JP6368817B2 - 保安性が強化された使用者認証方法 - Google Patents

保安性が強化された使用者認証方法 Download PDF

Info

Publication number
JP6368817B2
JP6368817B2 JP2017067839A JP2017067839A JP6368817B2 JP 6368817 B2 JP6368817 B2 JP 6368817B2 JP 2017067839 A JP2017067839 A JP 2017067839A JP 2017067839 A JP2017067839 A JP 2017067839A JP 6368817 B2 JP6368817 B2 JP 6368817B2
Authority
JP
Japan
Prior art keywords
authentication
user
key
server
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017067839A
Other languages
English (en)
Other versions
JP2017123694A (ja
Inventor
フン ユ、チャン
フン ユ、チャン
ギュ キム、ミン
ギュ キム、ミン
ヨン ヒョ、ウン
ヨン ヒョ、ウン
ヒェ キム、ガ
ヒェ キム、ガ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SSenStone Inc
Original Assignee
SSenStone Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SSenStone Inc filed Critical SSenStone Inc
Publication of JP2017123694A publication Critical patent/JP2017123694A/ja
Application granted granted Critical
Publication of JP6368817B2 publication Critical patent/JP6368817B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は保安性が強化された使用者認証方法に係り、より具体的には、認証機関の立場では使用者の暗証番号を管理する必要がなく、使用者の立場では暗証番号を容易に取り替えることができ、認証サイトの真偽の判別が可能であり、マルチ認証を通じて保安性が強化された使用者認証方法に係る。
現代社会は金融取引や各種使用者認証が必要である業務は対面接触よりはオンライン環境を通じて行われることが一般化されている。オンライン上での使用者認証は対面接触よりはさらに慎重な接近が必要であるので、大部分の場合使用者端末機にActiveX及びキーボード保安プログラム等を含む各種保安プログラムや制御プログラムの設置が要求され、公認認証書や保安カード、OTP装置等の保安装置を通じて保安性を強化して情報流出に対比している。
代表的な使用者認証方法の中の1つであるOTP(One Time Password)装置は固有キーが内装されたOTP装置を使用者に予め支給し、使用者が電子金融取引網に接続して認証サーバー(金融機関のサーバー)に認証を要求する場合、前記固有キーを演算キーとして現在時間と連関された乱数に基づいてOTP番号を生成するようにし、使用者は生成されたOTP番号を暗証番号として受動的に入力して認証サーバーに伝送する方式で真の使用者であることを認証している。
しかし、使用者が多数の金融機関を取引する場合には各金融機関別に提供する多数のOTP認証装置を各々具備しなければならないので、消費者が各金融機関別のOTP認証装置を別に購買しなければならなく、多数のOTP認証装置を所持しなければならない不便さがあり、多数のOTP認証装置の中で特定金融機関用認証装置を一々探す不便さもある。
また、OTP装置の固有キーを使用者が任意に取り替えることができないので、OTP装置を紛失する場合、直接金融機関に訪問して新しく発給されなければならないこと等不便さが多い。そして、金融機関で顧客のOTP装置の固有キーが流出される場合にはすべての顧客にOTP装置を再発給する等膨大な費用と時間が所要される問題点がある。
一方、使用者が指定した暗証番号を通じて認証やログインがなされる場合に、関連サーバー等では使用者の暗証番号を登録、格納、及び管理しなければならず、使用者の立場では暗証番号を認知しなければならず、流出に備えて定期的な変更が要求されるので、管理が不便であるという問題点がある。
あわせて、ハッキング技術の発達にしたがって画面キャプチャー、ショルダーサーフィン攻撃(Shoulder surfing attack)、画面モニターリング等の画面ハッキング技術又はPCに設置されたスパイウェア(Spyware)等による公認認証書や暗証番号等の流出等情報の流出が多様になされており、暗号化された暗証番号であっても専門的なハッカーの場合にはある程度の努力によって復号化が可能であるので、使用者認証のための手続は使用者に便利性を追求しながらも保安性を強化する必要がある。
韓国特許第10−1270941号公報
したがって、本発明の目的は上述した従来の問題点を克服できる保安性が強化された使用者認証方法を提供することにある。
本発明の他の目的は使用者認証手続が簡単であり、保安性を強化できる使用者認証方法を提供することにある。
本発明のその他の目的は使用者が認証のための認証機関、認証サーバー等の真偽を判別できる使用者認証方法を提供することにある。
本発明のその他の目的は認証機関や認証サーバーで使用者の暗証番号を管理しないながらも、認証が可能であり、時間に連係されたマルチ要素を利用して保安性を強化した使用者認証方法を提供することにある。
上述した技術的課題の一部を達成するための本発明の具体化によって、本発明に係る使用者端末機と認証サーバーとを利用する使用者認証方法は、使用者から使用者登録のための個人秘密番号が入力されれば、前記使用者端末機では前記個人秘密番号及び前記使用者端末機の機械的固有キーを組合せて暗号化した第1共通認証キーを生成して前記認証サーバーに提供し、前記認証サーバーでは前記第1共通認証キーを使用者情報にマッチングして登録する第1段階と、前記認証サーバーでは内装された認証機関の固有キーと前記第1共通認証キーとを組合せて暗号化したサーバー認証キーを生成し、前記サーバー認証キーを演算キーとしてOTP(One Time Password)演算をして第1サーバー認証情報を生成し、前記使用者端末機では使用者から認証のために前記個人秘密番号が入力されれば、前記個人秘密番号及び前記使用者端末機の機械的固有キーを組合せて暗号化した第2共通認証キーを実時間に生成し、前記認証サーバーから予め提供された認証機関の固有キーと前記第2共通認証キーとを組合せて暗号化した使用者認証キーを生成し、前記使用者認証キーを演算キーとしてOTP(One Time Password)演算をして第1使用者認証情報を生成する第2段階と、前記第1サーバー認証情報と前記第1使用者認証情報との一致の可否にしたがって使用者認証を遂行するか、又は前記認証サーバーの真偽の可否を判断する認証サーバー認証を遂行する第3段階と、を具備する。
前記第1共通認証キー又は前記第2共通認証キーには、前記使用者端末機の機械的固有キー又は使用者電話番号から一定基準によって取出された取出値が構成要素としてさらに追加されることができる
前記第1段階で、前記使用者端末機では前記第1共通認証キーを生成する時、前記使用者端末機の機械的固有キーから一定基準によって順次m個(mは任意の自然数)の取出値を取出し、これに対応されるm個の共通認証キーを生成して前記認証サーバーに伝送し、前記認証サーバーは、前記m個の共通認証キーの中で予め定められた基準によって選択された共通認証キーを前記第1共通認証キーとして登録し、前記第2段階では、前記使用者端末機で前記第2共通認証キーを生成する時、前記使用者端末機の機械的固有キーから一定基準によって順次取出されたm個(mは任意の自然数)の取出値の中で前記第1共通認証キーに対応される順序値を有する取出値を選択して含ませることによって前記第2共通認証キーを生成することができる。
前記使用者認証キーには、前記第2共通認証キーから一定基準によって取出された取出値が構成要素としてさらに追加され、前記サーバー認証キーには、前記第1共通認証キーから一定基準によって取出された取出値が構成要素としてさらに追加され、前記第1使用者認証情報を生成するための演算キーには、前記使用者認証キーから一定基準によって取出された取出値が構成要素としてさらに追加され、前記第1サーバー認証情報を生成するための演算キーには、前記サーバー認証キーから一定基準によって取出された取出値が構成要素としてさらに追加されることできる。
前記第3段階は、前記使用者端末機で前記第1サーバー認証情報と前記第1使用者認証情報とを比較して前記認証サーバーの真偽の可否を判別するようにする認証サーバー認証段階と、前記認証サーバーで前記第1サーバー認証情報と前記第1使用者認証情報とを比較して使用者認証を遂行するようにする使用者認証段階と、を含むことができる。
前記第2段階は、使用者が認証のための個人秘密番号を入力するのに所要される時間を1/n(nは任意の正の実数)秒(Second)単位に測定した時間値であるギャップタイム値を前記使用者端末機で測定して前記認証サーバーに伝送する段階をさらに含み、前記第2段階と第3段階との間又は前記第3段階の後に、前記使用者端末機では前記ギャップタイム値又は前記ギャップタイム値で一定基準によって取出された数字値であるギャップタイムキーに、前記第1使用者認証情報、前記第1使用者認証情報から一定基準によって取出された取出値、前記使用者認証キー、前記使用者認証キーから一定基準によって取出された取出値、前記第2共通認証キー、及び第2共通認証キーから一定基準によって取出された取出値の中で選択された少なくとも1つを構成要素としてさらに追加して組合した演算キーを利用してOTP(One Time Password)演算をして第2使用者認証情報を生成し、前記認証サーバーでは前記ギャップタイム値又は前記ギャップタイム値で一定基準によって取出された数字値であるギャップタイムキーに、前記第1サーバー認証情報、前記第1サーバー認証情報で一定基準によって取出された取出値、前記サーバー認証キー、前記サーバー認証キーから一定基準によって取出された取出値、前記第1共通認証キー、及び第1共通認証キーから一定基準によって取出された取出値の中で選択された少なくとも1つを構成要素として追加して組合した演算キーを利用してOTP(One Time Password)演算をして前記第2使用者認証情報に対応されるように第2サーバー認証情報を生成する段階をさらに含み、前記第3段階の後に、前記第2使用者認証情報と前記第2サーバー認証情報との一致の可否を判断して使用者認証を遂行する段階をさらに含むことができる。
前記個人秘密番号入力のための入力窓が画面に表示された時点から前記個人秘密番号の第1番目の桁値が入力される時点までの時間区間を第1時間区間として定義し、前記個人秘密番号の最後の桁値が入力される時点から前記個人秘密番号の入力完了を知らせる入力キー又はエンターキーの信号が入力される時点までの時間区間を第2時間区間として定義する時、前記ギャップタイム値は、前記第1時間区間の中でいずれか1つの時点から前記第2時間区間の中でいずれか1つの時点までの時間測定値である。
前記第2使用者認証情報は、前記ギャップタイム値又は前記ギャップタイムキーに、前記第1使用者認証情報と前記使用者認証キーから一定基準によって取出された取出値とを組合した演算キーを利用してOTP(One Time Password)演算をして生成され、前記第2サーバー認証情報は、前記ギャップタイム値又は前記ギャップタイムキーに、前記第1サーバー認証情報と前記サーバー認証キーから一定基準によって取出された取出値とを組合した演算キーを利用してOTP(One Time Password)演算をして生成されることができる。
前記第2使用者認証情報は、前記ギャップタイム値又は前記ギャップタイムキーに、前記使用者認証キーと前記使用者認証キーから一定基準によって取出された取出値とを組合した演算キーを利用してOTP(One Time Password)演算をして生成され、前記第2サーバー認証情報は、前記ギャップタイム値又は前記ギャップタイムキーに、前記サーバー認証キーと前記サーバー認証キーから一定基準によって取出された取出値とを組合した演算キーを利用してOTP(One Time Password)演算をして生成されることができる。
