JP4659806B2 - セキュリティー認証システム及びその方法 - Google Patents

セキュリティー認証システム及びその方法 Download PDF

Info

Publication number
JP4659806B2
JP4659806B2 JP2007264229A JP2007264229A JP4659806B2 JP 4659806 B2 JP4659806 B2 JP 4659806B2 JP 2007264229 A JP2007264229 A JP 2007264229A JP 2007264229 A JP2007264229 A JP 2007264229A JP 4659806 B2 JP4659806 B2 JP 4659806B2
Authority
JP
Japan
Prior art keywords
security
user terminal
user
security module
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007264229A
Other languages
English (en)
Other versions
JP2009020853A (ja
Inventor
鄭榮植
崔仁赫
ソン、ミン‐チョル
白宗原
李誠鎬
方祥晞
全相勳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Naver Cloud Corp
Original Assignee
Naver Cloud Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Naver Cloud Corp filed Critical Naver Cloud Corp
Publication of JP2009020853A publication Critical patent/JP2009020853A/ja
Application granted granted Critical
Publication of JP4659806B2 publication Critical patent/JP4659806B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Description

本発明は、セキュリティー認証システム及び方法に関し、より詳しくは、使用者の情報の流出を防止しながら使用者認証を行うことができるセキュリティー認証システム及びその方法に関するものである。
インターネットは現代生活になくてはいけない必需品となっており、電子商取引、インターネットバンキング、オンラインゲームなどのインターネットサービスの利用も一般化されている。このようなインターネットサービスを利用するためには、通常、使用者は当該サービスの会員に加入しなければならず、サービス提供者による使用者認証を経て当該サービスを利用することができる。使用者認証は使用者が使用者端末機のウェブブラウザーにID(identification)及びパスワードを入力してサーバーに伝送した後、サーバーがこれを確認する過程からなる。
他人の使用者端末機にハッキングツールをこっそりと設置し、ID及びパスワードを抽出して盗用する犯罪が増加している。ハッキングツールの一例として、ブラウザーヘルパーオブジェクト(browserhelper object、以下、BHOという)がある。これは当初ウェブブラウザーの機能を拡張させるために開発されたものとして、ウェブブラウザーが自主的に提供できない機能を支援する。しかしながら、当初の目的とは異なり、スパイウェアやアドウェア又はハッキングなどに利用される場合が多く、特に使用者認証過程において使用者端末機からサーバーに伝送される使用者認証情報を横取りする方法でハッキングに利用される。ハッキングツールの他の例として、キーロガー(KeyLogger)がある。キーロガーは使用者が入力したキーボード情報を横取りして外部に流出させる。
このようなハッキングツールによるハッキングを防止するために多様なセキュリティープログラムが開発されている。一般にセキュリティープログラムは、ハッキングツールを使用者端末機で捜し出して削除したり、又は使用者認証情報を暗号化するなどの方式でハッキングを防止する。様々なセキュリティープログラムのうち、使用者が自己に適した又は自己が願望するセキュリティープログラムを捜して設置することは容易ではない。
そこで、本発明の目的は、多様な方式のハッキングを防止し、使用者に便宜性と安定性を提供しながら使用者認証を行うことができるセキュリティー認証システム及びその方法を提供することにある。
このような技術的課題を解決するための本発明の1つの側面におけるセキュリティー認証システムは、少なくとも二つのセキュリティーレベルを提供し、使用者端末機の環境に基づいて該少なくとも二つのセキュリティーレベルにそれぞれ対応する少なくとも二つのセキュリティーモジュールのうちのいずれか一つを上記使用者端末機に伝送するウェブサーバーと、上記使用者端末機から使用者認証要請を受けて使用者認証を行う認証サーバーとを含むことを特徴とする。
また、上記ウェブサーバーは、上記使用者端末機に第1プログラムが設置されているか否かにより上記少なくとも二つのセキュリティーモジュールのうちのいずれか一つを上記使用者端末機に伝送することができる。
また、使用者の選択により上記少なくとも二つのセキュリティーレベルのうちのいずれか一つが選択された場合、上記ウェブサーバーが、選択されたセキュリティーレベルに対応するセキュリティーモジュールを上記使用者端末機に伝送することができる。
また、上記認証サーバーは、公開キー及びセッションキーを上記使用者端末機に伝送し、上記公開キー及びセッションキーにより暗号化された暗号文を上記使用者端末機から受信することができる。
また、上記少なくとも二つのセキュリティーモジュールは、使用者により入力されたID及びパスワードを暗号化して上記認証サーバーに伝送することができる。
また、上記少なくとも二つのセキュリティーモジュールは、スクリプト言語で生成され、ブラウザー内で実行される第1セキュリティーモジュールと、第1プログラムにより実行され、ログイン窓を生成して当該ログイン窓に入力されるID及びパスワードをブラウザーが認識することができないようにする第2セキュリティーモジュールと、アクティブエックス(ActiveX)形態で上記使用者端末機に設置され、上記使用者端末機の入力装置から入力信号を受け、虚偽信号を生成して上記ブラウザーに伝達する第3セキュリティーモジュールと、を含むことができる。
上記ウェブサーバーは、上記第1プログラムが上記使用者端末機に設置されている場合に、上記第2セキュリティーモジュールを上記使用者端末機に伝送し、上記第1プログラムが上記使用者端末機に設置されていない場合に、上記第1セキュリティーモジュールを上記使用者端末機に伝送するように構成することができる。
また、上記少なくとも二つのセキュリティーレベルは、上記第1から第3セキュリティーモジュールにそれぞれ対応する第1から第3セキュリティーレベルを含み、上記ウェブサーバーは、使用者が上記第1から第3セキュリティーレベルのうちのいずれか一つを選択した場合に、選択されたセキュリティーレベルに対応するセキュリティーモジュールを使用者端末機に伝送するように構成することができる。
また、上記第1プログラムは、フラッシュプレーヤであることができる。
また、本発明の他の側面におけるセキュリティー認証方法は、少なくとも二つのセキュリティーレベルを提供する段階と、使用者端末機の環境に基づいて上記少なくとも二つのセキュリティーレベルにそれぞれ対応する少なくとも二つのセキュリティーモジュールのうちのいずれか一つを上記使用者端末機に伝送する段階と、上記使用者端末機から使用者認証要請を受けて使用者認証を行う段階とを含むことを特徴とする。
また、上記セキュリティーモジュール伝送段階は、上記使用者端末機に第1プログラムが設置されているのかを判断し、判断結果に応じて上記少なくとも二つのセキュリティーモジュールのうちのいずれか一つを上記使用者端末機に伝送する段階を含むことができる。
また、上記セキュリティーモジュール伝送段階は、使用者の選択により上記少なくとも二つのセキュリティーレベルのうちのいずれか一つが選択される場合に、選択されたセキュリティーレベルに対応するセキュリティーモジュールを上記使用者端末機に伝送する段階を含むことができる。
また、公開キー及びセッションキーを上記使用者端末機に伝送する段階をさらに含み、上記使用者認証遂行段階は、上記公開キー及びセッションキーにより暗号化された暗号文を上記使用者端末機から受信する段階を含むことができる。
また、上記少なくとも二つのセキュリティーモジュールは、使用者により入力されたID及びパスワードを暗号化するように構成することができる。
また、上記少なくとも二つのセキュリティーモジュールは、スクリプト言語で生成され、ブラウザー内で実行される第1セキュリティーモジュールと、第1プログラムにより実行され、ログイン窓を生成して当該ログイン窓に入力されるID及びパスワードを上記ブラウザーが認識することができないようにする第2セキュリティーモジュールと、アクティブエックス形態で上記使用者端末機に設置され、上記使用者端末機の入力装置から入力信号を受け、虚偽信号を生成して上記ブラウザーに伝達する第3セキュリティーモジュールとを含むことができる。
