように構成されている。
動的グラフィカルパスワード生成ユニット204は、第1の位置規則に従ったユーザーの全要素動的因子テーブルへの入力に基づいて、動的グラフィカルパスワードを生成し、動的グラフィカルパスワードを第2の送信ユニット201を通して認証サーバー100へと送信するように構成されている。
データベース300は、認証サーバー100に統合されていてもよく、データベースは、位置因子ライブラリ106を同様に含んでいてもよい。
位置因子ライブラリは、全要素動的因子テーブルを生成する1組の要素(位置因子)を含んでいる。
位置因子は、英字、単語、中国語文字、数字、記号などのように、異なる種類を有する。
位置因子列を生成する位置因子として、1つ以上の種類の位置因子が位置因子ライブラリから選択される。
さらに、システムの実施形態において、位置因子列、位置因子ライブラリ、全要素動的因子テーブル及び位置規則は、上述の方法の実施形態におけるそれらと同一であり、それらの詳細は、本明細書内で繰り返し記載されない。
本実施形態のクライアントと認証サーバーは、1つの装置(device or apparatus)又は2つの異なる装置に組み込まれていてもよいことに留意するべきである。
クライアント及びサーバーの機能が1つの装置、例えば、スタンドアローンのPC又はモバイル端末、に組み込まれている場合、オフラインモード又はオフライン機構が形成される。
そのモード又は機構において、その装置自身のような端末は、ネットワーク通信から独立した認証を独立に実行可能である。
この場合、システムの端末には、認証サーバーユニット、クライアントユニット及びデータベースユニットが含まれる。
さらに、認証サーバーユニット、クライアントユニット及びデータベースユニットは、それぞれ、認証サーバー100、クライアント200及びデータベース300と同じ機能を有する。
本実施形態において、図24に示されるように、第1の受信ユニット101と第1の送信ユニット102の間で、サーバーは、全要素動的因子テーブルの構造をクライアントと交渉するように構成されている第1の交渉ユニット107をさらに含み、第2の受信ユニット202と第2の送信ユニット201の間で、クライアントは、全要素動的因子テーブルの構造をサーバーと交渉するように構成されている第2の交渉ユニット206をさらに含んでいる。
第1の交渉ユニット107は、全要素動的因子テーブルの外側テーブル構造及び内側テーブル構造、内側テーブルの困難係数、位置因子の種類、位置因子列の組み合わせモード等を、第2の交渉ユニット206と交渉するように構成されている。
第2の交渉ユニット206は、第1の交渉ユニット107と協働し、ユーザー登録の間にクライアントの個人化及び多様化を行うように構成されており、それにより、ユーザー認証のための動的グラフィカルパスワードの独自性を向上させ、個人の認識度を高め、偽造防止機能をさらに高めている。
さらにこのシステムでは、認証サーバーは、ユーザーネーム情報取得ユニット、ユーザーネーム情報判断ユニット、ユーザーネーム情報判断結果生成ユニット及び格納ユニットをさらに含む。
ユーザーネーム情報には、ユーザーID、ユーザーネーム、アカウント及びユーザーの他の個人情報、例えば、個人アバターが含まれる。
ユーザーネーム情報取得ユニットは、ユーザーネーム情報を取得するように構成され、ユーザーネーム情報をデータベースから取り出すか、現在のクライアントから取得可能である。
ユーザーネーム情報判断ユニットは、ユーザーネーム情報が有効かどうか、すなわち、取得したユーザーネームが存在するかどうか、を判断し、ユーザーネームが存在する場合、ユーザーネーム情報が有効であると判断し、そうでない場合、ユーザーネーム情報が有効でないと判断するように構成されている。
ユーザーネーム情報判断結果生成ユニットは、ユーザーネーム情報判断ユニットの判断に従って判断結果、すなわち、ユーザーネーム情報が有効か有効でないか、を生成し、第1の送信ユニットを通して対応するクライアントへと判断結果を送信するように構成されている。
パスワード判断ユニットとユーザーネーム情報判断ユニットの間の判断の順番に制限はない。
本発明において、高い安全性を有する「OTP(ワンタイムパスワード)」と覚えやすい「グラフィカルパスワード」との概念を組み合わせることで、無作為に生成される配列テーブル内へと位置因子が配置され、配列テーブル内の位置情報がパスワードとして用いられる認証モードが提供されている。
この認証モードにより、いかなる他の外部の暗号化装置からも独立した、非常に高い安全性と覚え易さとを完璧に調和させることができる。
本発明に従って提供されるワンタイム動的位置認証システムにおいて、従来の複雑な数字、文字又は記号の代わりに、「位置グラフィック」が、システム内で生成される動的グラフィカルパスワードによって、認証パスワードとして用いられる。
「位置グラフィック」は、全要素動的因子テーブル内に配置される「位置因子」の場所及びその間の順番を対応させることにより形成される。
ユーザー識別認証の安全性と偽造防止性能が非常に改善される一方で、従来のパスワード動作と比較して便利さと興味深さが改善される。
さらに、システムは、パスワードが覚えやすくなく、かつ、すぐに「漏れやすく」、「推測しやすく」、「傍受しやすく」、「突破しやすく」もあるという従来のパスワードの欠点を解消し、認証及び暗号化の間、外部の暗号化装置、例えば、トークン、への長時間の依存から基本的に解放される。
「クロスプラットフォーム及びフルメディア」相互接続及び認証技術の相互通信は、ビッグデータの同時実行用途における目標要件を完全に考慮に入れることで、実際に達成される。
システムは、認証サーバーに接続された負荷調整器をさらに含み、負荷調整器は、受信した認証リクエストの負荷が設定されている負荷閾値よりも大きいかどうかを判断し、負荷が設定されている負荷閾値よりも大きい場合、最後に受信した認証リクエストを別の認証サーバーへと割り当てるように構成されている。
大量のデータが対象システムにアクセスする際、システムは、認証のためのとても高い負荷下におかれ、ネットワーク渋滞のようなビッグデータ同時実行問題を引き起こす。
結果として、対象システムが機能するさらに前に、いくつかの認証サーバーが故障さえする。
本発明に従って提供されるシステムは、対象システムの認証負荷を削減するために、対象システム内の認証の役割を果たすことができる。
ビッグデータ同時実行シナリオにおいて、動的グラフィカル認証システムは、ユーザーの需要よって、認証サーバー及びデータベースの自由な追加又は削除が可能である。
図25は、大量のデータがアクセスする対象システムの実施形態のネットワーク構造を示す概念図である。
特定の実施形態において、クライアントは、認証リクエストを対象システムへと送信し、そのリクエストは、対象システムを通じて負荷調整サーバーへと送信される。
負荷調整サーバーは、ある調整方法で認証サーバーへと認証リクエストを割り当てる。
認証サーバーは、動的因子列を生成し、その動的因子列を対象システムを通じてクライアントへと送信する。
クライアントは、動的因子列の受信後、全要素動的因子テーブル内へと動的因子列を配置する。
ユーザーは、定義された位置規則に従って動的グラフィカルパスワードを入力し、クライアントは、動的グラフィカルパスワードを対象システムへと送信する。
対象システムは、負荷調整サーバーを通じて動的グラフィカルパスワードを認証サーバーへと割り当てる。
認証サーバーは、パスワードを解読することで位置規則を取得し、データベースから取得する現在のユーザーの位置規則とその位置規則を比較し、2つの位置規則が同じ場合に認証を成功と判断する、又は、2つの位置規則が異なる場合に認証を失敗と判断する。
さらに、本実施形態に従って提供される動的グラフィカル認証システムは、BS又はCSの種類のいかなるシステムにおいても展開でき、認証の役割を果たすことができる。
動的グラフィカル認証システムは、前述のいかなる認証システム及び認証方法とも共存及び使用可能であり、また、システムの前述の認証スキームに取って代わることができる。
所望の互換性が達成され、ユーザーは、システムが構築される際に便利に動作させることができる。
複数のシステム間の情報送信は、データをテーブルから分離してなされる。
認証サーバーは、位置因子列を生成し、クライアントは、位置因子列を全要素動的因子テーブル内へと配置する。
システム全体での通信送信は、暗号化されたSSL通信に基づいており、DB内のデータは暗号化されて格納されており、システムの安全性が向上している。
本発明は、ワンタイム動的パスワード変更方法をさらに提供し、その方法は、後述のステップを含んでいる。
ステップ10:認証サーバーは、パスワード変更リクエスト及び変更前のパスワードをクライアントから取得する。
ステップ20:認証サーバーは、全要素動的因子テーブルに基づいて2つの位置因子列を生成し、その2つの位置因子列を一度にクライアントへと送信する。
ステップ30:クライアントは、2つの位置因子列を受信し、2つの位置因子列を全要素動的因子テーブル内へとそれぞれ配置し、ユーザーによって入力される第1の動的グラフィカルパスワードを第1の全要素動的因子テーブルから第1の位置規則に従って取得し、ユーザーによって入力される第2の動的グラフィカルパスワードを第2の全要素動的因子テーブルから第2の位置規則に従って取得し、第1の動的グラフィカルパスワード及び第2の動的グラフィカルパスワードをパスワード変更情報として認証サーバーへと送信する。
ステップ40:認証サーバーは、クライアントから2つの動的グラフィカルパスワードを受信し、受信した2つの動的グラフィカルパスワードを解読し、パスワード変更動作を実施するかどうかを判断する。
2つの動的グラフィカルパスワードに対応しており解読を通して取得される位置規則が同一である場合、パスワード変更を成功と判断し、新しい位置規則をパスワードとしてデータベースに記録し、又、2つの動的グラフィカルパスワードに対応する位置規則が異なる場合、新しいパスワードを記録しないと判断し、パスワード変更を失敗と判断する。
そして、パスワード変更成功又は失敗の結果をクライアントへと送信する。
ステップ50:クライアントは、認証サーバーが送信するパスワード変更成功又は失敗の結果を受信する。
本実施形態において、位置因子列、位置因子ライブラリ、全要素動的因子テーブル及び位置規則は、前述のワンタイム動的位置認証方法の実施形態におけるそれらと同じであり、全要素動的因子テーブルの構造、内側テーブルの変更及び位置規則の種類もまた前述のそれらと同じであり、それらの詳細は、明細書内で繰り返し記載されない。