上述した技術的課題の一部を達成するための本発明の他の具体化によって、本発明に係る使用者認証方法は、使用者から使用者端末機を通じて使用者登録のための個人秘密番号が入力されれば、前記使用者端末機で前記個人秘密番号及び前記使用者端末機の機械的固有キーを組合せて暗号化した第1共通認証キーを生成して認証サーバーに提供し、前記認証サーバーでは前記第1共通認証キーを使用者情報にマッチングして登録する第1段階と、前記認証サーバーでは内装された認証機関の固有キーと前記第1共通認証キーとを組合せて暗号化したサーバー認証キーを生成し、前記個人秘密番号を入力するのに所要される時間を1/n(nは任意の正の実数)秒(Second)単位に測定した 時間値であるギャップタイム値又は前記ギャップタイム値で一定基準によって取出された数字値であるギャップタイムキーに前記サーバー認証キーを組合した演算キーを利用してOTP(One Time Password)演算をしてサーバー認証情報を生成し、前記使用者端末機では使用者から認証のために前記個人秘密番号が入力されれば、前記ギャップタイム値を測定して前記認証サーバーに伝送し、前記個人秘密番号及び前記使用者端末機の機械的固有キーを組合せて暗号化した第2共通認証キーを実時間に生成し、前記認証サーバーから予め提供された認証機関の固有キーと前記第2共通認証キーとを組合せて暗号化した使用者認証キーを生成し、前記ギャップタイム値又は前記ギャップタイムキーに前記使用者認証キーを組合した演算キーを利用してOTP(One Time Password)演算をして使用者認証情報を生成する第2段階と、前記サーバー認証情報と前記使用者認証情報との一致の可否にしたがって使用者認証を遂行する第3段階と、を具備する。
前記個人秘密番号入力のための入力窓が画面に表示された時点から前記個人秘密番号の第1番目の桁値が入力される時点までの時間区間を第1時間区間として定義し、前記個人秘密番号の最後の桁値が入力される時点から前記個人秘密番号の入力完了を知らせる入力キー又はエンターキーの信号が入力される時点までの時間区間を第2時間区間として定義する時、前記ギャップタイム値は、前記第1時間区間中選択されたいずれか1つの時点から前記第2時間区間の中で選択されたいずれか1つの時点までの時間測定値である。
前記第1共通認証キー又は前記第2共通認証キーの各々には、前記使用者端末機の機械的固有キー又は使用者電話番号から一定基準によって取出された取出値が構成要素としてさらに追加されることができる。
前記第1段階で、前記使用者端末機では前記第1共通認証キーを生成する時、前記使用者端末機の機械的固有キーから一定基準によって順次m個(mは任意の自然数)の取出値を取出し、これに対応されるm個の共通認証キーを生成して前記認証サーバーに伝送し、前記認証サーバーは、前記m個の共通認証キーの中で予め定められた基準によって選択される共通認証キーを第1共通認証キーを登録し、前記第2段階では前記使用者端末機で前記第2共通認証キーを生成する時、前記使用者端末機の機械的固有キーから一定基準によって順次取出されたm個(mは任意の自然数)の取出値の中で前記第1共通認証キーに対応される順序値を有する取出値を選択して含ませることによって前記第2共通認証キーを生成することができる。
前記使用者認証キーには、前記第2共通認証キーから一定基準によって取出された取出値が構成要素としてさらに追加され、前記サーバー認証キーには、前記第1共通認証キーから一定基準によって取出された取出値が構成要素としてさらに追加され、前記使用者認証情報を生成するための演算キーには、前記使用者認証キーから一定基準によって取出された取出値が構成要素としてさらに追加され、前記サーバー認証情報を生成するための演算キーには、前記サーバー認証キーから一定基準によって取出された取出値が構成要素としてさらに追加されることができる。
上述した技術的課題の一部を達成するための本発明の他の具体化によって、本発明に係る使用者認証方法は、使用者が認証のための個人秘密番号を入力するのに所要される時間を1/n(nは任意の正の実数)秒(Second)単位に測定した時間値であるギャップタイム値と前記個人秘密番号を利用して使用者認証のための認証上布を生成し、前記認証情報を利用して使用者認証を遂行することを特称とする。
前記個人秘密番号入力のための入力窓が画面に表示された時点から前記個人秘密番号の第1番目の桁値が入力される時点までの時間区間を第1時間区間として定義し、前記個人秘密番号の最後の桁値が入力される時点から前記個人秘密番号の入力完了を知らせる入力キー又はエンターキーの信号が入力される時点までの時間区間を第2時間区間として定義する時、前記ギャップタイム値は、前記第1時間区間中選択されたいずれか1つの時点から前記第2時間区間の中で選択されたいずれか1つの時点までの時間測定値である。
本発明によれば、暗証番号やその他の個人情報流出の時に簡単に対応可能であり、保安性が強化され、使用者の認証を容易にすることができる長所がある。また、認証のための認証サーバー、認証機関、ウェブサイト等の真偽のチェックが可能であり、無欠性及び唯一性の確保が可能である使用者認証が可能になる長所がある。
本発明の実施形態に係る使用者認証方法に使用される認証装置の簡略概念図である。 本発明の第1実施形態に係る使用者認証方法を示す順序図である。 本発明の第2実施形態に係る使用者認証方法を示す順序図である。 本発明の第3実施形態に係る使用者認証方法を示す順序図である。
以下では本発明の望ましい実施形態が、本発明が属する技術分野で通常の知識を有する者に本発明の徹底した理解を提供する意図の外には他の意図無しで、添付した図面を参照にして詳細に説明される。
図1は本発明の実施形態に係る使用者認証方法に使用される認証装置500の簡略概念図である。
図1に図示されたように、本発明の実施形態に係る使用者認証方法のための認証装置500は使用者端末機100及び認証サーバー200を具備する。
前記使用者端末機100は前記認証サーバー200と有無線インターネット網を通じて互いに連結され、前記使用者端末機100には前記認証サーバー200で提供された使用者認証のための専用アプリケーションプログラム(以下'専用アプリ'と称する)が設置される。前記使用者端末機100はスマートフォン、タブレット、PDA等を含んで通常の技術者に広く公知されたモバイル端末機が含まれることができる。また、デスクトップコンピュータPC、ノートブック型コンピューター、シンクライアント(thin client)用端末機、ゼロクライアント(zero−client)用端末機等を含むことができる。ここで、シンクライアント(thin client)用端末機はCPU・メモリ等の必須的なハードウェア装置のみを搭載した状態でネットワークに連結された中央サーバーですべての業務を管理するように設計された業務用端末機を称する。前記ゼロクライアント(zero client)用端末機はメモリ等の必須的な要素も全て無くしてPC本体の自体が必要としなく、すべての業務をサーバーで処理するようにして単なるサーバーを連結する端末機の役割のみを遂行するようにするものを称する。
本発明で、前記使用者端末機100は使用者が使用できる有無線通信が可能であるすべての端末機を称するが、特別に区分が必要である場合には、スマートフォン、タブレット、PDA等を含むモバイル端末機の場合は第1使用者端末機と称し、デスクトップコンピュータPC、ノートブック型コンピューター、シンクライアント(thin client)用端末機、ゼロクライアント(zero−client)用端末機等の場合は第2使用者端末機と称し、図面符号は同一の番号である'100'を使用する。
前記認証サーバー200は一般的に金融機関等の認証機関で使用者認証等の認証手続きに使用されるサーバーを含し、その他の通常の技術者に広く公知された認証サーバーが含まれる。
以下で使用される認証のための認証番号、暗証番号等の番号、固有キー、認証キー、認証情報等は文字、特殊文字、数字、各種の記号等が組合されたことであって、単純に数字のみの組合を意味しないことは明白であり、暗号化されたことを意味することもあり得、暗号化されないことを意味することもできる。
また、以下で前記使用者端末機100で遂行される各種構成は使用者端末機100に設置された専用アプリによって遂行される構成である。したがって、前記使用者端末機100によって遂行されたとすれば,前記使用者端末機100に設置された専用アプリによって遂行されることを意味する。
また、本発明では'一定基準'という用語が多数使用されるが、この一定基準という用語は何らかの基準又は予め定められた基準があるという意味であり、同一の用語が複数に使用されたとして互いに同一の基準を有することを意味することではない。したがって、本発明で使用される一定基準という用語が複数に使用される場合には、特別に同一の基準であると明示した場合を除いては互いに同一の基準を意味しない。例えば、第1共通認証キーから一定基準によって取出されたという記載とサーバー認証キーから一定基準によって取出されたという記載がある場合、第1共通認証キーからの取出される一定基準とサーバー認証キーから取出される一定基準とが互いに同一の基準を意味することではない。この場合、基準が同一であっても、互いに異なる基準を有することが普通である。
以下、使用者端末機100及び認証サーバー200を基本構成として本発明に係る使用者認証方法の各実施形態を説明する。
図2は本発明の第1実施形態に係る使用者認証方法を示した順序図である。
図2に図示されたように、本発明の第1実施形態に係る使用者認証方法は使用者が使用者端末機100が使用者登録のために前記専用アプリをダウンロードして設置することと開始される。使用者登録は前記専用アプリの設置過程で遂行されることも可能であり、前記専用アプリの設置の後に別の使用者登録過程を通じて遂行されることも可能である。
先ず、使用者が使用者登録のために使用者情報と個人暗証番号とを、前記使用者端末機100を通じて入力すれば(S102)、前記使用者端末機100では使用者が入力した前記個人暗証番号及び前記使用者端末機100の機械的固有キーを組合せて暗号化した第1共通認証キーを生成する(S104)。ここで、前記使用者端末機100の機械的固有キーは、例えばシリアル番号やUSIM番号等を含むことができ、それ以外に前記使用者端末機を区分するために与えられた各種固有番号等を含むことができる。
前記第1共通認証キーは前記使用者端末機100の機械的固有キー又は前記使用者電話番号から一定基準によって取出された取出値が構成要素としてさらに追加されることができる。即ち、前記第1共通認証キーは前記個人暗証番号、前記使用者端末機100の機械的固有キー、及び前記使用者端末機100の機械的固有キー又は前記使用者電話番号から一定基準によって取出された取出値を組合せて暗号化することによって生成されることも可能である。前記使用者端末機100の機械的固有キー又は前記使用者電話番号から一定基準によって取出された取出値は、例えば複数個の数字が羅列された構造を有する前記使用者端末機の機械的固有キー又は前記使用者電話番号から、予め定められた基準である一定基準(例えば、第1桁から偶数番目又は奇数番目の数値を取出して順次羅列するか、偶数を取出して羅列するか、奇数を取出して羅列するか、各々の数値に特定数字を加えるか、或いは引いて羅列する等の基準)によって取出される。
前記第1共通認証キーはハッシュ(hash)暗号値の形態に生成されることができ、以外に通常の技術者に広く公知された暗号化技術を利用して暗号化されて生成されることも可能である。
前記使用者端末機100は前記第1共通認証キーを前記使用者情報と共に前記認証サーバー200に伝送する(S106)。
前記認証サーバー200は前記使用者端末機100から伝送された前記第1共通認証キーを前記使用者情報にマッチングして前記使用者情報と共に登録及び格納する(S202)。したがって、使用者登録手続が遂行される。
従来の場合、使用者登録が遂行されれば、通常は認証サーバーで個人暗証番号を格納しているが、本発明の第1実施形態の場合は前記認証サーバー200や使用者端末機100で暗証番号を格納せず、前記認証サーバー200では単なる前記第1共通認証キーのみを格納している。したがって、使用者が個人暗証番号を忘れるか、或いは流出される場合には新しい登録手続を通じて新しい暗証番号が含まれた第1共通認証キーを前記認証サーバー200に伝送して登録されるようにすることができ、認証機関の場合にハッキング等を通じて前記第1共通認証キーが流出された場合には、前記使用者端末機100の機械的固有キー又は前記使用者電話番号から一定基準によって取出される取出値の取出基準を変更して新しい第1共通認証キーを生成するようにし、新しく生成された第1共通認証キーを登録することによって簡単に対応することができる。