また、上記セキュリティーモジュール伝送段階は、上記第1プログラムが上記使用者端末機に設置されている場合に、上記第2セキュリティーモジュールを上記使用者端末機に伝送し、上記第1プログラムが上記使用者端末機に設置されていない場合には、上記第1セキュリティーモジュールを上記使用者端末機に伝送する段階を含むことができる。
また、上記少なくとも二つのセキュリティーレベルは、第1から第3セキュリティーモジュールにそれぞれ対応する第1から第3セキュリティーレベルを含み、上記セキュリティーモジュール伝送段階は、使用者が第1から第3セキュリティーレベルのうちのいずれか一つを選択する場合、選択されたセキュリティーレベルに対応するセキュリティーモジュールを上記使用者端末機に伝送する段階を含むことができる。
また、本発明のさらに他の側面におけるコンピュータ読み取り可能な記憶媒体は、上記セキュリティー認証方法のうちのいずれか一つをコンピュータに実行させるためのプログラムを記録する。
本発明によれば、使用者端末機の環境に基づいてウェブサーバーが使用者端末機に適したセキュリティーモジュールを提供することができ、当該セキュリティーモジュールを通じてハッキングから使用者情報を保護することが可能となる。
また、使用者が自己のウェブページ接続用途に応じてセキュリティーレベルを選択したり、又は使用者自身が願望するセキュリティーレベルを任意に選択してログインすることができるので、使用者の便宜性と安定性がより一層強化されたセキュリティー認証を提供することが可能となる。
発明を実施するための最良の態様
以下、添付の図面を参照しながら、本発明を好適な実施例に則して詳細に説明する。
図1は、本発明の実施例におけるセキュリティー認証システムを説明するためのブロック図である。
図1に示すように、本実施例のセキュリティー認証システムは、ウェブサーバー100、使用者情報データベース120、及び認証サーバー140を含み、通信網200を介して複数の使用者端末機300に連結される。
使用者端末機300は、インターネットサービスを提供するインターネットサービスシステム(図示せず)、ウェブサーバー100、及び認証サーバー140と通信する装置であり、通信網200を介してこれらのシステム、サーバー等に接続し、情報のやりとりを行う。使用者端末機300は、デスクトップコンピュータのみならず、ノート型パーソナルコンピュータ、ワークステーション、パームトップ(palmtop)コンピュータ、個人携帯情報端末機(personaldigital assistant(PDA))、ウェブパッドなどのようにメモリ手段を備え、マイクロプロセッサが搭載されて演算能力を有する端末機などであってもよい。
一方、インターネットサービスの提供を受けようとする使用者は、自己の氏名、住民登録番号、ID(又は使用者識別符号)、パスワードなどの個人情報を使用者端末機300に入力してインターネットサービス提供者に送信(登録)し、所定の手順を経て会員となり、会員となった後に当該インターネットサービスを利用することができるようになる。
使用者端末機300は、ブラウザー310及びセキュリティーモジュール320を含む。ブラウザー310は使用者端末機300に設置(インストール)され、使用者の操作により通信網200を介してサービスシステム、ウェブサーバー100、及び認証サーバー140に接続して多様な機能を遂行する。ブラウザー310の例としては、Microsoft社のInternetExplorer、Netscape、Mozilla、Firefoxなどが挙げられるが、これに限定されず、インターネットサービスシステム、ウェブサーバー100、及び認証サーバー140と通信を行うことができるものであればよい。
ブラウザー310は、ウェブサーバー100から伝送されたウェブページ情報に基づいてログイン窓(ログインウインドウ)を含むウェブページを表示する。使用者はログイン窓にID及びパスワードを入力して使用者認証を要請し、ブラウザー310は、認証サーバー140から認証成功メッセージ又は認証失敗メッセージを受け、これを使用者端末機300に表示する。
セキュリティーモジュール320は、認証サーバー140から受信したセッションキー(session key)及び公開キー(public key)を利用して使用者が使用者端末機300に入力したID及びパスワードなどの使用者情報を暗号化する。セキュリティーモジュール320は多様な暗号化方式を使用して使用者情報を暗号化することができ、本実施例では、公開キー暗号方式のうちの代表的なRSA(Rivest-Shamir-Adleman)方式を一例に説明するが、これに限らず他の公開キー暗号方式を使用することができる。また、セキュリティーモジュール320は、公開キー方式と対称キー方式が混合された方式を使用して使用者情報を暗号化することもできる。使用者情報を暗号化するロジックは、Javascript、Flash、C、C++、Javaなど全ての言語で具現され得る。このようにセキュリティーモジュール320により暗号化された認証データが伝達される際、暗号化された認証データがハッキングツールにより抽出されても、これから使用者情報を抽出することは不可能である。
セキュリティーモジュール320は、第1セキュリティーモジュール321、第2セキュリティーモジュール322、及び第3セキュリティーモジュール323のうちのいずれか一つを含み、これらはそれぞれ第1セキュリティーレベル、第2セキュリティーレベル、及び第3セキュリティーレベルに対応する。使用者が第1セキュリティーレベル、第2セキュリティーレベル、及び第3セキュリティーレベルのうちのいずれか一つを選択すると、使用者が選択したセキュリティーレベルに対応するセキュリティーモジュール320がウェブサーバー100から伝送されて使用者端末機300で動作する。
第1セキュリティーレベルは、普通の水準のセキュリティーレベルを示し、フラッシュプレーヤ(第1プログラム)が設置されていない使用者端末機300に適用される。第1セキュリティーレベルでは、第1セキュリティーモジュール321により使用者情報が保護される。第2セキュリティーレベルは、一定の水準以上のセキュリティーレベル(推奨水準)を示し、フラッシュプレーヤ(第1プログラム)が設置されている使用者端末機300に適用される。第2セキュリティーレベルでは、第2セキュリティーモジュール322により使用者情報が保護され、第1セキュリティーレベルのセキュリティー効果が含まれる。第3セキュリティーレベルは、最上位のセキュリティーレベルを示し、完璧な水準のセキュリティーが要求される使用者端末機300に適用される。第3セキュリティーレベルでは、第3セキュリティーモジュール323により使用者情報が保護され、第1及び第2セキュリティーレベルのセキュリティー効果が含まれる。
第1セキュリティーモジュール321は、スクリプト(script)言語で生成された命令文の集合で構成することができ、HTML(hypertext markup language)文書と有機的に結合してブラウザー310内で解釈され実行される。例えば、第1セキュリティーモジュール321は、javascript又はvisualbasic scriptで生成することができるが、これに限定されない。第1セキュリティーモジュール321は、ログイン窓に入力されたID及びパスワードを暗号化してブラウザー310に伝達し、ブラウザー310が暗号化された認証データを認証サーバー140に伝達する。このため、ブラウザー310内でハッキングツールであるBHOがページ移動及び画面戻りなどのブラウザーイベントにアクセスして認証データを抽出[BHOブラウザーイベントフッキング(hooking)]しても、認証データが暗号化されているので、使用者認証情報が露出されない(解読できない)。
第2セキュリティーモジュール322は、使用者端末機300に設置されたフラッシュプレーヤ(flash player)により動作するフラッシュファイルで構成することができ、HTMLから構成されるログイン窓の代わりにフラッシュで構成されたログイン窓をウェブページに表示する。第2セキュリティーモジュール322は、ログイン窓に入力されるID及びパスワードを暗号化してブラウザー310に伝達し、ブラウザー310が暗号化された認証データを認証サーバー140に伝達する。このため、ブラウザー310は、ログイン窓に入力されたID及びパスワードを認識(解読)できず、BHOによるHTML要素アクセス(elementaccess)によるハッキングや、HTML要素偽変造によるハッキングを防止することができる。勿論、第2セキュリティーモジュール322は、上述した第1セキュリティーモジュール321のBHOブラウザーイベントフッキングによるハッキング防止が含まれるように構成できる。一方、第2セキュリティーモジュール321は、フラッシュの代わりにJavaAppletから構成することも可能である。
第3セキュリティーモジュール323は、使用者がキーボードなどの入力装置(図示せず)に入力するID及びパスワードなどの使用者情報を入力装置から直接受けて独占し、使用者情報が使用者端末機の運営体系(operatingsystem、OS)に露出されないようにしながら使用者情報に関する虚偽信号を生成してブラウザー310に伝達する。第3セキュリティーモジュール323は、入力装置からの使用者情報を独占するために、キーボードセキュリティーソリューションの一種であるキーディフェンス(KeyDefense)プログラムを含むことができ、これはアクティブエックス(ActiveX)により設置(インストール)することができるが、これに限らない。