ワンタイム動的位置認証方法の前述の実施形態との違いは、クライアントがステップ30で2つの動的グラフィカルパスワードを出力する必要がある点である。
同様に、認証サーバーは、2つの位置因子列を生成し、2つの位置因子列をクライアントへと送信する。
2つの位置因子列がそれぞれ配置された2つの全要素動的因子テーブルは、互いに異なっている。
2つの位置規則が同じであると認証サーバーが判断する際のみ、パスワード変更は成功する。
2つの動的グラフィカルパスワードの入力に対応する全要素動的因子テーブルが異なるので、2つの動的グラフィカルパスワードもまた異なっている。
結果として、動的グラフィカルパスワードは、盗まれたり傍受されたりする際でさえ、突破されないであろう。
以前のパスワード変更方法と比較すると、本実施形態に従って提供されるパスワード変更方法は、より高い安全性と信頼性を有し、パスワードが盗まれたり傍受されたりする危険性が著しく減少する。
別の好ましい実施形態において、ステップ10で認証サーバーが、変更前のパスワードと、第一の動的グラフィカルパスワードと、第2の動的グラフィカルパスワードと、を取得するステップは後述のステップを含む。
ステップ11:認証サーバーが最初にクライアントから変更前のパスワードを取得し、変更前のパスワードが予め設定されているパスワードと同じ場合、第1の動的グラフィカルパスワード及び第2の動的グラフィカルパスワード取得し、そうでない場合、パスワード変更を失敗と判断するか、又は、ステップ12に進む。
ステップ12:認証サーバーは、変更前のパスワードと、第1の動的グラフィカルパスワードと、第2の動的グラフィカルパスワードとをクライアントから同時に取得し、3つのパスワードを解読し、3つのパスワードに対応する位置規則を取得する。
認証サーバーは、まず、ユーザーネーム情報又はユーザーIDと、現在の動的グラフィカルパスワードとに基づいて、現在のパスワードが正しいかどうかを評価する。
現在のパスワードが正しい場合、認証サーバーは、2つの新しい動的グラフィカルパスワードを解読し、そして、位置規則が同一である場合、パスワード変更を完了するために、データベースに新しい位置規則を記録する。
本実施形態において、認証サーバーは、変更前のパスワードと、第1の動的グラフィカルパスワードと、第2の動的グラフィカルパスワードとを段階的に又同時に(どちらかはパスワード変更システムの実際の負荷に基づいて判断されてもよい)取得する。
システムの負荷が重い際、単位時間当たりの計算強度を削減し、それにより、システムの負荷を削減するために、認証サーバーは、パスワードを段階的に取得してもよい。
システムの負荷が軽い場合、ユーザーの時間を節約しパスワード変更効率を改善するために、認証サーバーは、パスワードの取得と、対応する解読するステップ及び変換を判断するステップの完了とを同時に行ってもよい。
さらに、ステップ30において、動的グラフィカルパスワードは、ユーザーネームとして用いられる。
すなわち、ユーザーネームは、動的グラフィカルパスワード同じである。
ユーザーネームには、システムのユーザーの、入力されたユーザーネーム、アカウント、ユーザーID、ログインID等の様な固有な識別子の名称が含まれる。
動的なグラフィックがユーザーによってユーザーネームとして用いられるが、従来のパスワードは、なおもパスワードとして用いられる。
このように、ユーザーは、当初の使用習慣を維持する、すなわち、従来のパスワードをなおも使用することができるだけでなく、ユーザー情報の安全性を向上できる。
なぜなら、パスワードは、なお、従来のパスワードではあるが、ユーザーネームが高い安全性を有する動的なグラフィックであり、推測及び突破が困難であり、覚えやすく、かつ、傍受のおそれがないためである。
パスワードが漏れた場合であっても、突破者は、ユーザー識別子を用いてインターネットアプリケーションにログインできず、ユーザーの情報は失われず、そのため、識別認証の安全性は、効率的に確保される。
前述の実施形態から理解されるように、本発明に従って提供されるワンタイム動的位置認証方法及びシステム並びにワンタイム動的パスワード変更方法は、後述の有益な効果をさらに有する。
1、動的グラフィカルパスワードがハードウェア及びプラグインから独立している。
クライアント上に表示された全要素動的因子テーブルに基づいてユーザーが動的グラフィカルパスワードを入力するので、パスワードの生成はハードウェア(例えば、携帯電話、ベースステーション又はハードウェア)から独立しており、認証処理又はパスワード変更処理はより安全である。
ハードウェア送信での時間差に基づくアタッカーからの攻撃は、回避される。
さらに、サービス障害、弱い信号、ハードウェアの損失、指定出力を有する必要なハードウェア登録などのような、ハードウェア装置(例えば、携帯電話)の使用から生じる制限に左右されない。
第3者のプラグインから独立することにより、アタッカーが突破ツールなどを第3者のプラグインに埋め込むことを防止し、それにより、パスワードへの脅威を止める。
さらに、ユーザーは、使用中の更新動作に先立ってプラグインをインストールする必要がなく、便利なだけでなく安全性もより高くなる。
2、ビッグデータの同時実行性が、サポートされる。
本発明に関連している認証サーバー及びデータベースは、要求によって自由に追加又は削除が可能である。
さらに、負荷調整サーバーと併せて使用する際、大量のデータアクセスがある状況で、対象サーバーの認証モジュールにおける負荷を解放することができる。
3、広い適用性並びにクロスプラットフォーム及びフルメディアサポートが達成される。
システムは、柔軟なアクセス方法を有する。
具体的には、補完的な認証方法でユーザー認証システムに接続することで、システムは、既存のユーザー認証システムに一度で「置き換わる」か、又は、既存のユーザー認証システムと共存することができる。
この認証方法と認証サーバーは、使用するいかなる端末にも移植することができ、それによりPC、タブレットPC、スマートフォンなどのような様々な端末上のアプリケーション制限を克服することができる。
それにより、実際の認証のための「クロスプラットフォーム及びフルメディア」相互接続が可能になる。
4、経済的であり、環境保護性がある。
システムは、いかなるハードウェアからも独立している。
そしてユーザーの数は、実際の需要によって増減する。
したがって、ハードウェアの購入、管理、使い切り及びその他のコストは、抑えられ、システムユーザーの数は、ユーザーの数の増減につれて、同様に変わる可能性がある。
さらに、ハードウェアから独立しているので、本発明に従って提供される認証システムは、ハードウェアの製造の間の原材料消費及び二酸化炭素の排出並びにユーザーが少ないことから生じるハードウェアの余剰問題無しに、実施することができる。
ワンタイム動的位置認証方法(以下、短縮のために第1の認証方法と呼ぶ)に対応して、本発明の実施形態は、別のワンタイム動的位置認証方法(以下、短縮のために第2の認証方法と呼ぶ)をさらに提供する。
本発明の実施形態に従って提供される、第2の認証方法と第1の認証方法の間の主な違いは、第1の認証方法では、位置因子の選択及び位置因子列の生成がサーバー上で行われる一方で、第2の認証方法では、位置因子の選択及び位置因子列の生成がクライアント上で行われる点である。
第1の認証方法では、サーバーはコンピュータ処理をする必要があり、したがって、サーバーのいくらかのコンピュータリソースは占有される必要がある。
多くのユーザーが認証を実行する際、この処理方法は、サーバーの性能に非常に影響を及ぼすであろう。
この問題を解決するために、第2の認証方法が本発明の実施形態に従って提供され、クライアント上で位置因子が選択され、位置因子列が生成される。
この処理方法では、クライアントのコンピュータリソースが完全に使用され、サーバーの計算タスクを共有する。
したがって、サーバーのコンピュータリソースの消費を効率的に削減することができ、それにより、サーバー性能が改善する。
図26は、本発明に従って提供される第2の認証方法の実施形態のフローチャートである。
第1の実施形態の部分と同じである本実施形態の部分は繰り返し記載されず、第1の実施形態の対応する部分を引用する。
本発明の実施形態に従って提供される第2の認証方法は、後述のステップを含む。
ステップS301:クライアントが、全要素動的因子テーブルの構造及び位置因子ライブラリを取得する。
全要素動的因子テーブルは、構造及び内容を含むテーブルであり、全要素動的因子テーブルに基づいて、ユーザーは、動的パスワードを入力可能である。
全要素動的因子テーブルの構造には、少なくとも1つの後述の構造が含まれるが、これらに限定されない。
(例えば、規則的な種類又は変則的な種類の)外側テーブル構造、(例えば、規則的な種類又は変則的な種類の)内側テーブル構造、内側テーブルの列及び行の数等。
全要素動的因子テーブルの構造は、共通の構造であってもよいし、又、ユーザー定義の構造であってもよい。
共通の構造には、認証システムの各ユーザーに共通の構造が含まれる。
共通の構造を用いると、全ユーザーに与えられる全要素動的因子テーブルは、同一の構造及び同一の位置因子の種類を有する。
ユーザー定義の構造を有すると、個人化された全要素動的因子テーブルを異なるユーザーに与えることが可能になる。
全要素動的因子テーブルの内容は、変更可能であり、したがって、内容としての各要素は、動的因子と呼ばれてもよい。
さらに、全要素動的因子テーブルによって入力されるパスワードは、実際は位置規則であるので、動的な因子は、位置因子とも呼ばれてもよい。
位置因子ライブラリは、複数の選択可能な位置因子を含んでいる。
位置因子は、英字、単語、中国語文字、数字、記号、画像及び/又は色を含んでいる。
特定の実施の間、ステップS301は、複数の実行方法を有していてもよく、3つの選択可能な実行方法が下記に与えられる。
方法1、全要素動的因子テーブルの共通の構造及び位置因子ライブラリがクライアントからローカルで取得される。
全要素動的因子テーブルの構造及び位置因子ライブラリをこの方法で取得する場合、共通の全要素動的因子テーブルの構造情報及び位置因子ライブラリは、前もってクライアント内に格納されている必要がある。
特定の実施の間、クライアントは、共通の全要素動的因子テーブルの複数の構造についての情報を予め格納していてもよい。
認証機能が開始される際、予め設定されているアルゴリズム(例えば、無作為選択アルゴリズム)を用いて、現在の認証で実際用いられる構造として複数の構造から1つの構造が選択されてもよい。
あるいは、認証されるユーザーが能動的に1つの構造を選択してもよく、それにより、ユーザー体験が改善する。
方法2、共通の全要素動的因子テーブルの構造及び位置因子ライブラリが、サーバーから取得される。