以後、前記認証サーバー200では内装された認証機関の固有キーと前記第1共通認証キーとを組合せて暗号化することによって優先的にサーバー認証キーを生成し、前記サーバー認証キーを演算キーとしてOTP(One Time Password)演算をして時間値に同期化された第1サーバー認証情報を生成する(S204)。前記第1サーバー認証情報は前記第1共通認証キーの登録の後に他の手続きに関わらず、独立して生成されることが可能である。即ち、前記第1サーバー認証情報は前記第1共通認証キーの登録の後から後述する第1使用者認証情報を生成する時までの時間内に生成されれば、十分である。そして、前記第1サーバー認証情報を前記使用者端末機100に伝送する場合にも、生成の直ちに伝送することも可能であり、必要である時点に伝送することも可能である。
前記使用者端末機100では使用者から認証のために前記個人暗証番号が入力されれば(S108)、前記個人暗証番号及び前記使用者端末機100の機械的固有キーを組合せて暗号化した第2共通認証キーを実時間に生成する(S110)。前記第2共通認証キーはハッシュ(hash)暗号値の形態に生成されることができ、以外に通常の技術者に広く公知された暗号化技術を利用して暗号化されて生成されることも可能である。
この時、前記第1共通認証キーの構成要素として前記使用者端末機100の機械的固有キー又は前記使用者電話番号から一定基準によって取出された取出値が含まれた場合には、前記第2共通認証キーを生成する時にも前記第1共通認証キーを生成する時に適用された同一の基準によって前記使用者端末機100の機械的固有キー又は前記使用者電話番号から取出された取出値をさらに含ませる。即ち、前記第2共通認証キーの生成方式は前記第1共通認証キーの生成方式と同一である。
これと異なって、前記第1共通認証キー及び前記第2共通認証キーは上述したことと異なる方法で生成されることも可能である。
一例として、前記第1共通認証キーの生成のために、前記使用者端末機100では前記使用者端末機100の機械的固有キーや使用者電話番号から一定基準によって順次m個(mは任意の自然数)の取出値を取出し、これらの取出値の各々に前記個人暗証番号及び前記使用者端末機100の機械的固有キーを組合せて、対応されるm個の共通認証キーを生成することができる。以後に前記使用者端末機100ではm個の共通認証キーを前記認証サーバー200に伝送する。
前記認証サーバー200では前記m個の共通認証キーの中で予め定められた基準にしたがって1つを選択して第1共通認証キーとして登録する。例えば、前記認証サーバー200に前記取出値の中で第1番目の取出値に対応される共通認証キーが選択されて前記第1共通認証キーとして登録されるようにする基準があれば、別の問題が無い限り、第1番目の取出値に対応される共通認証キーが第1共通認証キーとして登録される。しかし、他の認証やその他の他人の認証のために前記認証サーバー200に登録されている認証キーの中に前記共通認証キーと重複される認証キーがあれば、重複を排除するために、前記共通認証キーの中で次の順序又は次の次数に該当される第2番目の取出値に対応される共通認証キーが選択されて前記第1共通認証キーとして登録されることが可能である。第2番目の取出値に対応される共通認証キーの場合にも重複が存在すれば、重複が存在しない順序の取出値に対応される共通認証キーが選択されて前記第1共通認証キーとして登録される。
以外に他の基準がある場合にはその基準にしたがって選択された共通認証キーが前記第1共通認証キーとして登録される。例えば、10個の共通認証キーが生成され、5番目の順序の取出値に対応される共通認証キーを選択するようになっている場合には、これを選択して第1共通認証キーとして登録することが可能である。重複がある場合には次の順序の取出値に対応される共通認証キーを選択するか、或いは他の基準がある場合にはその基準にしたがって選択して第1共通認証キーを登録することが可能である。
以後に前記認証サーバー200は登録された前記第1共通認証キーの順序値情報又は前記順序値に対する計算情報を前記使用者端末機100に提供する。予め約束された選択基準がある場合又は前記使用者端末機100で前記第1共通認証キーの順序値情報を分かる場合には前記順序値情報又は前記順序値に対する計算情報の伝送過程は省略されることができる。
前記認証サーバー200で前記第1共通認証キーの順序値情報又は前記順序値に対する計算情報を前記使用者端末機100に伝送する場合には、前記第1共通認証キーの順序値情報又は前記順序値に対する計算情報を前記第1サーバー認証情報に含んで伝送することも可能であり、別に伝送することも可能である。
ここで、前記第1サーバー認証情報に前記第1共通認証キーの順序値情報又は前記順序値に対する計算情報を含んで伝送する場合には、前記第1サーバー認証情報は前記使用者端末機100で前記第2共通認証キーを生成する前に前記使用者端末機100に伝送されなければならない。
前記第1共通認証キーの順序値情報は前記認証サーバー200に登録された第1共通認証キーがm個の共通認証キーの中で何番目の取出値に対応される共通認証キーであるか否かに対する情報又は前記m個(mは任意の自然数)の取出値の中で前記第1共通認証キーに含まれた取出値の順序情報を意味する。
この場合、前記使用者端末機100では前記第2共通認証キーを生成するために、前記使用者端末機100の機械的固有キー又は使用者電話番号から一定基準(前記共通認証キーを生成する時に適用されたことと同一の基準)によって順次m個(mは任意の自然数)の取出値を取出し、前記取出値の中で前記認証サーバー200で提供された前記順序値に対応される取出値を選択して前記第2共通認証キーを生成することが可能である。
これと異なって、前記使用者端末機100の機械的固有キー又は使用者電話番号から前記順序値に対応される取出値を一定基準によって取出して前記第2共通認証キーを生成することも可能である。したがって、前記第2共通認証キーは前記個人暗証番号及び前記使用者端末機100の機械的固有キーに、前記順序値に対応される取出値が追加的な構成要素として含まれて生成されることが可能である。
以後に前記使用者端末機100では前記第2共通認証キーを利用して第1使用者認証情報を生成する(S112)。前記第1使用者認証情報に対応される前記第1サーバー認証情報の生成については既に説明した。
前記使用者端末機100では認証機関の固有キーと前記第2共通認証キーとを組合せて暗号化することによって使用者認証キーを優先的に生成し、前記使用者認証キーを演算キーとしてOTP(One Time Password)演算をすることによって時間値に同期化された第1使用者認証情報を生成することができる。ここで、認証機関の固有キーは前記専用アプリの設置の時に内装されて提供されるか、或いは認証手続の開始の前にアップデート等を通じて提供されることが可能である。
ここで、前記使用者認証キーに前記第2共通認証キーから一定基準によって取出された取出値が構成要素としてさらに追加されることが可能であり、前記サーバー認証キーには、前記第1共通認証キーから一定基準によって取出された取出値が構成要素としてさらに追加されることが可能である。この時、前記使用者認証キーに追加される前記第2共通認証キーの取出値と前記サーバー認証キーに追加される前記第1共通認証キーの取出値とは同一の基準にしたがって第1共通認証キー又は第2共通認証キーからの取出される取出値である。
そして、前記第1使用者認証情報を生成するための演算キーには、前記使用者認証キーから一定基準によって取出された取出値が構成要素としてさらに追加されることが可能であり、前記第1サーバー認証情報を生成するための演算キーには、前記サーバー認証キーから一定基準によって取出された取出値が構成要素としてさらに追加されることができる。この時、前記使用者認証キーから取出される取出値と前記サーバー認証キーから取出される取出値とは互いに同一の基準によって取出される取出値である。これは前記第1使用者認証情報と前記第1サーバー認証情報との生成方式は互いに同一でなければならず、結果値が一致されることが原則であるので、当然なことである。
以後に前記第1使用者認証情報が前記使用者端末機100を通じて前記認証サーバー200に伝送されれば(S114)、前記認証サーバー200では認証情報の一致しているかいないか、即ち前記第1使用者認証情報と前記第1サーバー認証情報との一致しているかいないかにしたがって使用者認証を遂行する(S206)。前記第1使用者認証情報は受動に使用者によって入力されて伝送されることも可能であり、自動に伝送されるようにすることも可能であり、使用者の伝送指示によって自動に伝送されるようにすることも可能である。
ここで、前記使用者端末機100は前記認証サーバー200と連結された1つ又は複数の使用者端末機が使用されることが可能である。例えば、第1使用者端末機100に第1共通認証キー等の登録手続を進行し、第2使用者端末機100に認証手続を進行することが可能であり、その反対の場合も可能である。また、認証手続の場合にも、第1使用者認証情報は前記第1使用者端末機100を通じて生成し、前記第1使用者認証情報の入力や伝送は前記第2使用者端末機100を通じて遂行されることが可能である。それ以外にも多様な手続きで複数の使用者端末機100が利用されることが可能である。
そして、前記第1使用者認証情報と前記第1サーバー認証情報とを使用者が使用者端末機100で比較することと、前記認証サーバー200の真偽、認証サーバー200に連結された接続ウェブページの真偽、又は認証サービスを供給するサービス供給者又は認証機関の真偽を確認することが可能である。従来の場合、認証機関を詐称して認証機関の接続ウェブページと類似に構成して使用者を混同させる事例が多くあるが、これに対する適切な対応策がなかったことが事実である。本発明ではこのような問題点を解決するために認証機関(又はサービス供給者)の真偽を使用者が確認することが可能である。
このために前記第1サーバー認証情報が生成される場合、前記認証サーバー200では前記第1サーバー認証情報を前記接続ウェブページを通じて表示するようにするか、或いは前記使用者端末機100に伝送するようにする(S205)。前記第1サーバー認証情報が表示されるか、或いは伝送されれば、これを前記使用者端末機100で前記第1使用者認証情報と比較することによって前記認証サーバー200が真の認証サーバーであるか、或いは前記接続ウェブページが真のものであるかの真偽を判別することが可能である(S116)。即ち、前記認証サーバー200の真偽、認証サーバー200に連結された接続ウェブページの真偽、又は認証サービスを供給するサービス供給者又は認証機関の真偽を確認することが可能である。
ここで、前記第1サーバー認証情報が前記第2共通認証キーを生成する前に予め前記使用者端末機100に伝送された状態である場合には再伝送するか、別に伝送する必要無しで予め伝送された前記第1サーバー認証情報を利用して認証サーバー認証を遂行する。
本発明の第1実施形態では、前記第1サーバー認証情報及び前記第1使用者認証情報を前記使用者端末機100で比較すれば、一致しているかいないかを通じて認証機関又は認証サーバー200の真偽を判別する認証機関認証又は認証サーバー認証が可能であり、前記第1サーバー認証情報及び前記第1使用者認証情報を前記認証サーバー200で比較すれば、一致しているかいないかを通じて使用者認証が可能であるようになる。
ここで、前記認証サーバーの認証手続(S205、S116)と前記使用者の認証手続(S114、S206)とは同時に遂行されることも可能であり、前記認証サーバーの認証手続(S205、S116)が先ず遂行された後に認証が確認されれば、前記使用者認証手続(S114、S206)が遂行されることも可能である。
図3は本発明の第2実施形態に係る使用者認証方法を示した順序図である。
図3に図示されたように、本発明の第2実施形態に係る使用者認証方法は使用者が使用者端末機100が使用者登録のために前記専用アプリをダウンロードして設置することと開始されることができる。使用者登録は前記専用アプリの設置過程で遂行されることも可能であり、前記専用アプリの設置の後に別の使用者登録過程を通じて遂行されることも可能である。
先ず、使用者が使用者登録のために使用者情報と個人暗証番号とを前記使用者端末機100を通じて入力すれば(S122)、前記使用者端末機100では使用者が入力した前記個人暗証番号及び前記使用者端末機100の機械的固有キーを組合せて暗号化した第1共通認証キーを生成する(S124)。ここで、前記使用者端末機100の機械的固有キーは、例えばシリアル番号やUSIM番号等を含むことができ、以外に前記使用者端末機を区分するために与えられた各種固有番号等を含むことができる。
前記第1共通認証キーは前記使用者端末機100の機械的固有キー又は前記使用者電話番号から一定基準によって取出された取出値が構成要素としてさらに追加されることができる。即ち、前記第1共通認証キーは前記個人暗証番号、前記使用者端末機100の機械的固有キー、及び前記使用者端末機100の機械的固有キー又は前記使用者電話番号から一定基準によって取出された取出値を組合せて暗号化することによって生成されることも可能である。前記使用者端末機100の機械的固有キー又は前記使用者電話番号から一定基準によって取出された取出値は、例えば複数個の数字が羅列された構造を有する前記使用者端末機の機械的固有キー又は前記使用者電話番号から、予め定められた基準である一定基準(例えば、第1桁から偶数番目又は奇数番目の数値を取出して順次羅列するか、偶数を取出して羅列するか、奇数を取出して羅列するか、各々の数値に特定数字を加えるか、或いは引いて羅列する等の基準)によって取出される。