虚偽信号は、任意のテキストから構成することができ、ブラウザー310は虚偽信号によるパスワードをログイン窓に表示する。第3セキュリティーモジュール323は、入力装置から受けたID及びパスワードを暗号化してブラウザー310に伝達し、ブラウザー310が暗号化された認証データを認証サーバー140に伝達する。従って、BHOがHTML要素アクセスを通じて使用者情報などをハッキングしても、これは虚偽信号によるものであるため、実際の使用者情報は露出されることがなく、BHOブラウザーイベントフッキングによるハッキングによっても使用者情報は露出されない。これに加え、使用者が入力した使用者情報が使用者端末機300の運営体系(OS)に露出されないので、運営体系水準で発生するキーロガーや悪性コードなどによるキーボードストロークフッキングなどのハッキングにより使用者情報が流出されることを根本的に遮断することができる。つまり、使用者情報が入力装置からブラウザー310に伝送される経路が、多様な経路を経るため、各経路毎に悪性コードなどが使用者情報を横取りすることができるが、本実施例の第3セキュリティーモジュール323が、使用者情報を独占して有することで、ブラウザー310が必要なときに虚偽信号及び暗号化された認証情報を伝達し、悪性コードなどによるハッキングを防止することができる。
通信網200は構内情報通信網(local area network(LAN))、都市圏通信網(metropolitan areanetwork(MAN))、広域通信網(wide area network(WAN))、インターネットなどを含むデータ通信網だけでなく、電話網などを含むことができ、有線と無線を問わずに如何なる通信方式を使用しても構わない。
ウェブサーバー100は、使用者端末機300の要請に応じてログインページを含むインターネットサービス関連ウェブページを使用者端末機300に提供し、使用者端末機300がログイン窓を含むインターネットサービス関連ページを表示する。また、ウェブサーバー100は、使用者端末機300にセキュリティーモジュール320を伝送し、使用者がセキュリティーモジュール320を通じて使用者端末機300でセキュリティーログインを行えるようにする。
ウェブサーバー100は、使用者端末機300の環境に基づいて第1から第3セキュリティーモジュール321、322、323のうちのいずれか一つを伝送し、又は使用者により設定されたセキュリティーレベル情報を使用者端末機300から受け、これに基づいて対応する当該セキュリティーモジュール320を伝送する。ウェブサーバー100は、使用者端末機300が接続する度に当該セキュリティーモジュール320を伝送することも可能であるが、一度伝送して使用者端末機300に設置されると、アップデートなどの場合を除いて再度伝送しないように構成することもできる。
使用者情報データベース120は、ウェブサーバー100及び認証サーバー140に連結されており、ID、暗号化されたパスワード、ユーザー氏名、住民登録番号、電子メールアドレスなどの使用者情報を格納する。ここで、使用者情報データベース120は、セキュリティーのためにパスワードを直接記憶せず、例えば、MD5(messagedigest 5)のようなハッシュアルゴリズムを利用して暗号化されたパスワードを記憶する。使用者情報データベース120は、ウェブサーバー100及び認証サーバー140からの要請により使用者情報をウェブサーバー100及び認証サーバー140に提供する。
認証サーバー140は、使用者端末機300から使用者認証の要請、つまり、ログイン要請を受けると使用者認証を行う。認証サーバー140は、使用者端末機300へ公開キー及びセッションキーを伝送し、使用者端末機300から暗号化された認証データを受けると、保有している秘密キー(privatekey)をもって暗号化された認証データを複号化し、復号化されたセッションキーが有効であるのかを判断し、使用者情報データベース120に保存されている使用者情報と復号化されたIDとパスワードが一致するのかを判断する。このとき、認証サーバー140は、復号化されたパスワードをMD5などのハッシュアルゴリズムを利用して暗号化した後、使用者情報データベース120に保存されている暗号化されたパスワードと一致するのかを判断する。認証サーバー140は、認証遂行による結果として認証メッセージを使用者端末機300に伝送する。認証メッセージは、認証成功メッセージ及び認証失敗メッセージのうちのいずれか一つを含む。認証サーバー140は、使用者端末機300から要請を受けて公開キー及びセッションキーを伝送するが、当該要請とは関係なく伝送することも可能である。
なお、上記説明では、認証サーバー140と使用者端末機300が直接公開キー、セッションキー認証データ及び認証メッセージなどを送受信するものとして説明したが、これら又はこれらの一部はウェブサーバー100を経由して送受信されるように構成することもでき。また、認証サーバー140が、ウェブサーバー100とは個別に設けられているが、これらを一つのサーバーで具現することもできる。
以下、使用者端末機300で使用者認証を行えるようにウェブサーバー100が使用者端末機300にセキュリティーモジュール320を伝送することについて図2及び図3を参照して詳細に説明する。
図2は及び図3は、本発明の実施例におけるセキュリティーモジュールを使用者端末機に伝送する方式の一例を示すフローチャートである。
まず、使用者端末機300がウェブサーバー100に初めて接続する場合、又は以前に接続したとしてもログインを1度もしていない場合に、ウェブサーバー100が使用者端末機300にセキュリティーモジュール320を伝送する過程について図2を一例に説明する。
使用者端末機300がウェブサーバー100に接続すると(ステップS500)、ウェブサーバー100は、使用者端末機300にフラッシュプレーヤが設置されているのかを判断する(ステップS510)。フラッシュプレーヤが使用者端末機300に設置されているのかに関する情報は、使用者端末機300から設置に関する情報の伝送を受けることができる。ステップS510で判断した結果、フラッシュプレーヤが使用者端末機300に設置されていないと判断された場合、ウェブサーバー100は、ウェブページ情報及び第1セキュリティーモジュール321を使用者端末機300に伝送し(ステップS520)、設置されている判断された場合、ウェブサーバー100は、ウェブページ情報及び第2セキュリティーモジュール322を使用者端末機300に伝送する(ステップS530)。そして、使用者端末機300は、伝送されたウェブページを表示する(ステップS540)。
なお、ウェブサーバー100は、使用者端末機300が接続すると直ちにウェブページ情報を伝送でき、ウェブページを伝送しながら又は伝送後にステップS510によるフラッシュプレーヤの設置有無の判断を行うこともできる。この場合、ステップS520、ステップS530でウェブページ情報を重複して伝送する必要はない。
このように使用者端末機300が最初に接続したり、又はログインした履歴がない場合に、ウェブサーバー100は、使用者端末機300の環境を考慮して第1又は第2セキュリティーモジュール321、322を伝送する。つまり、ウェブサーバー100は、使用者端末機300にフラッシュプレーヤが設置されている場合、優先的に第2セキュリティーモジュール322を伝送し、使用者端末機300が高いセキュリティー水準である第2セキュリティーレベルでログインを行えるようにする。一方、使用者端末機300にフラッシュプレーヤが設置されていない場合、自動的に第1セキュリティーモジュール321を伝送し、第1セキュリティーレベルでログインを行えるようにする。なお、第3セキュリティーモジュール323は、アクティブエックス(アクティブエックスコントロール)により設置する必要があるため、使用者が第3セキュリティーレベルを選択する場合に限って第3セキュリティーモジュール323を伝送するが、必要に応じて強制的に使用者端末機300に設置するように構成することもできる。
次に、使用者が使用者端末機300でログインを行ったり、又はセキュリティーレベルを変更し、その履歴がログインクッキーに残っている場合にウェブサーバー100が使用者端末機300にセキュリティーモジュール320を伝送する過程について図3を一例に説明する。
使用者端末機300がウェブサーバー100に接続すると(ステップS550)、ウェブサーバー100は、使用者端末機300に設定されているセキュリティーレベルを判断する(ステップS560)。具体的には、使用者端末機300のセキュリティーレベルを、使用者端末機300のログインクッキーに記録し、使用者端末機300がウェブサーバー100に接続する際に、ウェブサーバー100がログインクッキー情報を読取り、使用者端末機300のセキュリティーレベルを検査することができる。ステップS560での判断の結果、使用者端末機300のセキュリティーレベルが第1レベルである場合、ウェブサーバー100は、ウェブページ情報及び第1セキュリティーモジュール321を使用者端末機300に伝送し(ステップS570)、第2レベルである場合、ウェブページ情報及び第2セキュリティーモジュール322を使用者端末機300に伝送し(ステップS580)、第3レベルである場合、ウェブページ情報を伝送する(ステップS590)。使用者端末機300のセキュリティーレベルが第3レベルである場合、第3セキュリティーモジュール323がアクティブエックスにより使用者端末機300に既に設置されている状態であるので、アップデートなどの場合を除いて第3セキュリティーモジュール323を再伝送する必要がない。なお、ウェブサーバー100は必要に応じてウェブページ情報と共に第3セキュリティーモジュール活性化(アクティブ)情報を使用者端末機300に伝送することができる。使用者端末機300は、伝送されたウェブページを表示する(ステップS595)。