全要素動的因子テーブルの構造及び位置因子ライブラリをこの方法で取得する場合、その方法は、後述の具体的なステップを含んでもよい。
1)クライアントが認証リクエストをサーバーへと送信する。
2)サーバーが共通の全要素動的因子テーブルの構造を決定し、認証リクエストに基づいて位置因子ライブラリを取得し、全要素動的因子テーブルの構造及び位置因子ライブラリをクライアントへと送信する。
これまで、ステップS301の2つの選択可能な実行方法を記載してきた。
上述の2つの方法は、それぞれ長所と短所を有していることに留意するべきである。
方法1では、サーバーから構造と位置因子ライブラリとを毎回取得する必要がないため、ネットワークのトラフィックは、効率的に節約可能であるが、ローカルに格納されている情報は、タイムリーに更新されないという問題がある。
方法2では、毎回の認証の間、まず、構造及び位置因子ライブラリをサーバーから取得する必要があるため、より多くのネットワークのトラフィックを消費する必要がある。
しかし、最新の構造及び位置因子ライブラリが確実に取得可能である。
実用的な用途において、具体的な要求によりどちらかの方法が選択され、クライアントが、全要素動的因子テーブルの構造及び位置因子ライブラリを取得可能である。
方法3、全要素動的因子テーブルのユーザー定義の構造及び位置因子ライブラリが、サーバーから取得される。
方法1及び方法2から取得する構造は、共に共通の構造である。
方法3で、異なるユーザーに個人化された全要素動的因子テーブルを与える機能を達成することで、全要素動的因子テーブルのユーザー定義の構造及び位置因子ライブラリをクライアント上で与えることができる。
それは、後述の方法で具体的に実行することができる。
ユーザーが、クライアント上でユーザーネームを入力し、クライアントが、認証サーバーへと認証リクエストを送信し、認証サーバーが、認証リクエストとユーザーIDを受信し、ユーザーIDに基づいて、ユーザーの全要素動的因子テーブルの構造及び位置因子の種類を回収し、認証サーバーが、全要素動的因子テーブルの構造及び位置因子の種類を(クライアントが使用可能な位置因子ライブラリとして)クライアントへと送信する。
ステップS301で取得される全要素動的因子テーブルの構造及び位置因子ライブラリは、ユーザー登録の間に用いられる構造及び位置因子の種類と同じであってもよいし、ユーザー登録の間に用いられる構造及び位置因子の種類と異なっていてもよいことに留意するべきである。
全要素動的因子テーブルの構造及び位置因子ライブラリの取得後、クライアントは、次のステップに進み、2つの位置因子列を生成してもよい。
ステップS302:位置因子が動的因子テーブルの構造に基づいて位置因子ライブラリから選択され、位置因子列が生成される。
全要素動的因子テーブルは、構造及び内容から構成されるため、全要素動的因子テーブルが複数の異なる装置間で送信される際、構造及び内容は別個に送信されてもよい。
全要素動的因子テーブルの内容には、複数の動的因子が含まれ、動的因子が形成する文字列は、位置因子列と呼ばれる。
ステップS302において、前のステップで取得される動的因子テーブルの構造に基づいて、位置因子が位置因子ライブラリから選択され、位置因子が生成される。
このステップで生成される位置因子列には、英字、単語、中国語文字、数字、記号、画像、色等のような複数の種類の位置因子が含まれてもよい。
代替の実施方法として、ユーザーが指定する種類の位置因子が、動的因子テーブルの構造に基づいて選択され、位置因子列を生成可能である。
この処理方法により、ユーザー体験を効率的に改善可能である。
ステップS303:全要素動的因子テーブルが、位置因子列に基づいて生成される。
全要素動的因子テーブルが、位置因子列及び全要素動的因子テーブルの構造に基づいて生成可能である。
代替の方法では、位置因子列が全要素動的因子テーブル内へと配置される際、いくつかの特定の位置因子の表示内容が、他の内容にさらに取って代わってもよい。
例えば、位置因子が「China」という単語であり、位置因子が動的因子テーブルに直接表示される際、位置因子が特定の長さを有するためにユーザーの視覚的体験に影響を与える可能性がある(例えば、視覚効果が曖昧になる)。
これにより、ユーザー体験が低下する。
この場合、長い位置因子は、短い文字に取って代わられてもよい。
例えば、実際に送信される位置因子が「China」である一方で、A1が動的因子テーブルに表示される。
結論としては、送信される位置因子と表示される位置因子との間で配置関係が形成され、それにより、パスワードの突破がさらに困難になる。
ステップS304:ユーザーが、位置因子列に基づいて生成される全要素動的因子テーブルに基づいて、動的グラフィカルパスワードを入力する。
ステップS305:動的グラフィカルパスワードと全要素動的因子テーブルの情報とを含む認証情報が、サーバーへと送信される。
動的グラフィカルパスワードを入力するための全要素動的因子テーブルは、クライアント上で生成されるので、サーバーが動的グラフィカルパスワードを解読して位置規則を取得可能にするために、ユーザーが入力する動的グラフィカルパスワードとクライアントが生成する全要素動的因子テーブルとを含む認証情報は、サーバーへと送信される必要がある。
特定の実施の間、認証情報内に含まれる全要素動的因子テーブルの情報は、文字の類(すなわち、全要素動的因子テーブルに対応する位置因子列)や、画像の類(すなわち、全要素動的因子テーブルに対応する動的因子テーブルグラフィック)であってもよい。
さらに、認証情報には、ユーザーネームのような情報がさらに含まれてもよい。
ステップS301で取得される全要素動的因子テーブルの構造が、ユーザー登録の間に用いられる構造と異なる場合、認証情報には、動的因子テーブルの開始位置の位置指示子がさらに含まれてもよいことに留意するべきである。
例えば、登録の間の全要素動的因子テーブルの構造が6×6の規則的な構造(すなわち、6列と6行)である一方で、認証の間は、9×9(すなわち、9列と9行)の構造である。
この場合、4列目及び4行目が、動的因子テーブルの開始位置の位置指示子として用いられ、サーバーへと送信されてもよい。
サーバーは、開始位置以下の位置で形成されている動的因子テーブルに基づいて、動的グラフィカルパスワードを解読するであろう。
この処理方法において、動的因子テーブルの構造が変更され、動的因子テーブルの複雑さが高まり、したがって、パスワード突破の困難さを効率的に高めることができる。
代替の解決方法として、認証の間にユーザーが実際に入力する動的グラフィカルパスワードに対応する位置規則が、登録の間に用いられる位置規則と異なっていてもよい。
具体的には、ユーザーは、認証の間に、同意された変更方法に従って、動的グラフィカルパスワードを入力してもよい。
例えば、同意された入力変更方法は、認証の間に、動的グラフィカルパスワードを位置規則に対して左右対称又は上下対称に入力するステップであってもよい。
この場合、サーバーは、同意された入力変更方法を取得し、受信する動的グラフィカルパスワードの解読を通して適切な位置規則を取得する必要がある。
ステップS101:サーバーが、クライアントが送信する認証情報を受信する。
ステップS103:サーバーが、認証情報内の動的グラフィカルパスワードの解読を通して取得する位置規則が、予め設定されている位置規則と一貫しているかどうかを判断する。
第1の認証方法とは異なり、第2の認証方法では、サーバーは、クライアントから送信される全要素動的因子テーブルに基づいて動的グラフィカルパスワードを解読し、動的グラフィカルパスワードに対応する位置規則を取得する。
動的グラフィカルパスワードに対応しており解読を通して取得される位置規則が予め設定されている位置規則と一貫している場合、認証は、成功する。
動的グラフィカルパスワードの解読を通して取得される位置規則が予め設定されている位置規則と一貫していない場合、ユーザー認証は、失敗する。
ユーザーが、同意された変更方法(例えば、位置規則に対して左右対称又は上下対称の方法)に従って動的グラフィカルパスワードを入力する場合、サーバーは、クライアントから送信される全要素動的因子テーブルに基づいて動的グラフィカルパスワードをまず解読し、動的グラフィカルパスワードに対応する第1の位置規則を取得してもよく、次に、同意された入力変更方法に従って、第1の位置規則を第2の位置規則へと解読することに留意するべきである。
第2の位置規則が予め設定されている位置規則と一貫している場合、認証は、成功する。
ステップS104:認証結果情報がクライアントへと送信される。
別のワンタイム位置認証方法の実施形態に対応して、本開示の実施形態は、別のワンタイム位置認証システムをさらに提供する。
図27は、本発明にかかる別のワンタイム動的位置認証システムの実施形態を示す概略図である。
システムの実施形態は、基本的には、方法の実施形態に対応しており、したがって、簡略に記載される。
関連する部分の記載については、方法の実施形態の対応する部分を参照されたい。
下記に記載されるシステムの実施形態は、単なる例示である。
本実施形態の別のワンタイム位置認証システムは、ネットワークアクセスユーザーに認証サービスを提供するサーバー100と、ネットワークを通じてサーバーに接続され、ユーザーにネットワークログイン及びアクセスを提供するクライアント200と、を含んでいる。
クライアント200は、動的因子テーブル構造取得ユニット201と、情報処理ユニット202と、サーバーへと情報を送信するように構成されている第1の送信ユニット203と、を含んでいる。
動的因子テーブル構造取得ユニット201は、全要素動的因子テーブルの構造を取得するように構成されている。
情報処理ユニット202は、動的因子テーブル構造に基づいて位置因子ライブラリから位置因子を選択し、位置因子列を生成するように構成され、位置因子列に基づいて生成される全要素動的因子テーブルに基づいて動的グラフィカルパスワードをユーザーによって入力される。
第1の送信ユニット203は、動的グラフィカルパスワードと全要素動的因子テーブルの情報とを含む認証情報をサーバーへと送信するように構成されている。
サーバー100は、クライアントから情報を受信するように構成されている第1の受信ユニット101と、位置規則解読ユニット102と、位置規則判断ユニット103と、を含んでいる。
第1の受信ユニット101は、認証情報を受信するように構成されている。
位置規則解読ユニット102は、解読を通して、動的グラフィカルパスワードに対応する位置規則を取得するように構成されている。