前記第1共通認証キーはハッシュ(hash)暗号値の形態に生成されることができ、以外に通常の技術者に広く公知された暗号化技術を利用して暗号化されて生成されることも可能である。
前記使用者端末機100は前記第1共通認証キーを前記使用者情報と共に前記認証サーバー200に伝送する(S126)。
前記認証サーバー200は前記使用者端末機100で伝送された前記第1共通認証キーを前記使用者情報にマッチングして前記使用者情報と共に登録及び格納する(S222)。したがって、使用者登録手続が遂行される。
従来の場合、使用者登録が遂行されれば、通常は認証サーバーで個人暗証番号を格納しているが、本発明の場合は前記認証サーバー200や使用者端末機100で暗証番号を格納せず、前記認証サーバー200では単なる前記第1共通認証キーのみを格納している。したがって、使用者が個人暗証番号を忘れるか、或いは流出される場合には新しい登録手続を通じて新しい暗証番号が含まれた第1共通認証キーを前記認証サーバー200に伝送して登録されるようにすることができ、認証機関の場合にハッキング等を通じて前記第1共通認証キーが流出された場合には、前記使用者端末機100の機械的固有キー又は前記使用者電話番号から一定基準によって取出される取出値の取出基準を変更して新しい第1共通認証キーを生成するようにし、新しく生成された第1共通認証キーを登録することによって簡単に対応することができる。
以後、前記認証サーバー200では内装された認証機関の固有キーと前記第1共通認証キーとを組合せて暗号化することによって優先的にサーバー認証キーを生成し、前記サーバー認証キーを演算キーとしてOTP(One Time Password)演算をして時間値に同期化された第1サーバー認証情報を生成する(S223)。前記第1サーバー認証情報は前記第1共通認証キーの登録の後に他の手続きに関わらず、独立して生成されることが可能である。即ち、前記第1サーバー認証情報は前記第1共通認証キーの登録の後から後述する第1使用者認証情報を生成する時までの時間内に生成されれば、十分である。
また、前記第1サーバー認証情報の前記使用者端末機100の伝送が必要である場合には、必要によって伝送時点が変更されることができる。生成の直ちに伝送することも可能であり、必要である時点に伝送するように設定することが可能である。図3では第1サーバー認証情報の生成の直ちに伝送されることと図示し、前記第1サーバー認証情報は生成の直ちに前記使用者端末機100に伝送される(S225)。以外に前記第1サーバー認証情報は他の時点に伝送されることも可能である。例えば、前記第1サーバー認証情報は前記第1使用者認証情報が生成される時点に近接して伝送されるか、或いは前記第1使用者認証情報が生成された後に伝送されることも可能である。
前記使用者端末機100では使用者から認証のために前記個人暗証番号が前記使用者端末機100を通じて入力されれば(S128)、前記使用者端末機100ではギャップタイム(gap time)値を測定する(S128)。測定された前記ギャップタイム値は前記認証サーバー200にも伝送される(S130)。
前記ギャップタイム値は使用者が認証のための個人暗証番号を入力するのに所要される時間を1/n(nは任意の正の実数)秒(Second)単位に測定した時間値を意味する。ここで、1/n秒は前記使用者端末機100のハードウェア的又はソフトウェア的に分割される範囲の時間単位を意味する。例えば、個人暗証番号を第1番目の数値から最後の数値まで入力するのに、秒単位には10秒が掛かったと表現されることができるが、1/1000秒単位に測定する場合には10436等に測定値が得ることができる。又は、1/1,000,000秒単位、又は1/1、000,000,000秒単位にして測定する場合は数多い数字が含まれた測定値が得ることができる。
ここで、前記個人暗証番号入力のための入力窓が画面に表示された時点から前記個人暗証番号の第1番目の数値が入力される時点までの時間区間を第1時間区間として定義し、前記個人暗証番号の最後の数値が入力される時点から前記個人暗証番号の入力完了を知らせる入力キー(又はエンターキー)の信号が入力される時点までの時間区間を第2時間区間として定義する時、前記ギャップタイム値は前記第1時間区間の中でいずれか1つの時点から前記第2時間区間の中でいずれか1つの時点までの時間測定値である。
前記認証サーバー200では前記使用者端末機100から前記ギャップタイム値が伝送されれば、これを前記使用者情報、前記第1共通認証キー等とマッチングして格納及び登録する(S227)。
前記個人暗証番号が入力されることによって、前記使用者端末機100では前記個人暗証番号及び前記使用者端末機100の機械的固有キーを組合せて暗号化した第2共通認証キーを実時間に生成する(S132)。前記第2共通認証キーはハッシュ(hash)暗号値の形態に生成されることができ、それ以外に通常の技術者に広く公知された暗号化技術を利用して暗号化されて生成されることも可能である。
この時、前記第1共通認証キーの構成要素として前記使用者端末機100の機械的固有キー又は前記使用者電話番号から一定基準によって取出された取出値が含まれた場合には、前記第2共通認証キーを生成する時にも前記第1共通認証キーを生成する時に適用された同一の基準によって前記使用者端末機100の機械的固有キー又は前記使用者電話番号から取出された取出値をさらに含ませる。即ち、前記第2共通認証キーの生成方式は前記第1共通認証キーの生成方式と同一であり得る。
これと異なって、前記第1共通認証キー及び前記第2共通認証キーは上述したことと異なる方法で生成されることも可能である。
一例として、前記第1共通認証キーの生成のために、前記使用者端末機100では前記使用者端末機100の機械的固有キーや使用者電話番号から一定基準によって順次m個(mは任意の自然数)の取出値を取出し、これらの取出値の各々に前記個人暗証番号及び前記使用者端末機100の機械的固有キーを組合せて、対応されるm個の共通認証キーを生成することができる。以後に前記使用者端末機100ではm個の共通認証キーを前記認証サーバー200に伝送する。
前記認証サーバー200では前記m個の共通認証キーの中で予め定められた基準にしたがって1つを選択して第1共通認証キーとして登録する。例えば、前記認証サーバー200に前記取出値の中で第1番目の取出値に対応される共通認証キーが選択されて前記第1共通認証キーとして登録されるようにする基準があれば、別の問題が無い限り、第1番目の取出値に対応される共通認証キーが第1共通認証キーとして登録される。しかし、他の認証やその他の他人の認証のために前記認証サーバー200に登録されている認証キーの中に前記共通認証キーと重複される認証キーがあれば、重複を排除するために、前記共通認証キーの中で次の順序又は次の次数に該当される第2番目の取出値に対応される共通認証キーが選択されて前記第1共通認証キーとして登録されることが可能である。第2番目の取出値に対応される共通認証キーの場合にも重複が存在すれば、重複が存在しない順序の取出値に対応される共通認証キーが選択されて前記第1共通認証キーとして登録される。
それ以外に他の基準がある場合にはその基準にしたがって選択された共通認証キーが前記第1共通認証キーとして登録される。例えば、10個の共通認証キーが生成され、5番目の順序の取出値に対応される共通認証キーを選択するようになっている場合には、これを選択して第1共通認証キーとして登録することが可能である。重複がある場合には次の順序の取出値に対応される共通認証キーを選択するか、或いは他の基準がある場合にはその基準にしたがって選択して第1共通認証キーを登録することが可能である。
その後前記認証サーバー200は登録された前記第1共通認証キーの順序値情報又は前記順序値に対する計算情報を前記使用者端末機100に提供する。予め約束された選択基準がある場合又は前記使用者端末機100で前記第1共通認証キーの順序値情報を分かる場合には前記順序値情報又は前記順序値に対する計算情報の伝送過程は省略されることができる。
前記認証サーバー200で前記第1共通認証キーの順序値情報又は前記順序値に対する計算情報を前記使用者端末機100に伝送する場合には、前記第1共通認証キーの順序値情報又は前記順序値に対する計算情報を前記第1サーバー認証情報に含んで伝送することも可能であり、別に伝送することも可能である。
ここで、前記第1サーバー認証情報に前記第1共通認証キーの順序値情報又は前記順序値に対する計算情報を含んで伝送する場合には、前記第1サーバー認証情報は前記使用者端末機100で前記第2共通認証キーを生成する前に伝送されなければならない(S225)。
前記第1共通認証キーの順序値情報は前記認証サーバー200に登録された第1共通認証キーがm個の共通認証キーの中で何番目の取出値に対応される共通認証キーであるかに対する情報又は前記m個(mは任意の自然数)の取出値の中で前記第1共通認証キーに含まれた取出値の順序情報を意味する。
この場合、前記使用者端末機100では前記第2共通認証キーの生成のために、前記使用者端末機100の機械的固有キー又は使用者電話番号から一定基準(前記共通認証キー生成の時に適用されたことと同一の基準)によって順次m個(mは任意の自然数)の取出値を取出し、前記取出値の中で前記認証サーバー200で提供された前記順序値に対応される取出値を選択して前記第2共通認証キーを生成することが可能である。
これと異なって、前記使用者端末機100の機械的固有キー又は使用者電話番号から前記順序値に対応される取出値を一定基準によって取出して前記第2共通認証キーを生成することも可能である。したがって、前記第2共通認証キーは前記個人暗証番号及び前記使用者端末機100の機械的固有キーに、前記順序値に対応される取出値が追加的な構成要素として含まれて生成されることが可能である。
以後に前記使用者端末機100では前記第2共通認証キーを利用して第1使用者認証情報を生成する(S132)。前記第1使用者認証情報に対応される前記第1サーバー認証情報の生成に対しては既に説明した。
前記使用者端末機100では認証機関の固有キーと前記第2共通認証キーとを組合せて暗号化することによって使用者認証キーを優先的に生成し、前記使用者認証キーを演算キーとしてOTP(One Time Password)演算をすることによって時間値に同期化された第1使用者認証情報を生成する(S134)。ここで、認証機関の固有キーは前記専用アプリの設置時に内装されて前記使用者端末機100に提供されるか、或いは認証手続の開始の前にアップデート等を通じて前記使用者端末機100に提供されることが可能である。
ここで、前記使用者認証キーには前記第2共通認証キーから一定基準によって取出された取出値が構成要素としてさらに追加されることが可能であり、前記サーバー認証キーには、前記第1共通認証キーから一定基準によって取出された取出値が構成要素としてさらに追加されることが可能である。この時、前記使用者認証キーに追加される前記第2共通認証キーの取出値と前記サーバー認証キーに追加される前記第1共通認証キーの取出値とは同一の基準にしたがって第1共通認証キー又は第2共通認証キーからの取出される取出値である。
そして、前記第1使用者認証情報を生成するための演算キーには、前記使用者認証キーから一定基準によって取出された取出値が構成要素としてさらに追加されることが可能であり、前記第1サーバー認証情報を生成するための演算キーには、前記サーバー認証キーから一定基準によって取出された取出値が構成要素としてさらに追加されることができる。この時、前記使用者認証キーから取出される取出値と前記サーバー認証キーから取出される取出値とは互いに同一の基準によって取出される取出値である。これは前記第1使用者認証情報と前記第1サーバー認証情報との生成方式は互いに同一でなければならなく、結果値が一致されることが原則であるので,当然なことである。
この状態で前記第1使用者認証情報を前記認証サーバー200に伝送して前記第1使用者認証情報と前記第1サーバー認証情報とを比較して一致しているかいないかの判断を通じて1次的な使用者認証を遂行することができる。
即ち、前記第1使用者認証情報が前記使用者端末機100を通じて前記認証サーバー200に伝送されれば、前記認証サーバー200では認証情報の一致しているかいないか、即ち、前記第1使用者認証情報と前記第1サーバー認証情報との一致しているかいないかにしたがって1次的な使用者認証を遂行する。前記第1使用者認証情報は受動に使用者によって入力されて伝送されることも可能であり、特別な指示や言及無しで自動に伝送されるようにすることも可能であり、使用者の伝送指示によって自動に伝送されるようにすることも可能である。