また、図2での説明と同様に、ウェブサーバー100は使用者端末機300が接続すると直ちにウェブページ情報を伝送することができ、ウェブページを伝送しながら又は伝送後にステップS560を行うこともできる。この場合、ステップS570、S580、及びS590でウェブページ情報を重複して伝送する必要はない。
以下、使用者端末機300でセキュリティーレベルを変更する過程について図4及び図5を一例に詳細に説明する。
図4は、本発明の実施例における使用者端末機300に表示されるログイン窓の概略図であり、図5は、本発明の実施例におけるセキュリティーレベルを変更する方式の一例を示すフローチャートである。
図4に示すように、ウェブページ内に表示されるログイン窓400は、セキュリティーレベル調節バー410、ID入力窓420、パスワード入力窓430、ID保存チェックボックス440、及びログインボタン450を含む。その他にもログイン窓400は”会員加入”、”ID/パスワード検索”などのメニューを更に含むことができる。
使用者はマウスドラッグなどでセキュリティーレベル調節バー410を移動させることによって、第1から第3セキュリティーレベルのうち、自己が願望するセキュリティーレベルを選択することができる。なお、セキュリティーレベル調節バー410ではなく、別途3つのセキュリティーレベルボタンを具備し、特定ボタンをクリックすることによって当該セキュリティーレベルを選択するように構成することもできる。
また、使用者は、ID入力窓420及びパスワード入力窓430にID及びパスワードをそれぞれ入力してログインボタン450をクリックしたり、又はエンターキーを押すことによってログインを要請できる。IDは、ID入力窓420に入力した通り表示されるが、パスワードはパスワード入力窓430に黒丸で表示される。ID保存チェックボックス440にチェックされている状態でログインが正常に行われると、ID入力窓420にIDが持続的に表示される。
使用者によって選択されたセキュリティーレベルが第2セキュリティーレベルである場合、ログイン窓400はフラッシュにより表示されるが、外観上、他のセキュリティーレベルである場合のログイン窓400と実質的に同一に表示される。
図5に示すように、使用者端末機300は、ログイン窓400が含まれているウェブページを表示する(ステップS600)。ログイン窓400のセキュリティーレベル調節バー410の初期状態は、使用者端末機300の現在セキュリティーレベル位置に置かれる。使用者によりセキュリティーレベル調節バー410が移動すると、使用者端末機300は、移動したセキュリティーレベル情報をウェブサーバー100に伝送する(ステップS605)。ウェブサーバー100は、移動したセキュリティーレベル情報に基づいて当該セキュリティーモジュールを伝送するなどの動作を行う。
使用者端末機300のセキュリティーレベルが第1セキュリティーレベルへ移動した場合(ステップS610)、ウェブサーバー100は、第1セキュリティーモジュール321を使用者端末機300に伝送する(ステップS615)。その後、使用者がIDとパスワードを入力した後にログインを要請すると、第1セキュリティーレベルでログインが行われ(ステップS675)、ログインクッキーに第1セキュリティーレベルに関する情報が保存される(ステップS680)。従って、その以降、使用者端末機300のセキュリティーレベルは、他のセキュリティーレベルへ変動するまで第1セキュリティーレベルに維持される。
使用者端末機300のセキュリティーレベルが第2セキュリティーレベルへ移動した場合(ステップS610)、ウェブサーバー100は、使用者端末機300にフラッシュプレーヤが設置されているのかを判断し(ステップS620)、設置されていると判断すると、第2セキュリティーモジュール322を使用者端末機300に伝送する(ステップS625)。その後、使用者がIDとパスワードを入力した後にログインを要請すると、第2セキュリティーレベルでログインが行われ(ステップS675)、ログインクッキーに第2セキュリティーレベルに関する情報が保存される(ステップS680)。従って、その以降、使用者端末機300のセキュリティーレベルは他のセキュリティーレベルへ移動するまで第2セキュリティーレベルに維持される。
一方、ステップS620において使用者端末機300にフラッシュプレーヤが設置されていないと判断すると、フラッシュプレーヤに関する設置情報を使用者端末機300に伝送する(ステップS630)。これによって、使用者端末機300はフラッシュプレーヤを設置した後に利用することができるという案内窓を表示し、フラッシュプレーヤを設置することができるように”FlashPlayerの設置(インストール)”という別途のアイコンを表示する。使用者がフラッシュプレーヤ設置を選択すると(ステップS635)、フラッシュプレーヤが使用者端末機300に設置され、使用者端末機300は、以前のセキュリティーレベル状態へ戻る。フラッシュプレーヤは、ウェブサーバー100が提供することができるが、別途の外部サーバー(図示せず)が提供することもできる。その後、使用者が再度ログイン窓400でセキュリティーレベル調節バー410を第2レベルに調整すると、ステップS625、S675、S680を経て使用者端末機300のセキュリティーレベルが第2セキュリティーレベルに設定される。
使用者端末機300のセキュリティーレベルが第3セキュリティーレベルへ移動した場合(ステップS610)、ウェブサーバー100は、使用者端末機300に第3セキュリティーモジュール323が設置されているのかを判断し(ステップS645)、設置されていると判断した場合、第3セキュリティーモジュール活性化情報、すなわち、第3セキュリティーモジュール323を起動(稼動)させる指示を伝送して使用者端末機300の第3セキュリティーモジュール323を活性化させる(ステップS650)。なお、この場合、第3セキュリティーレベルが選択される場合にウェブサーバー100から活性化情報を受けることなく、使用者端末機300が直接第3セキュリティーモジュール323を活性化させることもできる。第3セキュリティーモジュール323が活性化された後に、使用者がIDとパスワードを入力してログインを要請すると、第3セキュリティーレベルでログインが行われ(ステップS675)、ログインクッキーに第3セキュリティーレベルに関する情報が保存される(ステップS680)。従って、それ以降、使用者端末機300のセキュリティーレベルは他のセキュリティーレベルへ移動するまで第3セキュリティーレベルに維持される。
一方、ステップS645において第3セキュリティーモジュール323が設置されていないと判断した場合、第3セキュリティーモジュール323に関する設置情報を使用者端末機300に伝送する(ステップS655)。これによって、使用者端末機300は、第3セキュリティーモジュール323を設置した後に利用することができるという案内窓を表示し、第3セキュリティーモジュール323を設置することができるように”ActiveXインストール”という別途のアイコンを表示する。使用者が”ActiveXインストール”を選択すると(ステップS660)、ウェブサーバー100は、第3セキュリティーモジュール323を使用者端末機300に伝送し(ステップS665)、第3セキュリティーモジュール323が使用者端末機300に設置される。その後、使用者がIDとパスワードを入力してログインを要請すると、第3セキュリティーレベルでログインが行われ(ステップS675)、ログインクッキーに第3セキュリティーレベルに関する情報が保存され(ステップS680)、それ以降、使用者端末機300のセキュリティーレベルは他のセキュリティーレベルへ移動するまで第3セキュリティーレベルに維持される。
また、使用者端末機300のセキュリティーレベルが第3セキュリティーレベルに設定されて第3セキュリティーモジュール323が活性化されると、例えば、ウィンドウの作業表示ラインのお知らせの領域に第3セキュリティーモジュール323を示すアイコンを表示し、キーディフェンスによるセキュリティーが行われているということを知らせることができる。
このように使用者がセキュリティーレベル調節バー410を移動させた後、当該セキュリティーレベルでログインを行うことで当該セキュリティーレベルへの変動が完了し、ログイン窓400のセキュリティーレベル調節バー410が変動されたセキュリティーレベルに位置するようになる。
一方、ステップS635でフラッシュプレーヤの設置を選択しなかったり、ステップS660で第3セキュリティーモジュール323の設置を選択しなかったり、又はステップS675で当該セキュリティーログインを行わない場合、使用者端末機300のセキュリティーレベルは変動されず、以前に設定されているセキュリティーレベルが維持される。
次に、図6から図8を一例に各セキュリティーレベルで使用者認証を行う過程について詳細に説明する。
図6から図8は、それぞれ本発明の実施例における第1から第3セキュリティーレベルで使用者認証を行う過程を示すフローチャートである。
以下の説明では、各セキュリティーレベルで使用者認証を行う際に、各セキュリティーレベルに対応するセキュリティーモジュール320が予め使用者端末機300に伝送され、又は、設置されている状態であるとして説明する。
先ず、図6は、第1セキュリティーレベルでの使用者認証の過程を説明するためのフローチャートであり、ブラウザー310は、HTMLで構成されたログイン窓400を使用者端末機300に表示し(ステップS702)、使用者がID及びパスワードをログイン窓400に入力すると当該入力情報(信号)を受信する(ステップS704)。その後、使用者がログインボタン450をクリックしたり、又はエンターキーを入力すると、入力完了の信号を受信し(ステップS706)、認証サーバー140に公開キー及びセッションキーを要請する(ステップS708)。