位置規則判断ユニット103は、動的グラフィカルパスワードの解読を通して取得する位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するように構成されている。
選択的には、動的因子テーブル構造取得ユニット201は、
クライアントがサーバーに認証リクエストを送信するように構成されている、認証リクエスト送信サブユニットと、
サーバーから全要素動的因子テーブルの構造を受信するように構成されている構造取得サブユニットと、
全要素動的因子テーブルを決定するために、構造を受信するよう構成されている構造決定サブユニットと、を含んでいる。
本発明の本実施形態で提供される別のワンタイム動的位置認証方法では、位置因子の選択と位置因子列の生成はクライアント上で行われ、クライアントのコンピュータリソースが完全に使用され、サーバーの計算タスクを効率的に共有する。
したがって、サーバーのコンピュータリソースの消費を効率的に削減することができ、それによりサーバー性能が改善する。
別のワンタイム動的位置認証方法に対応して、本発明の実施形態は、さらに別のワンタイム動的位置認証方法(以下、短縮のために第3の認証方法と呼ぶ)をさらに提供する。
本発明の本実施形態で提供される第3の認証方法の基本的な中心思想は、クライアント及びサーバーが、一定のアルゴリズムを用いて同一の全要素動的因子テーブルを別個に生成することである。
この処理方法において、全要素動的因子テーブルの情報は、ネットワークを介して送信される必要がなく、パスワード突破の困難さを効率的に高めることができる。
図28は、本発明にかかる第3の認証方法の実施形態のフローチャートである。
前述の実施形態の部分と同じである本実施形態の部分は、繰り返し記載されず、詳細は、前述の実施形態の対応する部分を引用する。
本発明の本実施形態で提供される第3の認証方法は、後述のステップを含んでいる。
ステップS301:クライアントが、全要素動的因子テーブルの構造及び位置因子ライブラリを取得する。
全要素動的因子テーブルの構造は、共通の構造であってもよく、又は、ユーザー定義の構造であってもよい。
特定の実施において、ステップS301は、複数の実施方法を有していてもよい。
例えば、全要素動的因子テーブルの共通の構造及び位置因子ライブラリは、クライアントからローカルで取得されるか、全要素動的因子テーブル構造の共通の構造及び位置因子ライブラリは、サーバーから取得されるか、又は全要素動的因子テーブルのユーザー定義の構造及び位置因子ライブラリは、サーバーから取得される。
ステップS302:位置因子が動的因子テーブル構造に基づいて位置因子ライブラリから選択され、第1の位置因子列を生成する。
特定の実施において、クライアントは、まず、共有キーを生成してもよく、次に、共有キーに基づいて第1の位置因子列を生成してもよい。
実用的な用途において、共有キーも、また、まず、サーバーによって生成されてもよく、次にクライアントによってサーバーから取得されてもよい。
この処理方法において、共有キーの生成アルゴリズムを不法に取得することはより困難になり、パスワード突破の困難さを効率的に高めることができる。
ステップS303:第1の全要素動的因子テーブルが、第1の位置因子列に基づいて生成される。
ステップS304:ユーザーが、第1の位置因子列に基づいて生成される第1の全要素動的因子テーブルに基づいて動的グラフィカルパスワードを入力する。
ステップS305:動的グラフィカルパスワードを含む認証情報、がサーバーへと送信される。
クライアントとサーバーが、同一の動的因子テーブルを別個に生成するので、サーバーへと送信される認証情報は、クライアントが生成する第1の全要素動的因子テーブルを含んでいる必要がない。
クライアントが生成する共有キーに基づいて第1の位置因子列が生成される場合、サーバーが、第1の全要素動的因子テーブルと同様に、共有キーに基づいて第2の全要素動的因子テーブルを生成することができるよう、共有キーは、サーバーへと送信される必要があることに留意するべきである。
ステップS101:サーバーが、クライアントが送信する認証情報を受信する。
代替の実施方法として、認証情報には、クライアントが情報を送信する時間がさらに含まれていてもよい。
認証情報の受信後、サーバーは、まず、時間パラメータに基づいて、クライアントが情報を送信する時間と現在の時間の間のタイムインターバルが、予め設定されているタイムインターバル閾値を超えているかどうかを判断してもよい。
「はい」の場合(超えている場合)、情報がクライアントからサーバーに到達するのにかかる時間が設定されている時間を超えている事を示している。
動作がタイムアウトすると、動作タイムアウトの情報指示がクライアントへと送信し返され、現在の認証処理は終了する。
最終結果は、認証失敗となる。
この処理方法において、パスワード突破の困難さをさらに高めることができる。
ステップS102:第1の全要素動的因子テーブルと同じ、第2の全要素動的因子テーブルを生成する。
サーバーは、クライアントと同じ動的因子テーブル生成アルゴリズムを用いることにより、第1の全要素動的因子テーブルと同じ第2の全要素動的因子テーブルを生成する必要がある。
ステップS103:サーバーが、認証情報内の動的グラフィカルパスワードの解読を通して取得する位置規則が予め設定されている位置規則と一貫しているかどうか判断する。
サーバーが第2の全要素動的因子テーブルに基づいて動的グラフィカルパスワードを解読し、動的グラフィカルパスワードに対応する位置規則を取得する。
ステップS104;認証結果情報がクライアントへと送信される。
さらに、別のワンタイム動的位置認証方法の実施形態に対応して、本開示の実施形態は、さらに別のワンタイム動的位置認証システムをさらに提供する。
図29は、本発明にかかるさらに別のワンタイム動的位置認証システムの実施形態を示す概略図である。
システムの実施形態は、基本的には方法の実施形態に類似しており、したがって、簡潔に記載され、関連する部分の記載は方法の実施形態の対応する部分を引用することができる。
下記に記載されるシステムの実施形態は単なる例示である。
本実施形態のさらに別のワンタイム動的位置認証システムは、ネットワークアクセスユーザーに認証サービスを提供するサーバー100と、ネットワークを介してサーバーに接続され、ユーザーにネットワークログイン及びアクセスを提供するクライアント200と、を含んでいる。
クライアント200は、動的因子テーブル構造取得ユニット201と、情報処理ユニット202と、サーバーへと情報を送信するように構成されている第1の送信ユニット203と、を含んでいる。
動的因子テーブル構造取得ユニット201は、全要素動的因子テーブルの構造を取得するように構成されている。
情報処理ユニット202は、動的因子テーブル構造に基づいて位置因子ライブラリから位置因子を選択し、第1の位置因子列を生成するように構成され、第1の位置因子列に基づいて生成される第1の全要素動的因子テーブルに基づいて動的グラフィカルパスワードをユーザーにより入力される。
第1の送信ユニット203は、動的グラフィカルパスワードを含む認証情報をサーバーへと送信するように構成されている。
サーバー100は、クライアントから情報を受信するように構成されている第1の受信ユニット101と、動的因子テーブル生成ユニット102と、位置規則解読ユニット103と、パスワード判断ユニット104と、を含んでいる。
第1の受信ユニット101は、認証情報を受信するように構成されている。
動的因子テーブル生成ユニット102は、第1の全要素動的因子テーブルと同じ、第2の全要素動的因子テーブルを生成するように構成されている。
位置規則解読ユニット103は、第2の全要素動的因子テーブルに基づいて、解読を通して動的グラフィカルパスワードに対応する位置規則を取得するように構成されている。
位置規則判断ユニット104は、動的グラフィカルパスワードの解読を通して取得される位置規則が予め設定されている規則と一貫している場合、認証を成功と判断するように構成されている。
ワンタイム動的パスワード変更方法(以下、短縮のために第1のパスワード変更方法と呼ぶ)に対応して、本発明の実施形態は、別のワンタイム動的パスワード変更方法(以下、短縮のために第2のパスワード変更方法と呼ぶ)をさらに提供する。
本発明の本実施形態で提供される第2のパスワード変更方法が第1のパスワード変更方法と異なっている主な点は、第1のパスワード変更方法では、位置因子の選択及び位置因子列の生成は、サーバー上で行われる一方で、第2のパスワード変更方法では、位置因子の選択及び位置因子列の生成がクライアント上で行われるという点である。
第1のパスワード変更方法では、サーバーは、コンピュータ処理をする必要があり、したがって、サーバーのいくらかのコンピュータリソースは、占有される必要がある。
多くのユーザーがユーザーパスワード変更を行う際、この処理方法は、サーバーの性能に非常に影響を及ぼすであろう。
この問題を解決するために、第2のパスワード変更方法が本発明の本実施形態で提供され、クライアント上で位置因子が選択され、位置因子列が生成される。
この処理方法では、クライアントのコンピュータリソースは完全に使用され、サーバーの計算タスクを効率的に共有する。
したがって、サーバーのコンピュータリソースの消費を効率的に削減することができ、それによりサーバー性能が改善する。
図30は、本発明にかかる第2のパスワード変更方法の実施形態のフローチャートである。
第1の実施形態の部分と同じである本実施形態の部分は、繰り返し記載されず、詳細は、第1の実施形態の対応する部分を引用する。
本発明の本実施形態で提供される第2のパスワード変更方法は、後述のステップを含んでいる。
ステップS301:クライアントが、全要素動的因子テーブルの構造及び位置因子ライブラリを取得する。
全要素動的因子テーブルの構造は、共通の構造であってもよいし、又は、ユーザー定義の構造であってもよい。
位置因子ライブラリには、複数の選択可能な位置因子が含まれる。
位置因子には、英字、単語、中国語文字、数字、記号、画像及び/又は色が含まれる。
特定の実施において、ステップS301は、複数の実施方法を有していてもよい。
例えば、全要素動的因子テーブルの共通の構造及び位置因子ライブラリは、クライアントからローカルで取得されるか、全要素動的因子テーブルの共通の構造及び位置因子ライブラリは、サーバーから取得されるか、又は、全要素動的因子テーブルのユーザー定義の構造及び位置因子ライブラリは、サーバーから取得される。
特定の実施において、全要素動的因子テーブルのユーザー定義の構造及び位置因子ライブラリは、後述の方法でサーバーから取得されてもよい。
ユーザーが、クライアント上でユーザーネームを入力する。