ここで、前記使用者端末機100は前記認証サーバー200と連結された1つ又は複数の使用者端末機が使用されることが可能である。例えば、第1使用者端末機100に第1共通認証キー等の登録手続を進行し、第2使用者端末機100に認証手続を進行することが可能であり、その反対の場合も可能である。また、認証手続の場合にも、第1使用者認証情報は前記第1使用者端末機100を通じて生成し、前記第1使用者認証情報の入力や伝送は前記第2使用者端末機100を通じて遂行されることが可能である。以外にも多様な手続きで複数の使用者端末機100が利用されることが可能である。
前記第1使用者認証情報と前記第1サーバー認証情報とを比較して一致しているかいないかの判断を通じて1次的な使用者認証を遂行する過程は必要にしたがって選択され、省略されることも可能である。
そして、前記第1使用者認証情報と前記第1サーバー認証情報とを使用者が使用者端末機100で比較することと、前記認証サーバー200の真偽、認証サーバー200に連結された接続ウェブページの真偽、又は認証サービスを供給するサービス供給者又は認証機関の真偽を確認することが可能である。
このために前記第1サーバー認証情報が生成される場合、前記認証サーバー200では前記第1サーバー認証情報を前記接続ウェブページを通じて表示するようにするか、或いは前記使用者端末機100に伝送するようにする(S225)。前記第1サーバー認証情報が表示されるか、或いは伝送されれば、これを前記使用者端末機100で前記第1使用者認証情報と比較することによって前記認証サーバー200が真の認証サーバーであるか、或いは前記接続ウェブページが真のものであるかの真偽を判別することが可能である(S135)。即ち、前記認証サーバー200の真偽、認証サーバー200に連結された接続ウェブページの真偽又は認証サービスを供給するサービス供給者又は認証機関の真偽を確認する認証サーバー認証が可能である。
ここで、前記第1サーバー認証情報が前記第2共通認証キーを生成する前に予め前記使用者端末機100に伝送された状態である場合には(S225)、再伝送するか、別に伝送する必要無しで予め伝送された前記第1サーバー認証情報を利用して認証サーバー認証を遂行する。
結果的に、前記第1サーバー認証情報及び前記第1使用者認証情報を前記使用者端末機100で比較すれば、一致しているかいないかを通じて認証機関又は認証サーバー200の真偽を判別する認証機関認証又は認証サーバー認証が可能であり、前記第1サーバー認証情報及び前記第1使用者認証情報を前記認証サーバー200で比較すれば、一致しているかいないかを通じて使用者認証が可能であるようになる。
ここで、前記認証サーバーの認証手続(S225、S135)と前記使用者認証手続とは同時に遂行されることも可能であり、前記認証サーバーの認証手続が先ず遂行された後に認証が確認されれば、前記使用者認証手続が遂行されることも可能である。また、認証過程が使用者認証及び認証サーバー認証の中でいずれか1つが選択されて遂行されることも可能である。図3では認証サーバーの認証のみを行うことと図示されている。
以後に前記使用者端末機100では前記ギャップタイム値又は前記ギャップタイム値で一定基準によって取出された数字値であるギャップタイムキーに多様な認証情報、認証キー、取出値の中で少なくともいずれか1つを構成要素として含んで組合することによって演算キーを生成することが可能である。また、前記演算キーを利用して時間値に同期化された第2使用者認証情報を生成することが可能である(S136)。
例えば、前記ギャップタイム値又は前記ギャップタイムキーに、前記第1使用者認証情報、前記第1使用者認証情報から一定基準によって取出された取出値、前記使用者認証キー、前記使用者認証キーから一定基準によって取出された取出値、前記第2共通認証キー、及び第2共通認証キーから一定基準によって取出された取出値の中で選択された少なくとも1つを構成要素としてさらに追加して組合せて前記演算キーを生成し、前記演算キーを利用してOTP(One Time Password)演算をして時間値に同期化された第2使用者認証情報を生成することが可能である。
これに対応して前記認証サーバー200では前記ギャップタイム値又は前記ギャップタイム値で一定基準によって取出された数字値であるギャップタイムキーに、多様な認証情報、認証キー、取出値の中で少なくともいずれか1つを構成要素として含んで組合することによって演算キーを生成することが可能である。また、前記演算キーを利用して第2サーバー認証情報を生成することが可能である(S228)。
ここで、認証サーバー200で利用するギャップタイム値は前記使用者端末機100から伝送されて前記認証サーバー200に既に登録されているギャップタイム値を意味する。また、前記使用者端末機100で使用される前記ギャップタイムキーと前記認証サーバー200で使用されるギャップタイムキーとは互いに同一の取出基準によって各々個別的に取出された取出値になる。
例えば、前記ギャップタイム値又は前記ギャップタイムキーに、前記第1サーバー認証情報、前記第1サーバー認証情報で一定基準によって取出された取出値、前記サーバー認証キー、前記サーバー認証キーから一定基準によって取出された取出値、前記第1共通認証キー、及び第1共通認証キーから一定基準によって取出された取出値の中で選択された少なくとも1つを構成要素として追加して組合することによって演算キーを生成し、前記演算キーを利用してOTP(One Time Password)演算をして前記第2使用者認証情報に対応されるように時間値に同期化された第2サーバー認証情報を生成する(S228)。
具体的な例として、前記第2使用者認証情報は前記ギャップタイム値又は前記ギャップタイムキーに、前記第1使用者認証情報と前記使用者認証キーから一定基準によって取出された取出値とを組合した演算キーを利用してOTP(One Time Password)演算をして生成されることができる。そして、前記第2サーバー認証情報は前記ギャップタイム値又は前記ギャップタイムキーに、前記第1使用者認証情報と前記サーバー認証キーから一定基準によって取出された取出値を組合した演算キーを利用してOTP(One Time Password)演算をして生成されることができる。
他の例として、前記第2使用者認証情報は前記ギャップタイム値又は前記ギャップタイムキーに、前記使用者認証キーと前記使用者認証キーとから一定基準によって取出された取出値を組合した演算キーを利用してOTP(One Time Password)演算をして生成され、前記第2サーバー認証情報は前記ギャップタイム値又は前記ギャップタイムキーに、前記サーバー認証キーと前記サーバー認証キーとから一定基準によって取出された取出値を組合した演算キーを利用してOTP(One Time Password)演算をして生成されることができる。
それ以外にも多様な組合によって前記第2使用者認証情報及び前記第2サーバー認証情報の生成が可能である。
その後前記第2使用者認証情報が前記使用者端末機100を通じて前記認証サーバー200に伝送されれば(S138)、前記認証サーバー200では認証情報の一致しているかいないか、即ち、前記第2使用者認証情報と前記第2サーバー認証情報との一致しているかいないかにしたがって使用者認証を遂行する(S230)。前記第2使用者認証情報は受動に使用者によって入力されて伝送されることも可能であり、自動に伝送されるようにすることも可能であり、使用者の伝送指示によって自動に伝送されるようにすることも可能である。
ここで、第2使用者認証情報は前記第1使用者端末機100を通じて生成し、前記第2使用者認証情報の入力や伝送は前記第2使用者端末機100を通じて遂行されることが可能である。以外にも多様な手続きで複数の使用者端末機100が利用されることが可能である。
本発明の第2実施形態では前記第1サーバー認証情報と前記第1使用者認証情報とを利用して第1次使用者認証を遂行し、前記第2サーバー認証情報と第2使用者認証情報とを利用して第2次使用者認証をすることが可能である。また、前記第1サーバー認証情報と前記第1使用者認証情報とは前記認証サーバーの認証(ウェブページ、認証機関、認証サービス供給者等の真偽確認のための認証)のために使用し、前記第2サーバー認証情報と第2使用者認証情報とは使用者認証のために使用される方式も可能である。
そして、前記第1次使用者認証と前記第2次使用者認証とが遂行される場合は、前記第1次使用者認証は第1次使用者認証が遂行され、以後に前記第2使用者認証情報及び前記第2サーバー認証情報が生成されれば、第2次使用者認証が遂行される方式が可能であり、他の方法に前記第2使用者認証情報及び前記第2サーバー認証情報が生成された後に第1次使用者認証及び前記第2次使用者認証が遂行される順次遂行されることが可能である。
また、前記第1サーバー認証情報と前記第1使用者認証情報とは前記認証サーバーの認証(ウェブページ、認証機関、認証サービス供給者等の真偽確認のための認証)のために使用し、前記第2サーバー認証情報と第2使用者認証情報とは使用者認証のために使用される場合に、前記認証サーバーの認証が遂行された後、前記第2使用者認証情報及び前記第2サーバー認証情報が生成されれば、これを利用して使用者認証が遂行される方式が可能であり、これと異なって前記第2サーバー認証情報と第2使用者認証情報との生成の後に前記第1サーバー認証情報と前記第1使用者認証情報とを利用する前記認証サーバーの認証が遂行され、前記第2サーバー認証情報と第2使用者認証情報とを利用して使用者認証が順次遂行されることが可能である。
図4は本発明の第3実施形態に係る使用者認証方法を示した順序図である。
図4に図示されたように、本発明の第3実施形態に係る使用者認証方法は使用者が使用者端末機100が使用者登録のために前記専用アプリをダウンロードして設置することと開始される。使用者登録は前記専用アプリの設置過程で遂行されることも可能であり、前記専用アプリの設置の後に別の使用者登録過程を通じて遂行されることも可能である。
先ず、使用者が使用者登録のために使用者情報と個人暗証番号とを前記使用者端末機100を通じて入力すれば(S152)、前記使用者端末機100では使用者が入力した前記個人暗証番号及び前記使用者端末機100の機械的固有キーを組合せて暗号化した第1共通認証キーを生成する(S154)。ここで、前記使用者端末機100の機械的固有キーは、例えばシリアル番号やUSIM番号等を含むことができ、それ以外に前記使用者端末機を区分するために与えられた各種固有番号等を含むことができる。
前記第1共通認証キーは前記使用者端末機100の機械的固有キー又は前記使用者電話番号から一定基準によって取出された取出値が構成要素としてさらに追加されることができる。即ち、前記第1共通認証キーは前記個人暗証番号、前記使用者端末機100の機械的固有キー及び前記使用者端末機100の機械的固有キー又は前記使用者電話番号から一定基準によって取出された取出値を組合せて暗号化することによって生成されることも可能である。
前記使用者端末機100の機械的固有キー又は前記使用者電話番号から一定基準によって取出された取出値は、例えば複数の数字が羅列された構造を有する前記使用者端末機の機械的固有キー又は前記使用者電話番号から、予め定められた基準である一定基準(例えば、第1の桁から偶数番目又は奇数番目の数値を取出して順次羅列するか、偶数を取出して羅列するか、奇数を取出して羅列するか、各々の数値に特定数字をさらに加えるか、或いは引いて羅列する等の基準)によって取出される。
前記第1共通認証キーはハッシュ(hash)暗号値の形態に生成されることができ、以外に通常の技術者に広く公知された暗号化技術を利用して暗号化されて生成されることも可能である。
前記使用者端末機100は前記第1共通認証キーを前記使用者情報と共に前記認証サーバー200に伝送する(S156)。
前記認証サーバー200は前記使用者端末機100で伝送された前記第1共通認証キーを前記使用者情報にマッチングして前記使用者情報と共に登録及び格納する(S252)。したがって、使用者登録手続が遂行される。
従来の場合、使用者登録が遂行されれば、通常は認証サーバーで個人暗証番号を格納しているが、本発明の場合は前記認証サーバー200や使用者端末機100で暗証番号を格納せず、前記認証サーバー200では単なる前記第1共通認証キーのみを格納している。したがって、使用者が個人暗証番号を忘れるか、或いは流出される場合には新しい登録手続を通じて新しい暗証番号が含まれた第1共通認証キーを前記認証サーバー200に伝送して登録されるようにすることができ、認証機関の場合にハッキング等を通じて前記第1共通認証キーが流出された場合には、前記使用者端末機100の機械的固有キー又は前記使用者電話番号から一定基準によって取出される取出値の取出基準を変更して新しい第1共通認証キーを生成するようにし、新しく生成された第1共通認証キーを登録することによって簡単に対応することができる。