認証サーバー140は、ブラウザー310からの要請に応答して公開キー及びセッションキーをブラウザー310に伝送し(ステップS710)、ブラウザー310は、認証サーバー140からの公開キー及びセッションキーを第1セキュリティーモジュール321に伝達する(ステップS712)。第1セキュリティーモジュール321は、公開キーを利用してID、パスワード及びセッションキーを暗号化した後(ステップS714)、暗号文をブラウザー310に伝送する(ステップS716)。このとき、ブラウザー310は、公開キー及びセッションキーと共にID及びパスワードを第1セキュリティーモジュール321に伝達することができ、事前に第1セキュリティーモジュール321がブラウザー310からID及びパスワードを取得することもできる。ブラウザー310は、第1セキュリティーモジュール321からの暗号文を認証サーバー140に伝達する(ステップS718)。
認証サーバー140は、伝達された暗号文を秘密キーを用いて復号化し(ステップS720)、認証処理を行う(ステップS722)。認証サーバー140は、復号化されたセッションキーが有効であるのかを判断し、有効である場合、復号化されたID及び復号化された後に再度MD5などにより暗号化されたパスワードが使用者情報データベース120に保存されているものと一致するのかを判断する。そして、判断結果に応じて認証成功メッセージ又は認証失敗メッセージを使用者端末機300に伝送する。認証サーバー140は、一度使用したセッションキーは廃棄する。ブラウザー310は認証サーバー140から認証メッセージを受けて使用者端末機300に表示する(ステップS726)。一方、暗号文を複号化することに失敗したり、又はセッションキーが有効ではない場合には、認証失敗メッセージを使用者端末機300に伝送してブラウザー310が認証失敗メッセージを表示する(ステップS726)。
次に、図7は、第2セキュリティーレベルでの使用者認証の過程を説明するためのフローチャートであり、同図に示すように、第2セキュリティーモジュール322は、フラッシュで構成されたログイン窓情報をブラウザー310に伝送し(ステップS730)、ブラウザー310がウェブページにログイン窓400を表示する(ステップS732)。その後、使用者がID及びパスワードをログイン窓400に入力すると、第2セキュリティーモジュール322は、入力信号を受信し(ステップS734)、使用者がログインボタン450をクリックしたり、又はエンターキーを入力した場合に当該入力完了の信号を受信する(ステップS736)。その後、第2セキュリティーモジュール322は、ブラウザー310を通じて認証サーバー140に公開キー及びセッションキーを要請する(ステップS738)。
認証サーバー140は、公開キー及びセッションキーをブラウザー310に伝送し(ステップS740)、ブラウザー310は、認証サーバー140からの公開キー及びセッションキーを第2セキュリティーモジュール322に伝達する(ステップS742)。第2セキュリティーモジュール322は、公開キーを利用してID、パスワード及びセッションキーを暗号化した後(ステップS744)、暗号文をブラウザー310に伝送する(ステップS746)。ブラウザー310は、第2セキュリティーモジュール322からの暗号文を認証サーバー140に伝達する(ステップS748)。
ステップS750からステップS756の認証手続処理は、図6における第1セキュリティーレベルでのステップS720からステップS726の認証手続処理と実質的に同一であるので、これに対する説明を省略する。
次に、図6は、第3セキュリティーレベルでの使用者認証の過程を説明するためのフローチャートであり、同図に示すように、ブラウザー310は、HTMLで構成されたログイン窓400を使用者端末機300に表示し(ステップS760)、第3セキュリティーモジュール323は、使用者が入力装置を通じてID及びパスワードを入力すると当該入力信号を受信し(ステップS762)、この入力信号の受信に伴って虚偽信号をブラウザー310に伝達し(ステップS764)、ブラウザー310がログイン窓400に虚偽信号を表示する(ステップS766)。その後、使用者がログインボタン450をクリックしたり、又はエンターキーを入力するとブラウザー310は、当該入力完了の信号(ログインボタン450がクリックされた信号、又はエンターキーが入力された信号)を受信し(ステップS768)、認証サーバー140に公開キー及びセッションキーを要請する(ステップS770)。
認証サーバー140は、公開キー及びセッションキーをブラウザー310に伝送し(ステップS772)、ブラウザー310は、認証サーバー140からの公開キー及びセッションキーを第3セキュリティーモジュール323に伝達する(ステップS774)。第3セキュリティーモジュール323は、公開キーを利用してID、パスワード及びセッションキーを暗号化した後(ステップS776)、暗号文をブラウザー310に伝送する(ステップS778)。ブラウザー310は、第3セキュリティーモジュール323からの暗号文を認証サーバー140に伝達する(ステップS780)。
なお、ステップS782からステップS788の認証手続処理は、図6における第1セキュリティーレベルでのステップS720からステップS726の認証手続処理と実質的に同一であるので、これに対する説明を省略する。
一方、ステップS708、S738、S770での公開キー及びセッションキーの要請手続は、必須のものではなく省略することが可能である。この場合、認証サーバー140は、ログインボタンがクリックされる前に公開キー及びセッションキーを使用者端末機300に伝送することができ、各セキュリティーモジュール321、322、323はログインボタンがクリックされると、既に受信された公開キー及びセッションキーを利用して暗号文を生成することができる。
なお、上記では、使用者端末機300のセキュリティーレベルを3つのレベルに分け、各セキュリティーレベルに対応するセキュリティーモジュール320を利用してセキュリティーログインを行うことについて説明したが、セキュリティーレベルを2つに分け、これに対応するセキュリティーモジュール320を利用してセキュリティーログインを行うことも可能である。すなわち、第1及び第2セキュリティーモジュール321、322、第1及び第3セキュリティーモジュール321、323、又は第2及び第3セキュリティーモジュール322、323を利用して2つのレベルのセキュリティーログインを行うようにすることもできる。また、ハッキング水準に応じてセキュリティーレベルを4つ以上に分けることもでき、各セキュリティーレベルに対応するセキュリティーモジュールを利用してセキュリティーログインを行うこともできる。
本発明の実施例は、多様なコンピュータにより具現される動作を行うためのプログラム命令を含むコンピュータ読み取り可能な記録媒体を含む。この記録媒体は上記説明したセキュリティーモジュール又はセキュリティー認証方法を実行させるためのプログラム又はファイルを記録する。この記録媒体はプログラム命令、データファイル、データ構造などを単独で又は組み合わせて含むことができる。このような記録媒体の例としては、ハードディスク、フロッピー(登録商標)ディスク及び磁気テープのような磁気媒体、CD−ROM及びDVD−ROMのような光記録媒体、フロプティカルディスク(flopticaldisk)と磁気−光媒体、ROM、RAM、フラッシュメモリなどのようなプログラム命令を格納し遂行するように構成されたハードウェア装置などがある。又は、このような記録媒体は、プログラム命令、データ構造などを指定する信号を伝送する搬送波を含む光又は金属線、導波管などの伝送媒体であってもよい。プログラム命令の例としては、コンパイラーにより作成されるような機械語コードだけでなく、インタープリタなどを使用してコンピュータにより実行される高級言語コードを含むことができる。
以上、本発明を好適な実施例に則して詳細に説明したが、本発明の技術的範囲はこれに限定されず、特許請求の範囲で定義している本発明の技術的思想を利用した当業者の多様な変形及び改良形態もまた本発明の技術的範囲に属することを付言する。
本発明の実施例によるセキュリティー認証システムを説明するためのブロック図である。 本発明の実施例によりセキュリティーモジュールを使用者端末機に伝送する方式の一例を示すフローチャートである。 本発明の実施例によりセキュリティーモジュールを使用者端末機に伝送する方式の一例を示すフローチャートである。 本発明の実施例により使用者端末機に表示されるログイン窓の概略図である。 本発明の実施例によりセキュリティーレベルを変更する方式の一例を示すフローチャートである。 本発明の実施例により第1セキュリティーレベルで使用者認証を行う過程を示すフローチャートである。 本発明の実施例により第2セキュリティーレベルで使用者認証を行う過程を示すフローチャートである。 本発明の実施例により第3セキュリティーレベルで使用者認証を行う過程を示すフローチャートである。
符合の説明
100:ウェブサーバー
120:使用者情報データベース
140:認証サーバー
200:通信網
300:使用者端末機
310:ブラウザー
320:セキュリティーモジュール
321:第1セキュリティーモジュール
322:第2セキュリティーモジュール
323:第3セキュリティーモジュール