クライアントが、パスワード変更リクエストをサーバーへと送信する。
サーバーが、パスワード変更リクエスト及びユーザーIDを受信する。
サーバーがユーザーIDに基づいて全要素動的因子テーブルの構造及びユーザーの位置因子の種類を回収する。
サーバーが、全要素動的因子テーブルの構造及び位置因子の種類を(クライアントが使用可能な位置因子ライブラリとして)クライアントへと送信する。
ステップS301で取得される全要素動的因子テーブルの構造及び位置因子ライブラリは、ユーザー登録の間に用いられる構造及び位置因子の種類と同じでもよいし、ユーザー登録の間に用いられる構造及び位置因子の種類とは、異なっていてもよいことに留意するべきである。
全要素動的因子テーブルの構造及び位置因子ライブラリの取得後、クライアントは、次のステップを実行し、2つの位置因子列を生成してもよい。
ステップS302:位置因子が動的因子テーブル構造に基づいて位置因子ライブラリから選択され、2つの位置因子列が生成される。
ステップS302で、前のステップで取得される動的因子テーブル構造に基づいて位置因子が位置因子ライブラリから選択され、2つの位置因子列が生成される。
このステップで生成される位置因子列には、英字、単語、中国語文字、数字、記号、画像及び色のような全ての種類の位置因子が含まれてもよい。
代替の実施方法として、ステップS302で、動的因子テーブル構造に基づいて、ユーザーが指定する種類の位置因子から位置因子が選択され、位置因子列を生成してもよい。
この処理方法により、ユーザー体験を効率的に改善可能である。
ステップS303:2つの全要素動的因子テーブルが、2つの位置因子列に基づいて生成される。
2つの全要素動的因子テーブルが、位置因子列及び全要素動的因子テーブルの構造に基づいて生成可能である。
代替の方法として、位置因子列が全要素動的因子テーブル内へと配置される際、いくつかの特定の位置因子が表示のために他の内容にさらに取って代わってもよい。
送信される位置因子と表示される位置因子との間で配置が形成され、それにより、パスワードの突破がさらに困難になる。
ステップS304:ユーザーが、2つの位置因子列に基づいて生成される2つの全要素動的因子テーブルに基づいて、2つの動的グラフィカルパスワードを入力する。
ステップS305:2つの動的グラフィカルパスワードと2つの全要素動的因子テーブルの情報とを含むパスワード変更情報が、サーバーへと送信される。
動的グラフィカルパスワードを入力するための全要素動的因子テーブルは、クライアント上で生成されるので、サーバーが動的グラフィカルパスワードの解読を通して位置規則を取得可能にするために、ユーザーが入力する動的グラフィカルパスワードとクライアントが生成する2つの全要素動的因子テーブルとを含む情報は、サーバーへと送信される必要がある。
特定の実施において、パスワード変更情報に含まれる全要素動的因子テーブルの情報は、文字の類(すなわち、全要素動的因子テーブルに対応する位置因子列)や、画像の類(すなわち、全要素動的因子テーブルに対応する動的因子テーブルグラフィック)であってもよい。
さらに、パスワード変更情報には、ユーザーネームのような情報がさらに含まれてもよい。
ステップS101:サーバーが、クライアントが送信するパスワード変更情報を受信する。
ステップS103:サーバーが、パスワード変更情報内の2つの動的グラフィカルパスワードの解読を通して取得される位置規則が一貫しているかどうかを判断する。
第1のパスワード変更方法と違い、第2のパスワード変更方法では、サーバーは、クライアントから送信される2つの全要素動的因子テーブルに基づいて、2つの動的グラフィカルパスワードを解読することで、2つの位置規則を取得する。
解読を通して取得される2つの位置規則が一貫している場合、パスワード変更は、成功し、ステップS104が実行され、パスワード変更情報内の位置規則をユーザーの新しいパスワードとして使用する。
解読を通して取得される2つの位置規則が一貫していない場合、パスワード変更は、失敗し、ステップS106が実行され、クライアントへパスワード変更失敗の結果が送信される。
ステップS104:2つの動的グラフィカルパスワードの解読を通して取得される位置規則が一貫している場合、パスワード変更情報内の位置規則をユーザーの新しいパスワードとして使用する。
ステップS106:パスワード変更結果がクライアントへと送信される。
別のワンタイム動的パスワード変更方法に対応して、本発明の実施形態は、さらに別のワンタイム動的パスワード変更方法(以下、短縮のために第3のパスワード変更方法と呼ぶ)をさらに提供する。
本発明の本実施形態で提供される第3のパスワード変更方法の基本的な中心思想は、クライアント及びサーバーが、一定のアルゴリズムを用いて同一の全要素動的因子テーブルを別個に生成することである。
この処理方法において、全要素動的因子テーブルの情報は、ネットワークを通じて送信される必要がなく、パスワード突破の困難さを効率的に高めることができる。
図31は、本発明にかかる第3のパスワード変更方法の実施形態のフローチャートである。
前述の実施形態の部分と同じである本実施形態の部分は、繰り返し記載されず、詳細は、前述の実施形態の対応する部分を引用する。
本発明の本実施形態で提供される第3のパスワード変更方法は、後述のステップを含んでいる。
ステップS301:クライアントが、全要素動的因子テーブルの構造及び位置因子ライブラリを取得する。
全要素動的因子テーブルの構造は、共通の構造であってもよく、又は、ユーザー定義の構造であってもよい。
特定の実施において、ステップS301は、複数の実施方法を有していてもよい。
例えば、全要素動的因子テーブルの共通の構造及び位置因子ライブラリは、クライアントからローカルで取得されるか、全要素動的因子テーブルの共通の構造及び位置因子ライブラリは、サーバーから取得されるか、又は、全要素動的因子テーブルのユーザー定義の構造及び位置因子ライブラリは、サーバーから取得される。
ステップS302:位置因子が動的因子テーブル構造に基づいて位置因子ライブラリから選択され、2つの第1の位置因子列が生成される。
特定の実施において、クライアントは、まず、共有キーを生成してもよく、次に、共有キーに基づいて2つの第1の位置因子列を生成してもよい。
実用的な用途において、共有キーもまた、まず、サーバーによって生成されてもよく、次にクライアントによってネットワークを介してサーバーから取得されてもよい。
この処理方法において、共有キーの生成アルゴリズムを不正に取得することは、より困難になり、パスワード突破の困難さを効率的に高めることができる。
ステップS303:ユーザーが、2つの第1の位置因子列に基づいて生成される2つの第1の全要素動的因子テーブルに基づいて、2つの動的グラフィカルパスワードを入力し、2つの動的グラフィカルパスワードを含むパスワード変更情報をサーバーへと送信する。
クライアントとサーバーが同一の動的因子テーブルを別個に生成するので、サーバーへと送信されるパスワード変更情報は、クライアントが生成する2つの第1の全要素動的因子テーブルを含んでいる必要がない。
クライアントが生成する共有キーに基づいて第1の位置因子列が生成される場合、2つの第1の全要素動的因子テーブルと同様に、サーバーが共有キーに基づいて2つの第2の全要素動的因子テーブルを生成することができるよう、共有キーは、サーバーへと送信される必要があることに留意するべきである。
ステップS101:サーバーが、クライアントが送信するパスワード変更情報を受信する。
代替の実施方法として、パスワード変更情報にはクライアントが情報を送信する時間がさらに含まれていてもよい。
パスワード変更情報の受信後、サーバーはまず時間パラメータに基づいて、クライアントが情報を送信する時間と現在の時間の間のタイムインターバルが、予め設定されているタイムインターバル閾値を超えているかどうかを判断してもよい。
「はい」の場合(超えている場合)、情報がクライアントからサーバーに到達するのにかかる時間が設定されている時間を超えていることを示している。
動作が、タイムアウトすると、動作タイムアウト情報指示が、クライアントへと送信され、現在のパスワード変更処理は、終了する。
最終結果は、パスワード変更失敗となる。
この処理方法において、パスワード突破の困難さをさらに高めることができる。
ステップS102:2つの第1の全要素動的因子テーブルと同じ、2つの第2の全要素動的因子テーブルが生成される。
サーバーは、クライアントと同じ動的因子テーブル生成アルゴリズムを用いることにより、2つの第1の全要素動的因子テーブルと同じ2つの第2の全要素動的因子テーブルを生成する必要がある。
ステップS103:2つの動的グラフィカルパスワードが2つの第2の全要素動的因子テーブルに基づいて解読され、2つの動的グラフィカルパスワードの解読を通して取得される位置規則が一貫している場合、パスワード変更情報内の位置規則をユーザーの新しいパスワードとして使用し、ユーザーのパスワード変更は、完了する。
サーバーは、2つの第2の全要素動的因子テーブルに基づいて2つの動的グラフィカルパスワードを解読し、2つの位置規則を取得する。
さらに、ユーザーがクライアント上で全要素動的因子テーブルの構造及び位置因子ライブラリを定義する際、第3のパスワード変更方法は、ユーザー定義の構造及び/又はユーザーネームに対応する位置因子ライブラリを格納するステップをさらに含んでいてもよい。
「第1の」及び「第2の」のような本明細書内の関係用語は、ある存在又は動作を別の存在又は動作から区別するためのみに使用され、これらの存在又は動作の間に存在する実際の関係又は順番を要求したり、意味したりしていないことに留意するべきである。
さらに、「含む」、「備える」又はそれらの他の任意の派生用語は、一連の要素を含む処理、方法、物又は装置がそれらの要素を含むだけでなく、明確に記載されていない他の要素もまた含むか、又はそのような処理、方法、物又は装置に固有の要素をさらに含むよう、非排他的な包含を対象とする事を意図している。
さらなる限定がなされていない場合、「〜を含む」の表現で限定されている他の要素は、その要素を含む処理、方法、物又は装置内に存在する他の同一の要素を排除しない。
上述の記載は、本発明の単なる特定の実施方法であり、当業者は本発明を理解又は実施が可能である。
これらの実施形態に対する様々な修正が当業者には明確であろうし、本明細書内に定義される一般的な原理は、本発明の精神又は範囲から逸脱することなく他の実施形態に適用されてもよい。
したがって本発明は、本明細書内に記載されている実施形態に限定されず、本明細書内に開示されている原理及び新規性に従う最も広い範囲へと拡張する。