以後に認証手続きで認証のために使用者から前記使用者端末機100を通じて前記個人暗証番号が入力されれば(S158)、前記使用者端末機100ではギャップタイム(gap time)値を測定する(S158)。測定された前記ギャップタイム値は前記認証サーバー200にも伝送される(S160)。
前記ギャップタイム値は使用者が認証のための個人暗証番号を入力するのに所要される時間を1/n(nは任意の正の実数)秒(Second)単位に測定した時間値を意味する。ここで、1/n秒は前記使用者端末機100のハードウェア的又はソフトウェア的に分割される範囲の時間単位を意味する。例えば、個人暗証番号を第1番目の数値から最後の数値まで入力するのに、秒単位には10秒が掛かったと表現されることができるが、1/1000秒単位に測定する場合には'10436'等に測定値が得ることができる。又は、1/1,000,000秒単位、又は1/1、000,000,000秒単位にして測定する場合は数多い数字が含まれた測定値が得ることができる。
ここで、前記個人暗証番号入力のための入力窓が画面に表示された時点から前記個人暗証番号の第1番目の数値が入力される時点までの時間区間を第1時間区間として定義し、前記個人暗証番号の最後の数値が入力される時点から前記個人暗証番号の入力完了を知らせる入力キー(又はエンターキー)の信号が入力される時点までの時間区間を第2時間区間として定義する時、前記ギャップタイム値は前記第1時間区間の中でいずれか1つの時点から前記第2時間区間の中でいずれか1つの時点までの時間測定値である。
前記認証サーバー200では前記使用者端末機100から前記ギャップタイム値が伝送されれば、これを前記使用者情報、前記第1共通認証キー等とマッチングして格納及び登録する(S252)。
前記個人暗証番号が入力されることによって、前記使用者端末機100では前記個人暗証番号及び前記使用者端末機100の機械的固有キーを組合せて暗号化した第2共通認証キーを実時間に生成する(S162)。前記第2共通認証キーはハッシュ(hash)暗号値の形態に生成されることができ、以外に通常の技術者に広く公知された暗号化技術を利用して暗号化されて生成されることも可能である。
この時、前記第1共通認証キーの構成要素として前記使用者端末機100の機械的固有キー又は前記使用者電話番号から一定基準によって取出された取出値が含まれた場合には、前記第2共通認証キーを生成する時にも前記第1共通認証キーを生成する時に適用された同一の基準によって前記使用者端末機100の機械的固有キー又は前記使用者電話番号から取出された取出値をさらに含ませる。即ち、前記第2共通認証キーの生成方式は前記第1共通認証キーの生成方式と同一であり得る。
これと異なって、前記第1共通認証キー及び前記第2共通認証キーは上述したことと異なる方法に生成されることも可能である。
一例として、前記第1共通認証キーの生成のために、前記使用者端末機100では前記使用者端末機100の機械的固有キーや使用者電話番号から一定基準によって順次m個(mは任意の自然数)の取出値を取出し、これらの取出値の各々に前記個人暗証番号及び前記使用者端末機100の機械的固有キーを組合せて、対応されるm個の共通認証キーを生成することができる。以後に前記使用者端末機100ではm個の共通認証キーを前記認証サーバー200に伝送する。
前記認証サーバー200では前記m個の共通認証キーの中で予め定められた基準にしたがって1つを選択して第1共通認証キーとして登録する。例えば、前記認証サーバー200に前記取出値の中で第1番目の取出値に対応される共通認証キーが選択されて前記第1共通認証キーとして登録されるようにする基準があれば、別の問題が無い限り、第1番目の取出値に対応される共通認証キーが第1共通認証キーとして登録される。しかし、他の認証やその他の他人の認証のために前記認証サーバー200に登録されている認証キーの中に前記共通認証キーと重複される認証キーがあれば、重複を排除するために、前記共通認証キーの中で次の順序又は次の次数に該当される第2番目の取出値に対応される共通認証キーが選択されて前記第1共通認証キーとして登録されることが可能である。第2番目の取出値に対応される共通認証キーの場合にも重複が存在すれば、重複が存在しない順序の取出値に対応される共通認証キーが選択されて前記第1共通認証キーとして登録される。
以外に他の基準がある場合にはその基準にしたがって選択された共通認証キーが前記第1共通認証キーとして登録される。例えば、10個の共通認証キーが生成され、5番目の順序の取出値に対応される共通認証キーを選択するようになっている場合には、これを選択して第1共通認証キーとして登録することが可能である。重複がある場合には次の順序の取出値に対応される共通認証キーを選択するか、或いは他の基準がある場合にはその基準にしたがって選択して第1共通認証キーを登録することが可能である。
以後に前記認証サーバー200は登録された前記第1共通認証キーの順序値情報又は前記順序値に対する計算情報を前記使用者端末機100に提供する。予め約束された選択基準がある場合又は前記使用者端末機100で前記第1共通認証キーの順序値情報を分かる場合には前記順序値情報又は前記順序値に対する計算情報の伝送過程は省略されることができる。
前記認証サーバー200で前記第1共通認証キーの順序値情報又は前記順序値に対する計算情報を前記使用者端末機100に伝送する場合には、前記第1共通認証キーの順序値情報又は前記順序値に対する計算情報を前記サーバー認証情報に含んで伝送することも可能であり、別に伝送することも可能である。
ここで、前記サーバー認証情報に前記第1共通認証キーの順序値情報又は前記順序値に対する計算情報を含んで伝送する場合には、前記サーバー認証情報は前記使用者端末機100で前記第2共通認証キーを生成する前に伝送されなければならない。
この場合、前記使用者端末機100で前記ギャップタイム値が伝送されれば、前記認証サーバー200では直ちにサーバー認証情報を生成し、ここに前記第1共通認証キーの順序値情報又は前記順序値に対する計算情報を含んで伝送すれば、前記使用者端末機100では前記第1共通認証キーの順序値情報又は前記順序値に対する計算情報を利用して前記第2共通認証キーを生成する方式に進行される。
前記第1共通認証キーの順序値情報は前記認証サーバー200に登録された第1共通認証キーがm個の共通認証キーの中で何番目の取出値に対応される共通認証キーであるかに対する情報又は前記m個(mは任意の自然数)の取出値の中で前記第1共通認証キーに含まれた取出値の順序情報を意味する。
この場合、前記使用者端末機100では前記第2共通認証キーの生成のために、前記使用者端末機100の機械的固有キー又は使用者電話番号から一定基準(前記共通認証キー生成の時に適用されたことと同一の基準)によって順次m個(mは任意の自然数)の取出値を取出し、前記取出値の中で前記認証サーバー200で提供された前記順序値に対応される取出値を選択して前記第2共通認証キーを生成することが可能である。
これと異なって、前記使用者端末機100の機械的固有キー又は使用者電話番号から前記順序値に対応される取出値を一定基準によって取出して前記第2共通認証キーを生成することも可能である。したがって、前記第2共通認証キーは前記個人暗証番号及び前記使用者端末機100の機械的固有キーに、前記順序値に対応される取出値が追加的な構成要素として含まれて生成されることが可能である。
以後に前記使用者端末機100では前記第2共通認証キーと前記ギャップタイム値とを利用して使用者認証情報を生成する(S164)。そして、前記認証サーバー200では前記第1共通認証キーと前記ギャップタイム値とを利用してサーバー認証情報を生成する(S256)。前記サーバー認証情報が予め生成されることができることは既に説明した。
前記使用者端末機100では認証機関の固有キーと前記第2共通認証キーとを組合せて暗号化することによって使用者認証キーを優先的に生成し、前記ギャップタイム値又は前記ギャップタイム値で一定基準によって取出された数字値であるギャップタイムキーに前記使用者認証キーを組合した演算キーを利用してOTP(One Time Password)演算をして時間値に同期化された使用者認証情報を生成することができる(S164)。
ここで、認証機関の固有キーは前記専用アプリの設置時に内装されて前記使用者端末機100に提供されるか、或いは認証手続の開始の前にアップデート等を通じて前記使用者端末機100に提供されることが可能である。
そして、前記認証サーバー200では内装された認証機関の固有キーと前記第1共通認証キーとを組合せて暗号化することによって優先的にサーバー認証キーを生成し、前記ギャップタイム値又は前記ギャップタイム値で一定基準によって取出された数字値であるギャップタイムキーに前記サーバー認証キーを組合した演算キーを利用してOTP(One Time Password)演算をして時間値に同期化されたサーバー認証情報を生成することができる(S256)。
ここで、認証サーバー200で利用するギャップタイム値は前記使用者端末機100から伝送されて前記認証サーバー200に既に登録されているギャップタイム値を意味する。また、前記使用者端末機100で使用される前記ギャップタイムキーと前記認証サーバー200で使用されるギャップタイムキーとは互いに同一の取出基準によって各々個別的に取出された取出値になる。
そして、前記使用者認証キーには前記第2共通認証キーから一定基準によって取出された取出値が構成要素としてさらに追加されることが可能であり、前記サーバー認証キーには、前記第1共通認証キーから一定基準によって取出された取出値が構成要素としてさらに追加されることが可能である。この時、前記使用者認証キーに追加される前記第2共通認証キーの取出値と前記サーバー認証キーに追加される前記第1共通認証キーの取出値とは同一の基準にしたがって第1共通認証キー又は第2共通認証キーからの取出される取出値である。
そして、前記使用者認証情報を生成するための演算キーには、前記使用者認証キーから一定基準によって取出された取出値が構成要素としてさらに追加されることが可能であり、前記サーバー認証情報を生成するための演算キーには、前記サーバー認証キーから一定基準によって取出された取出値が構成要素としてさらに追加されることができる。この時、前記使用者認証キーから取出される取出値と前記サーバー認証キーから取出される取出値とは互いに同一の基準によって取出される取出値である。
この状態で前記使用者認証情報を前記認証サーバー200に伝送して(S166)、前記使用者認証情報と前記サーバー認証情報とを比較して一致しているかいないかの判断を通じて使用者認証を遂行することができる(S258)。
即ち、前記使用者認証情報が前記使用者端末機100を通じて前記認証サーバー200に伝送されれば(166)、前記認証サーバー200では認証情報の一致しているかいないか、即ち前記使用者認証情報と前記サーバー認証情報との一致しているかいないかにしたがって使用者認証を遂行する(S258)。前記使用者認証情報は受動に使用者によって入力されて伝送されることも可能であり、自動に伝送されるようにすることも可能であり、使用者の伝送指示によって自動に伝送されるようにすることも可能である。
ここで、前記使用者端末機100は前記認証サーバー200と連結された1つ又は複数の使用者端末機が使用されることが可能である。例えば、第1使用者端末機100に第1共通認証キー等の登録手続を進行し、第2使用者端末機100に認証手続を進行することが可能であり、その反対の場合も可能である。また、認証手続の場合にも、使用者認証情報は前記第1使用者端末機100を通じて生成し、前記使用者認証情報の入力や伝送は前記第2使用者端末機100を通じて遂行されることが可能である。以外にも多様な手続きで複数の使用者端末機100が利用されることが可能である。
上述した実施形態の以外にも、前記ギャップタイム値又はギャップタイムキーと個人暗証番号とを利用して使用者認証のための認証情報を生成する構成は、多様な構成要素が追加されることによって多様に変化されることができる。また、通常の技術者に広く公知された認証情報生成方法に前記ギャップタイムキー又はギャップタイム値が追加されることができ、このような構成は本発明に含まれることができる。
上述したように、本発明の実施形態によれば、暗証番号やその他の個人情報が流出された時に簡単に対応可能であり,保安性が強化され、使用者認証を容易にすることができる長所がある。また、認証のためのウェブサイト(認証サーバー)の真偽のチェックが可能であり、無欠性及び唯一性の確保が可能である使用者認証が可能になる長所がある。
上記した実施形態の説明は本発明のさらに徹底した理解のために図面を参照に例を挙げたことに過ぎないので、本発明を限定する意味に解釈されてはならない。また、本発明が属する技術分野で通常の知識を有する者において、本発明の基本的原理を逸脱しない範囲内で多様な変化と変更が可能であるのは明らかである。
100 使用者端末機
200 認証サーバー