Claims (19)

  1. 使用者によって入力される使用者認証情報に対して使用者端末機において実行されるセキュリティー処理に関する複数のセキュリティーレベルを提供し、前記複数のセキュリティーレベルにそれぞれ対応するセキュリティーモジュールのうちのいずれか一つを前記使用者端末機に伝送するとともに、前記使用者によって前記セキュリティーレベルが選択された場合に、前記使用者端末機から受信する選択情報に基づいて対応するセキュリティーモジュールを前記使用者端末機に伝送するウェブサーバーと、
    前記伝送されたセキュリティーモジュールのセキュリティーレベルに応じた前記使用者認証情報に対する前記セキュリティー処理を経て前記使用者端末機から伝送される使用者認証情報を受信し、受信した前記使用者認証情報に基づいて使用者認証を行う認証サーバーと、を含み、
    前記複数のセキュリティーモジュールは、
    前記使用者認証情報を前記ウェブサーバーを経由して又は直接に前記認証サーバーに伝送するブラウザー内で実行され、前記入力される使用者認証情報を暗号化して前記ブラウザーに受け渡す第1セキュリティー処理を遂行する第1セキュリティーモジュール、
    第1プログラムにより実行され、ログイン窓を生成して前記ログイン窓に入力される前記使用者認証情報を前記ブラウザーに認識させずに前記使用者認証情報を暗号化して前記ブラウザーに受け渡す第2セキュリティー処理を遂行する第2セキュリティーモジュール、及び
    第2プログラムで生成され、前記使用者端末機の入力装置から前記使用者認証情報に対する入力信号を受けて、前記入力信号に関連する虚偽信号を生成して前記ブラウザーに伝達するとともに、前記入力信号に基づく前記使用者認証情報を暗号化して前記ブラウザーに受け渡す第3セキュリティー処理を遂行する第3セキュリティーモジュール、のうち少なくとも二つを含ことを特徴とするセキュリティー認証システム。
  2. 前記ウェブサーバーは、前記使用者によって前記第2セキュリティーレベルが選択された場合に、前記使用者端末機に前記第1プログラムが設置されているか否かを判別し、前記第1プログラムが設置されていると判別された場合に、前記第2セキュリティーモジュールを前記使用者端末機に伝送することを特徴とする請求項1に記載のセキュリティー認証システム。
  3. 前記ウェブサーバーは、前記第1プログラムが設置されていないと判別された場合に、前記第1プログラムの設置に関する情報を前記使用者端末機に伝送し、かつ前記第1セキュリティーモジュールを前記使用者端末機に伝送することを特徴とする請求項2に記載のセキュリティー認証システム。
  4. 前記ウェブサーバーは、前記使用者によって前記第3セキュリティーレベルが選択された場合に、前記使用者端末機に予め前記第3セキュリティーモジュールが設置されているか否かを判別し、前記第3セキュリティーモジュールが設置されていると判別された場合に、前記第3セキュリティーモジュールの活性化指示情報を前記使用者端末機に伝送し、
    前記第3セキュリティーモジュールが設置されていないと判別された場合に、前記第3セキュリティーモジュールの設置に関する情報を前記使用者端末機に伝送することを特徴とする請求項1から3のいずれか1つに記載のセキュリティー認証システム。
  5. 前記ウェブサーバーは、前記使用者による前記セキュリティーレベルの選択にかかわらず、前記使用者端末機から接続要求を受信した場合に、前記使用者端末機の環境に基づいて前記セキュリティーモジュールのいずれか1つを前記使用者端末機に伝送するとともに、
    前記使用者端末機に前記第1プログラムが設置されているか否かを判別し、前記第1プログラムが設置されていると判別された場合に、前記第2セキュリティーモジュールを前記使用者端末機に伝送し、前記第1プログラムが設置されていないと判別された場合に、前記第1セキュリティーモジュールを前記使用者端末機に伝送することを特徴とする請求項1から4のいずれか1つに記載のセキュリティー認証システム。
  6. 前記セキュリティーモジュールは、前記認証サーバーから伝送される公開キー及びセッションキーを用いて前記入力された使用者認証情報の暗号化処理を遂行し、
    前記認証サーバーは暗号化された前記使用者認証情報の暗号文を前記使用者端末機から受信することを特徴とする請求項1から5のいずれか1つに記載のセキュリティー認証システム。
  7. 前記第1プログラムは、フラッシュプレーヤであることを特徴とする請求項1から6のいずれか1つに記載のセキュリティー認証システム。
  8. 前記第1セキュリティーモジュールは、スクリプト言語で生成されることを特徴とする請求項1から7のいずれか1つに記載のセキュリティー認証システム。
  9. 前記第3セキュリティーモジュールは、アクティブエックス形態で前記使用者端末機に設置されるプログラムであることを特徴とする請求項1から8のいずれか1つに記載のセキュリティー認証システム。
  10. 使用者端末機から入力される使用者認証情報に基づいて使用者認証を行う認証サーバーを含むセキュリティー認証方法であって、コンピュータにより実行されるステップが、
    前記使用者認証情報に対して使用者端末機において実行されるセキュリティー処理に関する複数セキュリティーレベルを提供する段階と、
    前記複数のセキュリティーレベルにそれぞれ対応する各セキュリティーモジュールのうちのいずれか一つを前記使用者端末機に伝送するとともに、前記使用者によって前記セキュリティーレベルが選択された場合に、前記使用者端末機から受信する選択情報に基づいて対応するセキュリティーモジュールを前記使用者端末機に伝送する段階と、を含み、
    前記複数のセキュリティーモジュールは、
    前記使用者認証情報を前記認証サーバーに伝送するブラウザー内で実行され、前記入力される使用者認証情報を暗号化して前記ブラウザーに受け渡す第1セキュリティー処理を遂行する第1セキュリティーモジュール、
    第1プログラムにより実行され、ログイン窓を生成して前記ログイン窓に入力される前記使用者認証情報を前記ブラウザーに認識させずに前記使用者認証情報を暗号化して前記ブラウザーに受け渡す第2セキュリティー処理を遂行する第2セキュリティーモジュール、及び
    第2プログラムで生成され、前記使用者端末機の入力装置から前記使用者認証情報に対する入力信号を受けて、前記入力信号に関連する虚偽信号を生成して前記ブラウザーに伝達するとともに、前記入力信号に基づく前記使用者認証情報を暗号化して前記ブラウザーに受け渡す第3セキュリティー処理を遂行する第3セキュリティーモジュール、のうち少なくとも二つを含ことを特徴とするセキュリティー認証方法。
  11. 前記セキュリティーモジュールを前記使用者端末機に伝送する段階は、
    前記使用者によって前記第2セキュリティーレベルが選択された場合に、前記使用者端末機に前記第1プログラムが設置されているか否かを判別し、前記第1プログラムが設置されていると判別された場合に、前記第2セキュリティーモジュールを前記使用者端末機に伝送する段階を含むことを特徴とする請求項10に記載のセキュリティー認証方法。
  12. 前記セキュリティーモジュールを前記使用者端末機に伝送する段階は、
    前記第1プログラムが設置されていないと判別された場合に、前記第1プログラムの設置に関する情報を前記使用者端末機に伝送し、かつ前記第1セキュリティーモジュールを前記使用者端末機に伝送する段階を含むことを特徴とする請求項11に記載のセキュリティー認証方法。
  13. 前記セキュリティーモジュールを前記使用者端末機に伝送する段階は、
    前記使用者によって前記第3セキュリティーレベルが選択された場合に、前記使用者端末機に予め前記第3セキュリティーモジュールが設置されているか否かを判別し、前記第3セキュリティーモジュールが設置されていると判別された場合に、前記第3セキュリティーモジュールの活性化指示情報を前記使用者端末機に伝送する段階と、
    前記第3セキュリティーモジュールが設置されていないと判別された場合に、前記第3セキュリティーモジュールの設置に関する情報を前記使用者端末機に伝送する段階と、
    を含むことを特徴とする請求項10から12のいずれか1つに記載のセキュリティー認証方法。
  14. 前記使用者による前記セキュリティーレベルの選択にかかわらず、前記使用者端末機から接続要求を受信した場合に、前記使用者端末機の環境に基づいて前記セキュリティーモジュールのいずれか1つを前記使用者端末機に伝送する段階と、
    前記使用者端末機に前記第1プログラムが設置されているか否かを判別し、前記第1プログラムが設置されていると判別された場合に、前記第2セキュリティーモジュールを前記使用者端末機に伝送し、前記第1プログラムが設置されていないと判別された場合に、前記第1セキュリティーモジュールを前記使用者端末機に伝送する段階と、
    をさらに含むことを特徴とする請求項10から13のいずれか1つに記載のセキュリティー認証方法。
  15. 前記セキュリティーモジュールが、前記認証サーバーから伝送される公開キー及びセッションキーを用いて前記入力された使用者認証情報の暗号化処理を遂行し、
    前記認証サーバーは暗号化された前記使用者認証情報の暗号文を前記使用者端末機から受信することを特徴とする請求項10から14のいずれか1つに記載のセキュリティー認証方法。
  16. 前記第1プログラムは、フラッシュプレーヤであることを特徴とする請求項10から15のいずれか1つに記載のセキュリティー認証方法。
  17. 前記第1セキュリティーモジュールは、スクリプト言語で生成されることを特徴とする請求項10から16のいずれか1つに記載のセキュリティー認証方法。
  18. 前記第3セキュリティーモジュールは、アクティブエックス形態で前記使用者端末機に設置されるプログラムであることを特徴とする請求項10から17のいずれか1つに記載のセキュリティー認証方法。
  19. コンピュータに請求項10ないし請求項18のうちのいずれか一つに記載セキュリティー認証方法を実行させるためのプログラムを記録したコンピュータで読み取り可能な媒体。
JP2007264229A 2007-07-12 2007-10-10 セキュリティー認証システム及びその方法 Active JP4659806B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070069968A KR100915589B1 (ko) 2007-07-12 2007-07-12 보안 인증 시스템 및 방법