Claims (25)

  1. 認証サーバーが、クライアントから認証リクエストを受信するステップと、
    位置因子ライブラリから選択される位置因子に基づいて位置因子列を生成し、前記位置因子列及び全要素動的因子テーブルの構造を含む生成される情報を前記クライアントへと送信するステップと、
    前記クライアントが、前記生成される情報を受信し、前記全要素動的因子テーブルの前記構造に基づいて前記全要素動的因子テーブルを生成し、前記位置因子列を前記全要素動的因子テーブル内へと配置するステップと、
    第1の位置規則に従ってユーザーが入力する動的グラフィカルパスワードを取得し、前記動的グラフィカルパスワードを前記認証サーバーへと送信するステップと、
    前記認証サーバーが、前記クライアントから前記動的グラフィカルパスワードを受信し、前記動的グラフィカルパスワードに対応しており解読を通して取得される前記第1の位置規則が予め設定されている位置規則と一貫している場合に、認証を成功と判断するステップと、
    を含むワンタイム動的位置認証方法。
  2. 前記全要素動的因子テーブルの前記構造を決定するステップが、前記認証サーバーと前記クライアントとの間の交渉を通じてなされ、前記全要素動的因子テーブルの前記構造が、外側テーブル形状の構造と、内側テーブル形状の構造とを含む、請求項1に記載のワンタイム動的位置認証方法。
  3. 前記全要素動的因子テーブルの前記構造を、前記交渉を通じて決定する前記ステップが、前記全要素動的因子テーブルの一定の構造を使用するステップを含む、請求項2に記載のワンタイム動的位置認証方法。
  4. 前記認証リクエストがユーザーIDを含み、前記ユーザーに対応する前記全要素動的因子テーブルの前記構造が、前記ユーザーIDに基づいて決定される、請求項2に記載のワンタイム動的位置認証方法。
  5. 前記生成される情報が、内側テーブル変更方法をさらに含み、
    前記位置因子列を前記全要素動的因子テーブル内へと配置する前記ステップが、
    前記内側テーブル変更方法に基づいて前記位置因子列を前記全要素動的因子テーブル内へと配置するステップを含む、請求項1乃至請求項4のいずれか1項に記載のワンタイム動的位置認証方法。
  6. 前記内側テーブル変更方法が、予め設定されているアルゴリズムに基づいて、前記認証サーバーにより決定される、請求項5に記載のワンタイム動的位置認証方法。
  7. 前記位置因子が、英字、単語、中国語文字、数字、記号、画像又は色を含む、請求項6に記載のワンタイム動的位置認証方法。
  8. 前記第1の位置規則が、連続的な位置因子の組み合わせ、非連続的な位置因子の組み合わせ、同一の場所で繰り返される位置因子の組み合わせ及び固定文字の組み合わせの内の1つか、又はそれらの任意の組み合わせを含む、請求項5に記載のワンタイム動的位置認証方法。
  9. 前記生成される情報を前記クライアントへと送信する前記ステップが、前記認証サーバーが、
    前記生成される情報を文字形態又は画像形態で前記クライアントへと送信するステップを含む、請求項5に記載のワンタイム動的位置認証方法。
  10. 前記ワンタイム動的位置認証方法が、前記クライアントが現在のユーザーのユーザーネームを取得するステップと、前記クライアントが前記動的グラフィカルパスワードを現在のユーザーネームとして使用するステップと、をさらに含む、請求項1に記載のワンタイム動的位置認証方法。
  11. クライアントが、位置因子ライブラリから選択される位置因子に基づいて位置因子列を生成し、全要素動的因子テーブルの構造に基づいて全要素動的因子テーブルを生成し、前記位置因子列を前記全要素動的因子テーブル内へと配置するステップと、
    第1の位置規則に従ってユーザーが入力する動的グラフィカルパスワードを取得し、前記動的グラフィカルパスワードを認証サーバーへと送信するステップと、
    前記認証サーバーが、前記クライアントから前記動的グラフィカルパスワードを受信し、前記動的グラフィカルパスワードに対応しており解読を通して取得される前記第1の位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するステップと、
    を含むワンタイム動的位置認証方法。
  12. 位置因子ライブラリから選択される位置因子に基づいて前記位置因子列を生成する前記ステップが、
    現在のユーザーが選択する位置因子と、前記全要素動的因子テーブルに含まれる前記位置因子の全数と、を取得するステップと、
    前記選択される位置因子と前記位置因子の全数とに基づいて前記位置因子列を生成するステップと、を含み、前記位置因子列に同一の位置因子が少なくとも2回存在する、請求項11に記載のワンタイム動的位置認証方法。
  13. 前記第1の位置規則が、連続的な位置因子の組み合わせ、非連続的な位置因子の組み合わせ、同一の場所で繰り返される位置因子の組み合わせ及び固定文字の組み合わせの内の1つか、又はそれらの任意の組み合わせを含む、請求項11又は請求項12に記載のワンタイム動的位置認証方法。
  14. ユーザーに認証を提供する認証サーバーと、前記ユーザーにネットワークログイン及びアクセスを提供するクライアントと、位置因子ライブラリと、を備えるワンタイム動的位置認証システムであって、
    前記認証サーバーが、前記クライアントから情報を受信するように構成されている第1の受信ユニットと、前記クライアントに情報を送信するように構成されている第1の送信ユニットと、前記第1の受信ユニット及び前記第1の送信ユニットに接続されている位置因子列生成ユニット、位置規則解読ユニット及びパスワード判断ユニットと、を含み、
    前記位置因子列生成ユニットが、前記位置因子ライブラリから選択される位置因子に基づいて位置因子列を生成するように構成され、前記第1の送信ユニットが、前記位置因子列及び全要素動的因子テーブルの構造を含む生成される情報を前記クライアントへと送信するように構成され、前記位置規則解読ユニットが、第1の位置規則に従ってユーザーが入力する動的グラフィカルパスワードを受信し、前記動的グラフィカルパスワードに対応する前記第1の位置規則を、解読を通して取得するように構成され、
    前記パスワード判断ユニットが、前記第1の位置規則が予め設定されている位置規則と一貫しているかどうかを判断し、前記第1の送信ユニットによって前記クライアントに判断結果を送信するように構成され、
    前記クライアントが、前記認証サーバーから情報を受信するように構成されている第2の受信ユニットと、情報を前記認証サーバーへと送信するように構成されている第2の送信ユニットと、前記第2の受信ユニット及び前記第2の送信ユニットに接続されている全要素動的因子テーブル表示ユニット及び動的グラフィカルパスワード生成ユニットと、を含み、
    前記全要素動的因子テーブル表示ユニットが、前記位置因子列を前記全要素動的因子テーブル内へと配置するように構成され、
    前記動的グラフィカルパスワード生成ユニットが、前記全要素動的因子テーブル内への前記第1の位置規則に従った前記ユーザーの入力に基づいて、前記動的グラフィカルパスワードを生成し、前記動的グラフィカルパスワードを前記第2の送信ユニットによって前記認証サーバーへと送信するように構成されている、ワンタイム動的位置認証システム。
  15. 前記第1の受信ユニットと前記第1の送信ユニットの間で、前記認証サーバーが、前記全要素動的因子テーブルの前記構造を前記クライアントと交渉するように構成されている第1の交渉ユニットをさらに含み、
    前記第2の受信ユニットと前記第2の送信ユニットの間で、前記クライアントが、前記全要素動的因子テーブルの前記構造を前記サーバーと交渉するように構成されている第2の交渉ユニットをさらに含む、請求項14に記載のワンタイム動的位置認証システム。
  16. 前記ワンタイム動的位置認証システムが負荷平衡器をさらに含み、前記負荷平衡器が、前記認証サーバーに接続され、受信した認証リクエストの負荷が設定されている負荷閾値よりも大きいかどうかを判断し、前記負荷が前記設定されている負荷閾値よりも大きい場合、最後に受信した認証リクエストを別の認証サーバーへと割り当てるように構成されている、請求項14又は請求項15に記載のワンタイム動的位置認証システム。
  17. 認証サーバーが、パスワード変更リクエストをクライアントから取得するステップと、
    全要素動的因子テーブルに基づいて2つの位置因子列を生成し、前記2つの位置因子列を前記クライアントへと1度に送信するステップと、
    前記クライアントが、前記2つの位置因子列を受信し、前記2つの位置因子列を複数の前記全要素動的因子テーブル内へとそれぞれ配置し、ユーザーによって入力される第1の動的グラフィカルパスワードを第1の全要素動的因子テーブルから第1の位置規則に従って取得し、前記ユーザーによって入力される第2の動的グラフィカルパスワードを第2の全要素動的因子テーブルから第2の位置規則に従って取得し、前記第1の動的グラフィカルパスワード及び前記第2の動的グラフィカルパスワードを前記認証サーバーへと送信するステップと、
    前記認証サーバーが、前記クライアントから前記2つの動的グラフィカルパスワードを受信し、前記2つの動的グラフィカルパスワードに対応しており解読を通して取得される前記第1の位置規則及び前記第2の位置規則が同一である場合、前記第1の位置規則又は前記第2の位置規則を新しい動的グラフィカルパスワードとして使用し、パスワード変更を成功と示すか、又はそうでない場合はパスワード変更を失敗と示すステップと、
    前記クライアントが、前記認証サーバーが送信するパスワード変更成功又は失敗の結果を受信するステップと、
    を含むワンタイム動的パスワード変更方法。
  18. 前記認証サーバーが変更前のパスワード、前記第1の動的グラフィカルパスワード及び前記第2の動的グラフィカルパスワードを取得する工程が、
    まず前記認証サーバーが、変更前のパスワードを前記クライアントから取得し、前記変更前のパスワードが予め設定されているパスワードと同じ場合、次に前記第1の動的グラフィカルパスワード及び前記第2の動的グラフィカルパスワードを取得するステップか、