Claims (8)

  1. 使用者端末機が使用者から入力された個人暗証番号及び前記使用者端末機の機械的固有キーを組合した第1共通認証キーを生成して認証サーバーに提供し、前記認証サーバーが前記第1共通認証キーを使用者情報にマッチングして登録する使用者登録段階と、
    前記認証サーバーが認証機関の固有キーと前記第1共通認証キーとを組合して生成されたサーバー認証キーに基づいて第1サーバー認証情報を生成する段階と、
    前記使用者端末機が、使用者から認証のために前記個人暗証番号が入力されれば、前記個人暗証番号及び前記使用者端末機の機械的固有キーを組合した第2共通認証キーを生成する段階と、
    前記使用者端末機が、前記認証機関の固有キーと前記第2共通認証キーとを組合して生成された使用者認証キーに基づいて第1使用者認証情報を生成する段階と、
    前記第1サーバー認証情報と前記第1使用者認証情報との一致しているか一致していないかを判断する比較判断段階と、を含む使用者認証方法。
  2. 前記使用者登録段階及び前記第2共通認証キー生成段階は、
    前記使用者端末機に設置される専用アプリケーションによって遂行されることを特徴とする請求項1に記載の使用者認証方法。
  3. 前記第1共通認証キー及び前記第2共通認証キーには、
    前記使用者端末機の機械的固有キー又は使用者電話番号から一定基準によって取出された取出値が構成要素としてさらに追加されることを特徴とする請求項1に記載の使用者認証方法。
  4. 前記第1共通認証キー及び前記第2共通認証キーが前記取出値を構成要素としてさらに含む場合、
    前記第1共通認証キーが流出されれば、前記認証サーバーが前記取出値の取出基準を変更する段階と、をさらに含む請求項3に記載の使用者認証方法。
  5. 前記比較判断段階は、
    前記使用者端末機が特定サーバーから前記第1サーバー認証情報を受信する段階と、
    前記使用者端末機が前記第1サーバー認証情報と前記第1使用者認証情報とを比較して、一致しているか一致していないかを判断する段階と、
    前記第1サーバー認証情報と前記第1使用者認証情報とが一致しなければ、前記特定サーバーが認証機関を詐称したサーバーとして判断する段階と、を含む請求項1に記載の使用者認証方法。
  6. 前記第1サーバー認証情報生成段階は、
    前記サーバー認証キーに前記認証サーバーに既に登録された第1ギャップタイム値又は前記第1ギャップタイム値から一定基準によって取出された数字値であるギャップタイムキーを組合した値に基づいて第1サーバー認証情報を生成し、
    前記第2共通認証キー生成段階は、
    個人暗証番号入力の時の第2ギャップタイム値を測定し、
    前記第1使用者認証情報生成段階は、
    前記使用者認証キーに第2ギャップタイム値又は前記ギャップタイム値から一定基準によって取出された数字値であるギャップタイムキーを組合した値に基づいて第1使用者認証情報を生成し、
    前記第1ギャップタイム値及び前記第2ギャップタイム値は、前記個人暗証番号を入力するのに所要される時間を1/n(nは任意の正の実数)秒(second)単位に測定した時間値である請求項1に記載の使用者認証方法。
  7. 前記使用者登録段階で、
    前記使用者端末機では前記使用者端末機の機械的固有キーから一定基準によって順次的にm個(mは任意の自然数)の取出値を取出し、これに対応されるm個の共通認証キーを生成して前記認証サーバーに伝送し、前記認証サーバーは、前記m個の共通認証キーの中から選択された共通認証キーを前記第1共通認証キーとして登録し、
    前記第2共通である認証キー生成段階で、
    前記使用者端末機では前記使用者端末機の機械的固有キーから一定基準によって順次的に取出されたm個(mは任意の自然数)の取出値の中で前記第1共通認証キーに対応される順序値を有する取出値を選択して含ませることによって前記第2共通認証キーを生成し、
    前記順序値は、
    m個(mは任意の自然数)の取出値の中で前記第1共通認証キーを選択する基準に利用された値として、前記使用者端末機内に格納されるか、或いは前記第2共通認証キー生成の時に前記認証サーバーから受信される値である請求項1に記載の使用者認証方法。
  8. 前記使用者端末機ではギャップタイム値又は前記ギャップタイム値から一定基準によって取出された数字値であるギャップタイムキーに、前記第1使用者認証情報、前記第1使用者認証情報から一定基準によって取出された取出値、前記使用者認証キー、前記使用者認証キーから一定基準によって取出された取出値、前記第2共通認証キー、及び第2共通認証キーから一定基準によって取出された取出値の中で選択された少なくとも1つを構成要素としてさらに追加して組合した値に基づいて第2使用者認証情報を生成する段階と、
    前記認証サーバーでは前記ギャップタイム値又は前記ギャップタイム値から一定基準によって取出された数字値であるギャップタイムキーに、前記第1サーバー認証情報、前記第1サーバー認証情報で一定基準によって取出された取出値、前記サーバー認証キー、前記サーバー認証キーから一定基準によって取出された取出値、前記第1共通認証キー、及び第1共通認証キーから一定基準によって取出された取出値の中で選択された少なくとも1つを構成要素として追加して組合した値に基づいて第2サーバー認証情報を生成する段階と、
    前記第2使用者認証情報と前記第2サーバー認証情報との一致しているか一致していないかを判断する段階と、をさらに含み、
    前記第2共通認証キー生成段階は、
    ギャップタイム値を前記使用者端末機で測定して前記認証サーバーに伝送する段階と、をさらに含み、
    前記ギャップタイム値は、使用者が認証のための個人暗証番号を入力するのに所要される時間を1/n(nは任意の正の実数)秒(second)単位に測定した時間値である請求項1に記載の使用者認証方法。
JP2017067839A 2016-01-06 2017-03-30 保安性が強化された使用者認証方法 Active JP6368817B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2016-0001584 2016-01-06
KR1020160001584A KR101618692B1 (ko) 2016-01-06 2016-01-06 보안성이 강화된 사용자 인증방법