Publications (2)

Publication Number Publication Date
JP2009020853A JP2009020853A (ja) 2009-01-29
JP4659806B2 true JP4659806B2 (ja) 2011-03-30

Family

ID=40247514

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007264229A Active JP4659806B2 (ja) 2007-07-12 2007-10-10 セキュリティー認証システム及びその方法

Country Status (4)

Country Link
US (1) US8024559B2 (ja)
JP (1) JP4659806B2 (ja)
KR (1) KR100915589B1 (ja)
CN (1) CN101345617B (ja)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8850544B1 (en) * 2008-04-23 2014-09-30 Ravi Ganesan User centered privacy built on MashSSL
KR101074624B1 (ko) * 2008-11-03 2011-10-17 엔에이치엔비즈니스플랫폼 주식회사 브라우저 기반 어뷰징 방지 방법 및 시스템
US20100153708A1 (en) * 2008-12-11 2010-06-17 Lior Eli Malka Server Assisted Portable Device
US8973111B2 (en) * 2009-02-03 2015-03-03 Inbay Technologies Inc. Method and system for securing electronic transactions
US9485254B2 (en) 2009-02-03 2016-11-01 Inbay Technologies Inc. Method and system for authenticating a security device
US9166975B2 (en) 2012-02-16 2015-10-20 Inbay Technologies Inc. System and method for secure remote access to a service on a server computer
US9521142B2 (en) 2009-02-03 2016-12-13 Inbay Technologies Inc. System and method for generating passwords using key inputs and contextual inputs
US9608988B2 (en) 2009-02-03 2017-03-28 Inbay Technologies Inc. Method and system for authorizing secure electronic transactions using a security device having a quick response code scanner
US9548978B2 (en) 2009-02-03 2017-01-17 Inbay Technologies Inc. Method and system for authorizing secure electronic transactions using a security device
US8468582B2 (en) * 2009-02-03 2013-06-18 Inbay Technologies Inc. Method and system for securing electronic transactions
US8739252B2 (en) 2009-02-03 2014-05-27 Inbay Technologies Inc. System and method for secure remote access
US9736149B2 (en) 2009-02-03 2017-08-15 Inbay Technologies Inc. Method and system for establishing trusted communication using a security device
JP5320561B2 (ja) * 2009-03-19 2013-10-23 株式会社日立製作所 真正性を保証する端末システム、端末及び端末管理サーバ
JP5409110B2 (ja) * 2009-05-15 2014-02-05 キヤノン株式会社 通信装置及び通信装置の制御方法、プログラム
IT1398518B1 (it) * 2009-09-25 2013-03-01 Colombo Safe milano
US8601600B1 (en) 2010-05-18 2013-12-03 Google Inc. Storing encrypted objects
CN102402820B (zh) * 2010-09-13 2014-06-11 中国移动通信有限公司 电子交易方法及终端设备
CN102595390B (zh) * 2011-01-18 2019-04-05 中兴通讯股份有限公司 一种安全模式的配置方法和终端
US20150113602A1 (en) * 2012-05-08 2015-04-23 Serentic Ltd. Method and system for authentication of communication and operation
KR101372090B1 (ko) * 2012-07-03 2014-03-12 한국과학기술원 로그인 시스템 및 방법
CN102970139B (zh) * 2012-11-09 2016-08-10 中兴通讯股份有限公司 数据安全验证方法和装置
CN103067466B (zh) * 2012-12-20 2015-12-09 北京奇虎科技有限公司 一种实现文件同步存储的客户端和方法
CN103002048B (zh) * 2012-12-20 2016-09-28 北京奇虎科技有限公司 实现文件同步存储的系统和方法
KR101328118B1 (ko) * 2013-07-25 2013-11-13 주식회사 베이스인 네트웍스 비밀 데이터 기반 로그인 서비스 제공 방법
US10708273B2 (en) * 2014-09-12 2020-07-07 Anthony Tan Pervasive intermediate network attached storage application with asynchronously rendered content
CN104202341B (zh) * 2014-09-22 2018-01-19 英华达(南京)科技有限公司 进行智能终端设备信息传输的方法、系统及智能终端设备
CN104378255B (zh) * 2014-10-29 2018-02-06 深信服网络科技(深圳)有限公司 web恶意用户的检测方法及装置
US9706401B2 (en) * 2014-11-25 2017-07-11 Microsoft Technology Licensing, Llc User-authentication-based approval of a first device via communication with a second device
CN106453855A (zh) * 2016-09-23 2017-02-22 北京数码视讯支付技术有限公司 一种基于Html5的数字密码软键盘获取方法和装置
US10491391B1 (en) * 2016-09-23 2019-11-26 Amazon Technologies, Inc. Feedback-based data security
CN110061849A (zh) * 2019-04-29 2019-07-26 中兴新能源汽车有限责任公司 车载设备的验证方法、服务器、车载设备及存储介质
JP7000484B2 (ja) * 2020-03-19 2022-01-19 本田技研工業株式会社 ユーザ端末、その制御方法、及びプログラム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11224236A (ja) * 1998-02-05 1999-08-17 Mitsubishi Electric Corp 遠隔認証システム
JP2003157234A (ja) * 2001-11-19 2003-05-30 Fujitsu Ltd ユーザ端末認証プログラム
JP2004527938A (ja) * 2001-01-23 2004-09-09 メンター グラフィックス コーポレイション 認証通信
JP2007164661A (ja) * 2005-12-16 2007-06-28 Fuji Xerox Co Ltd ユーザ認証プログラム、ユーザ認証装置、ユーザ認証方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030033524A1 (en) * 2001-08-13 2003-02-13 Luu Tran Client aware authentication in a wireless portal system
JP2003162339A (ja) * 2001-09-14 2003-06-06 Sony Computer Entertainment Inc 認証プログラム,認証プログラムを記憶した記憶媒体,認証サーバ装置,クライアント端末装置,認証システム及び認証方法