    又は前記認証サーバーが、前記変更前のパスワードと、前記第1の動的グラフィカルパスワードと、前記第2の動的グラフィカルパスワードとを前記クライアントから同時に取得するステップか、
    を含む請求項17に記載のワンタイム動的パスワード変更方法。
  19. クライアントが、全要素動的因子テーブルの構造を取得するステップと、
    前記全要素動的因子テーブルの前記構造に基づいて、位置因子ライブラリから位置因子を選択し、位置因子列を生成するステップと、
    ユーザーが、前記位置因子列に基づいて生成される前記全要素動的因子テーブルに基づいて動的グラフィカルパスワードを入力し、前記動的グラフィカルパスワードと前記全要素動的因子テーブルの情報とを含む認証情報を認証サーバーへと送信するステップと、
    前記認証サーバーが、前記クライアントから前記動的グラフィカルパスワードを受信し、前記動的グラフィカルパスワードに対応しており解読を通して取得される位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するステップと、
    を含むワンタイム動的位置認証方法。
  20. クライアントが前記全要素動的因子テーブルの前記構造を取得する前記ステップが、
    前記クライアントが、認証リクエストを前記認証サーバーへと送信するステップと、
    前記認証サーバーが、前記認証リクエストに基づいて前記全要素動的因子テーブルの前記構造を決定し、前記全要素動的因子テーブルの前記構造を前記クライアントへと送信するステップと、
    を含む請求項19に記載のワンタイム動的位置認証方法。
  21. ネットワークアクセスユーザーに認証サービスを提供する認証サーバーと、ネットワークを通じて前記認証サーバーに接続され、前記ネットワークアクセスユーザーにネットワークログイン及びアクセスを提供するクライアントと、を備えるワンタイム動的位置認証システムであって、
    前記クライアントが、動的因子テーブル構造取得ユニットと、情報処理ユニットと、前記認証サーバーへと情報を送信するように構成されている第1の送信ユニットと、を含むクライアントであって、
    前記動的因子テーブル構造取得ユニットが、全要素動的因子テーブルの構造を取得するように構成され、
    前記情報処理ユニットが、前記全要素動的因子テーブル構造に基づいて位置因子ライブラリから位置因子を選択し、位置因子列を生成するように構成され、前記位置因子列に基づいて生成される全要素動的因子テーブルに基づいて動的グラフィカルパスワードを前記ネットワークアクセスユーザーによって入力され、
    前記第1の送信ユニットが、前記動的グラフィカルパスワードと前記全要素動的因子テーブルの情報とを含む認証情報を前記認証サーバーへと送信するように構成され、
    前記認証サーバーが、前記クライアントから情報を受信するように構成されている第1の受信ユニットと、位置規則解読ユニットと、パスワード判断ユニットと、を含む認証サーバーであって、
    前記位置規則解読ユニットが、前記動的グラフィカルパスワードに対応する位置規則を、解読を通して取得するように構成され、
    前記位置規則判断ユニットが、前記動的グラフィカルパスワードに対応する前記位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するように構成されている、ワンタイム動的位置認証システム。
  22. クライアントが全要素動的因子テーブルの構造を取得するステップと、
    前記動的因子テーブル構造に基づいて、位置因子ライブラリから位置因子を選択し、第1の位置因子列を生成するステップと、
    ユーザーが、前記第1の位置因子列に基づいて生成される第1の全要素動的因子テーブルに基づいて動的グラフィカルパスワードを入力し、前記動的グラフィカルパスワードを含む認証情報を認証サーバーへと送信するステップと、
    前記認証サーバーが、前記クライアントが送信する前記認証情報を受信するステップと、
    前記第1の全要素動的因子テーブルと同じ、第2の全要素動的因子テーブルを生成するステップと、
    前記第2の全要素動的因子テーブルに基づいて前記動的グラフィカルパスワードを解読し、前記動的グラフィカルパスワードに対応しており解読を通して取得される位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するステップと、
    を含むワンタイム動的位置認証方法。
  23. ネットワークアクセスユーザーに認証サービスを提供する認証サーバーと、ネットワークを通じて前記認証サーバーに接続され、前記ネットワークアクセスユーザーにネットワークログイン及びアクセスを提供するクライアントと、を備えるワンタイム動的位置認証システムであって、
    前記クライアントが、動的因子テーブル構造取得ユニットと、情報処理ユニットと、前記認証サーバーへと情報を送信するように構成されている第1の送信ユニットと、を含むクライアントであって、
    前記動的因子テーブル構造取得ユニットが、全要素動的因子テーブルの構造を取得するように構成され、
    前記情報処理ユニットが、前記動的因子テーブル構造に基づいて位置因子ライブラリから位置因子を選択し、第1の位置因子列を生成するように構成され、前記第1の位置因子列に基づいて生成される第1の全要素動的因子テーブルに基づいて動的グラフィカルパスワードを前記ネットワークアクセスユーザーによって入力され、
    前記第1の送信ユニットが、前記動的グラフィカルパスワードを含む認証情報を前記認証サーバーへと送信するように構成され、
    前記認証サーバーが、前記クライアントから情報を受信するように構成されている第1の受信ユニットと、動的因子テーブル生成ユニットと、位置規則解読ユニットと、パスワード判断ユニットと、を含む認証サーバーであって、
    前記動的因子テーブル生成ユニットが、前記第1の全要素動的因子テーブルと同じ、第2の全要素動的因子テーブルを生成するように構成され、
    前記位置規則解読ユニットが、前記第2の全要素動的因子テーブルに基づいて前記動的グラフィカルパスワードを解読し、前記動的グラフィカルパスワードに対応する位置規則を取得するように構成され、
    前記位置規則判断ユニットが、前記動的グラフィカルパスワードに対応する前記位置規則が予め設定されている位置規則と一貫している場合、認証を成功と判断するように構成されている、ワンタイム動的位置認証システム。
  24. クライアントが全要素動的因子テーブルの構造を取得するステップと、
    前記全要素動的因子テーブル構造に基づいて、位置因子ライブラリから位置因子を選択し、2つの位置因子列を生成するステップと、
    ユーザーが、前記2つの位置因子列に基づいて生成される2つの全要素動的因子テーブルに基づいて2つの動的グラフィカルパスワードを入力し、前記2つの動的グラフィカルパスワードと前記2つの全要素動的因子テーブルの情報とを含むパスワード変更情報を認証サーバーへと送信するステップと、
    前記認証サーバーが、前記2つの動的グラフィカルパスワードを前記クライアントから受信し、前記2つの動的グラフィカルパスワードに対応する第1の位置規則及び第2の位置規則を前記2つの全要素動的因子テーブルの情報に基づいて解読を通して取得し、前記第1の位置規則及び前記第2の位置規則が同一である場合、前記第1の位置規則又は前記第2の位置規則を新しい動的グラフィカルパスワードとして使用し、パスワード変更を成功と示すか、又はそうでない場合はパスワード変更を失敗と示すステップと、
    前記クライアントが、前記認証サーバーが送信するパスワード変更成功又は失敗の結果を受信するステップと、
    を含むワンタイム動的パスワード変更方法。
  25. クライアントが全要素動的因子テーブルの構造を取得するステップと、
    前記全要素動的因子テーブルの前記構造に基づいて、位置因子ライブラリから位置因子を選択し、2つの第1の位置因子列を生成するステップと、
    ユーザーが、前記2つの第1の位置因子列に基づいて生成される2つの第1の全要素動的因子テーブルに基づいて2つの動的グラフィカルパスワードを入力し、前記2つの動的グラフィカルパスワードを含むパスワード変更情報を認証サーバーへと送信するステップと、
    前記認証サーバーが、前記クライアントが送信する前記パスワード変更情報を受信するステップと、
    前記2つの第1の全要素動的因子テーブルと同じ、2つの第2の全要素動的因子テーブルを生成するステップと、
    前記2つの動的グラフィカルパスワードに対応する第1の位置規則及び第2の位置規則を前記2つの第2の全要素動的因子テーブルに基づいて解読を通して取得し、前記第1の位置規則及び前記第2の位置規則が同一である場合、前記第1の位置規則又は前記第2の位置規則を新しい動的グラフィカルパスワードとして使用し、パスワード変更を成功と示すか、又はそうでない場合はパスワード変更を失敗と示すステップと、
    前記クライアントが、前記認証サーバーが送信するパスワード変更成功又は失敗の結果を受信するステップと、
    を含むワンタイム動的パスワード変更方法。
JP2018558473A 2016-01-29 2017-01-25 ワンタイム動的位置認証方法及びシステム並びにワンタイム動的パスワード変更方法 Active JP6713548B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201610066012.3A CN105743893B (zh) 2016-01-29 2016-01-29 一次性动态定位认证方法、系统和密码变更方法
CN201610066012.3 2016-01-29
PCT/CN2017/072628 WO2017129134A1 (zh) 2016-01-29 2017-01-25 一次性动态定位认证方法、系统和密码变更方法