EP1316907A2 (fr) * 2001-11-30 2003-06-04 Koninklijke Philips Electronics N.V. Système pour l'apprentissage d'un appareil muni d'une pluralité de fonctionnalités, appareil impliqué dans un tel sytème et procédé mis en oeuvre dans un tel système
KR20030047148A (ko) * 2001-12-08 2003-06-18 학교법인대우학원 Rsa를 이용한 클라이언트/서버 기반의 메신저 보안 방법
US7139918B2 (en) * 2002-01-31 2006-11-21 International Business Machines Corporation Multiple secure socket layer keyfiles for client login support
KR20030087874A (ko) * 2002-05-10 2003-11-15 주식회사 마이엔진 컴퓨팅 장치의 등급별 데이터 보안 방법
US7421732B2 (en) * 2003-05-05 2008-09-02 Nokia Corporation System, apparatus, and method for providing generic internet protocol authentication
US20050015474A1 (en) * 2003-07-16 2005-01-20 Kavacheri Sathyanarayanan N. Extensible customizable structured and managed client data storage
US7644272B2 (en) * 2004-10-22 2010-01-05 Broadcom Corporation Systems and methods for providing security to different functions
US7502928B2 (en) * 2004-11-12 2009-03-10 Sony Computer Entertainment Inc. Methods and apparatus for secure data processing and transmission
JP2006251932A (ja) * 2005-03-08 2006-09-21 Canon Inc セキュリティ管理方法、装置およびセキュリティ管理用プログラム
CN101375546B (zh) * 2005-04-29 2012-09-26 甲骨文国际公司 用于欺骗监控、检测和分层用户鉴权的系统和方法
CN1913701A (zh) * 2005-08-08 2007-02-14 北京三星通信技术研究有限公司 移动通信系统中为不同用户提供不同安全等级业务的方法
KR100587100B1 (ko) 2005-11-17 2006-06-08 주식회사 미래로테크놀러지 멀티모달 방식의 보안인증 방법, 보안인증 시스템 그리고암호화/복호화 방법
KR100835820B1 (ko) * 2006-07-25 2008-06-05 에스케이 텔레콤주식회사 통합 인터넷 보안 시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11224236A (ja) * 1998-02-05 1999-08-17 Mitsubishi Electric Corp 遠隔認証システム
JP2004527938A (ja) * 2001-01-23 2004-09-09 メンター グラフィックス コーポレイション 認証通信
JP2003157234A (ja) * 2001-11-19 2003-05-30 Fujitsu Ltd ユーザ端末認証プログラム
JP2007164661A (ja) * 2005-12-16 2007-06-28 Fuji Xerox Co Ltd ユーザ認証プログラム、ユーザ認証装置、ユーザ認証方法

Also Published As

Publication number Publication date
KR20090006538A (ko) 2009-01-15
CN101345617B (zh) 2012-12-12
CN101345617A (zh) 2009-01-14
US20090259839A1 (en) 2009-10-15
KR100915589B1 (ko) 2009-09-07
US8024559B2 (en) 2011-09-20
JP2009020853A (ja) 2009-01-29

Similar Documents

Publication Publication Date Title
JP4659806B2 (ja) セキュリティー認証システム及びその方法
US9871791B2 (en) Multi factor user authentication on multiple devices
KR102509688B1 (ko) 디지털 신원 인증 방법, 장치, 기기 및 저장 매체
US8448226B2 (en) Coordinate based computer authentication system and methods
EP2314046B1 (en) Credential management system and method
US9021254B2 (en) Multi-platform user device malicious website protection system
US7770002B2 (en) Multi-factor authentication
JP5619007B2 (ja) サーバ・オペレーションの認可を行うための装置、システムおよびコンピュータ・プログラム
US10848304B2 (en) Public-private key pair protected password manager
US11470090B2 (en) Dynamically-tiered authentication
US20080168546A1 (en) Randomized images collection method enabling a user means for entering data from an insecure client-computing device to a server-computing device
EP2936369A1 (en) Verification of password using a keyboard with a secure password entry mode
WO2009039160A2 (en) Method and system for storing and using a plurality of passwords
CN106657068A (zh) 登录授权方法和装置、登录方法和装置
US11483312B2 (en) Conditionally-deferred authentication steps for tiered authentication
US20100257359A1 (en) Method of and apparatus for protecting private data entry within secure web sessions
JP2005535026A (ja) ネットワークを介したユニバーサルユーザーの情報登録の方法及びシステム
US20100146605A1 (en) Method and system for providing secure online authentication
JP2008083759A (ja) ログイン処理装置、ログイン処理システム、プログラム、及び記録媒体
KR20050010430A (ko) 일회용 비밀번호를 이용한 사용자 인증 방법 및 그 시스템
KR101152610B1 (ko) 가상 키보드 제공 방법
KR101608529B1 (ko) 온라인 거래 보안시스템 및 이를 이용한 보안방법
JP2007065789A (ja) 認証システム及び方法
US20090158038A1 (en) Universal authentication method
KR20100004782A (ko) 웹 페이지에서의 비밀번호 보안방법 및 이를 실행하기 위한프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20091016

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20091029

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20091106

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100810

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101130

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101227

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140107

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4659806

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250