Publications (2)

Publication Number Publication Date
JP2019505941A true JP2019505941A (ja) 2019-02-28
JP6713548B2 JP6713548B2 (ja) 2020-06-24

Family

ID=56248137

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018558473A Active JP6713548B2 (ja) 2016-01-29 2017-01-25 ワンタイム動的位置認証方法及びシステム並びにワンタイム動的パスワード変更方法

Country Status (5)

Country Link
US (1) US11233786B2 (ja)
EP (1) EP3410669A4 (ja)
JP (1) JP6713548B2 (ja)
CN (1) CN105743893B (ja)
WO (1) WO2017129134A1 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105743893B (zh) * 2016-01-29 2018-10-23 大连秘阵科技有限公司 一次性动态定位认证方法、系统和密码变更方法
CN107688733B (zh) * 2017-07-25 2020-03-06 深圳壹账通智能科技有限公司 业务接口调用方法、装置、用户终端和可读存储介质
CN110611562B (zh) * 2018-06-15 2023-05-26 陈超 基于触点连线控制指令的密码学领域人机互动应用方法
US11822637B2 (en) * 2018-10-18 2023-11-21 Oracle International Corporation Adaptive authentication in spreadsheet interface integrated with web service
CN109472906B (zh) * 2018-12-26 2020-11-10 上海银基信息安全技术股份有限公司 数字钥匙生成方法、应用方法、装置、系统、终端及介质
CN111465020A (zh) * 2019-01-18 2020-07-28 中兴通讯股份有限公司 一种防伪基站方法及装置、计算机可读存储介质
US11290439B1 (en) 2019-04-03 2022-03-29 Snap Inc. Multiple application list prioritization
JP7338386B2 (ja) * 2019-10-04 2023-09-05 富士フイルムビジネスイノベーション株式会社 情報処理装置、情報処理システム及びプログラム
CN111143812B (zh) * 2019-11-15 2022-06-10 南京航空航天大学 一种基于图形的登陆认证方法
US11244041B2 (en) * 2020-03-05 2022-02-08 International Business Machines Corporation Dynamic password generation using morphological groups
CN111753289A (zh) * 2020-05-22 2020-10-09 北京海泰方圆科技股份有限公司 口令认证方法及装置、电子设备、计算机可读存储介质
CN111882719A (zh) * 2020-07-31 2020-11-03 孙忠飞 一种基于动态密码的密码防盗方法、装置及智能锁具
CN114745178A (zh) * 2022-04-11 2022-07-12 中国南方电网有限责任公司 身份认证方法、装置、计算机设备、存储介质和程序产品

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005196800A (ja) * 2002-02-13 2005-07-21 Hideji Ogawa ユーザ認証方法およびユーザ認証システム
JP2006301684A (ja) * 2005-04-15 2006-11-02 Hitachi Advanced Digital Inc 本人認証方式
JP2007264839A (ja) * 2006-03-27 2007-10-11 Cse:Kk ユーザ認証システム、およびその方法
WO2011099161A1 (ja) * 2010-02-15 2011-08-18 株式会社 シー・エス・イー コンテンツ提示型認証システム
JP2011253433A (ja) * 2010-06-03 2011-12-15 Ntt Communications Corp 認証装置、位置情報の登録方法、および位置情報登録プログラム
KR20140075855A (ko) * 2012-12-03 2014-06-20 주식회사 엘지씨엔에스 인증패턴 입력 장치 및 방법, 그리고 인증 시스템 및 인증 방법
JP2014215853A (ja) * 2013-04-26 2014-11-17 エヌ・ティ・ティ・コミュニケーションズ株式会社 認証システムおよび認証方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8191126B2 (en) * 2009-05-04 2012-05-29 Indian Institute Of Technology Madras Methods and devices for pattern-based user authentication
GB2477513B (en) * 2010-02-03 2015-12-23 Orbital Multi Media Holdings Corp Redirection apparatus and method
US9280281B2 (en) * 2012-09-12 2016-03-08 Insyde Software Corp. System and method for providing gesture-based user identification
CN104700007B (zh) * 2015-03-18 2017-08-04 詹万泉 一种手势印象密码的设置及应用方法
CN104978144A (zh) * 2015-06-26 2015-10-14 中国工商银行股份有限公司 手势密码输入设备和系统,及基于该系统进行交易的方法
CN105743893B (zh) * 2016-01-29 2018-10-23 大连秘阵科技有限公司 一次性动态定位认证方法、系统和密码变更方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005196800A (ja) * 2002-02-13 2005-07-21 Hideji Ogawa ユーザ認証方法およびユーザ認証システム
JP2006301684A (ja) * 2005-04-15 2006-11-02 Hitachi Advanced Digital Inc 本人認証方式
JP2007264839A (ja) * 2006-03-27 2007-10-11 Cse:Kk ユーザ認証システム、およびその方法
WO2011099161A1 (ja) * 2010-02-15 2011-08-18 株式会社 シー・エス・イー コンテンツ提示型認証システム
JP2011253433A (ja) * 2010-06-03 2011-12-15 Ntt Communications Corp 認証装置、位置情報の登録方法、および位置情報登録プログラム
KR20140075855A (ko) * 2012-12-03 2014-06-20 주식회사 엘지씨엔에스 인증패턴 입력 장치 및 방법, 그리고 인증 시스템 및 인증 방법
JP2014215853A (ja) * 2013-04-26 2014-11-17 エヌ・ティ・ティ・コミュニケーションズ株式会社 認証システムおよび認証方法

Also Published As

Publication number Publication date
US20210218731A1 (en) 2021-07-15
US11233786B2 (en) 2022-01-25
WO2017129134A1 (zh) 2017-08-03
EP3410669A4 (en) 2019-09-18
CN105743893A (zh) 2016-07-06
CN105743893B (zh) 2018-10-23
EP3410669A1 (en) 2018-12-05
JP6713548B2 (ja) 2020-06-24

Similar Documents

Publication Publication Date Title
JP6713548B2 (ja) ワンタイム動的位置認証方法及びシステム並びにワンタイム動的パスワード変更方法
US11297055B2 (en) Multifactor contextual authentication and entropy from device or device input or gesture authentication
US11468151B2 (en) System and method for memetic authentication and identification
EP3420677B1 (en) System and method for service assisted mobile pairing of password-less computer login
JP6426791B2 (ja) ユーザ認証方法及びこれを実現するためのシステム
US8752147B2 (en) System and method for two-factor user authentication
US8255696B2 (en) One-time password access to password-protected accounts
US9729540B2 (en) System and method for user authentication
JP6701359B2 (ja) 動的グラフィカルパスワードベースのネットワーク登録方法及びシステム
KR102055625B1 (ko) 인증 서버 장치, 프로그램 및 인증 방법
KR20130131682A (ko) 웹 서비스 사용자 인증 방법
US9143510B2 (en) Secure identification of intranet network
JP2011164837A (ja) 認証システムおよび認証方法
JP2008028695A (ja) 情報漏洩防止方法
KR100844195B1 (ko) 그래픽 오티피를 이용한 사용자 인증 방법
JP2013097661A (ja) 認証装置及び認証方法
KR20090013616A (ko) 서버 인증 코드를 이용한 서버 인증 시스템 및 방법
KR20080080064A (ko) 그래픽 오티피를 이용한 사용자 인증 방법
KR20200032857A (ko) 디지털인감을 이용한 안전한 비밀번호 인증 프로토콜
JP2018010520A (ja) 認証装置、端末、認証システムおよび認証方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181011

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181011

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190627

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190709

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190917

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200430

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200526

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200603

R150 Certificate of patent or registration of utility model

Ref document number: 6713548

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250