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2016254943A Division JP6122205B1 (ja) 2016-01-06 2016-12-28 保安性が強化された使用者認証方法

Publications (2)

Publication Number Publication Date
JP2017123694A JP2017123694A (ja) 2017-07-13
JP6368817B2 true JP6368817B2 (ja) 2018-08-01

Family

ID=56020567

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2016254943A Active JP6122205B1 (ja) 2016-01-06 2016-12-28 保安性が強化された使用者認証方法
JP2017067839A Active JP6368817B2 (ja) 2016-01-06 2017-03-30 保安性が強化された使用者認証方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2016254943A Active JP6122205B1 (ja) 2016-01-06 2016-12-28 保安性が強化された使用者認証方法

Country Status (7)

Country Link
US (1) US9756040B2 (ja)
EP (1) EP3190770B1 (ja)
JP (2) JP6122205B1 (ja)
KR (1) KR101618692B1 (ja)
CN (1) CN107026844B (ja)
SG (2) SG10201703121RA (ja)
WO (1) WO2017119548A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101746102B1 (ko) * 2016-04-28 2017-06-13 주식회사 센스톤 무결성 및 보안성이 강화된 사용자 인증방법
KR101836236B1 (ko) 2017-03-15 2018-04-19 주식회사 센스톤 애플리케이션 간 인증을 이용한 사용자 인증방법 및 장치, 그 프로그램
JP6731887B2 (ja) * 2017-06-27 2020-07-29 Kddi株式会社 保守システム及び保守方法
WO2019031627A1 (ko) 2017-08-09 2019-02-14 주식회사 센스톤 가상코드제공시스템, 가상코드생성장치, 가상코드검증장치, 가상코드제공방법 및 가상코드제공프로그램
JP6696942B2 (ja) * 2017-08-14 2020-05-20 Kddi株式会社 車両保安システム及び車両保安方法
CN111345003B (zh) * 2017-09-19 2023-04-25 阿比奥梅德股份有限公司 用于医疗设备的基于时间的一次性密码管理的系统和方法
KR101985272B1 (ko) * 2018-02-02 2019-06-04 유비벨록스(주) 충돌을 방지할 수 있는 집적회로카드(icc) 비대칭키 생성 플랫폼 및 집적회로카드(icc) 비대칭키 생성 방법
KR102005554B1 (ko) * 2018-08-09 2019-07-30 주식회사 센스톤 공카드를 이용한 금융거래제공방법 및 시스템
US11483143B2 (en) * 2019-04-15 2022-10-25 Smart Security Systems, Llc Enhanced monitoring and protection of enterprise data
US11101990B2 (en) * 2019-08-19 2021-08-24 Lenovo (Singapore) Pte. Ltd. Default account authentication
CN110650160B (zh) * 2019-10-29 2022-01-04 北京天威诚信电子商务服务有限公司 一种身份认证方法及系统
CN112883386B (zh) * 2021-01-15 2024-02-13 湖南遥昇通信技术有限公司 一种数字指纹处理及签名处理方法、设备及存储介质

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR0151901B1 (ko) * 1995-11-06 1998-11-02 서정욱 비밀 번호를 이용한 이동 단말기 인증 방법
JP3697212B2 (ja) 2002-01-16 2005-09-21 株式会社エヌ・ティ・ティ・ドコモ ユーザ認証システム、ユーザ認証方法、ユーザ認証プログラム、及び、コンピュータ読取可能な記録媒体
JP2003299146A (ja) * 2002-02-01 2003-10-17 Canon Inc 無線通信装置
US7571489B2 (en) * 2004-10-20 2009-08-04 International Business Machines Corporation One time passcode system
US20060136739A1 (en) * 2004-12-18 2006-06-22 Christian Brock Method and apparatus for generating one-time password on hand-held mobile device
NO20050152D0 (no) * 2005-01-11 2005-01-11 Dnb Nor Bank Asa Fremgangsmate ved frembringelse av sikkerhetskode og programmbar anordning for denne
US20100107034A1 (en) * 2007-03-09 2010-04-29 Panasonic Corporation Information processing device, program and recording medium
JP5184627B2 (ja) * 2007-06-26 2013-04-17 G3−ビジョン リミテッド コミュニケーション装置、認証システム及び方法、並びにキャリア媒体
KR100963928B1 (ko) * 2007-10-08 2010-06-17 주식회사 신한은행 금융 비밀번호와 연계된 무선 일회용 인증 방법 및시스템과 이를 위한 휴대폰 및 기록매체
US8255688B2 (en) * 2008-01-23 2012-08-28 Mastercard International Incorporated Systems and methods for mutual authentication using one time codes
JP6220110B2 (ja) * 2008-09-26 2017-10-25 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. デバイス及びユーザの認証
CN102148685B (zh) * 2010-02-04 2014-05-21 陈祖石 一种由用户自定义多密码种子动态密码认证系统
WO2012169752A2 (ko) * 2011-06-07 2012-12-13 (주)잉카인터넷 접속 시도 기기 인증 시스템 및 방법
KR101172234B1 (ko) * 2011-06-17 2012-08-07 김승학 키 입력 간의 시간 비율을 이용한 비밀번호 관리 장치 및 방법
EP2536096A1 (en) * 2011-06-17 2012-12-19 ABB Research Ltd. Securing an industrial control system
KR101289969B1 (ko) 2011-09-05 2013-07-26 한국기술교육대학교 산학협력단 인증 처리 장치 및 그 방법
KR101270941B1 (ko) 2011-10-19 2013-06-11 서울대학교산학협력단 사용자 단말을 이용한 인증 보안 시스템 및 방법
US8787902B2 (en) * 2012-10-31 2014-07-22 Irevo, Inc. Method for mobile-key service
WO2014106031A1 (en) * 2012-12-28 2014-07-03 Vasco Data Security, Inc. Remote authentication and transaction signatures
JP6168415B2 (ja) * 2014-05-27 2017-07-26 パナソニックIpマネジメント株式会社 端末認証システム、サーバ装置、及び端末認証方法
US9531714B2 (en) * 2014-06-27 2016-12-27 Citrix Systems, Inc. Enterprise authentication via third party authentication support
KR101558557B1 (ko) 2015-02-23 2015-10-13 주식회사 벨소프트 아이디와 패스워드 입력 방식을 대체하는 휴대 전화번호 기반의 회원인증 방법 및 서버 시스템

Also Published As

Publication number Publication date
US20170195320A1 (en) 2017-07-06
JP2017123694A (ja) 2017-07-13
SG10201700053UA (en) 2017-08-30
KR101618692B1 (ko) 2016-05-09
CN107026844A (zh) 2017-08-08
US9756040B2 (en) 2017-09-05
EP3190770B1 (en) 2020-07-29
WO2017119548A1 (ko) 2017-07-13
JP2017123652A (ja) 2017-07-13
CN107026844B (zh) 2018-09-14
EP3190770A1 (en) 2017-07-12
JP6122205B1 (ja) 2017-04-26
SG10201703121RA (en) 2017-08-30

Similar Documents

Publication Publication Date Title
JP6368817B2 (ja) 保安性が強化された使用者認証方法
US10873573B2 (en) Authenticating a user and registering a wearable device
US11870769B2 (en) System and method for identifying a browser instance in a browser session with a server
US10270762B2 (en) User authentication method for enhancing integrity and security
US10389531B2 (en) Authentication system and authentication method
US10432600B2 (en) Network-based key distribution system, method, and apparatus
US20170171183A1 (en) Authentication of access request of a device and protecting confidential information
US20160105290A1 (en) Universal anonymous cross-site authentication
KR20210062728A (ko) 강화된 인증을 통한 거래 검증
JP2019517087A (ja) 認証方法及びシステム
CN112136103B (zh) 用于认证装置的方法、系统和计算机程序产品
US20140258718A1 (en) Method and system for secure transmission of biometric data
US8918844B1 (en) Device presence validation
US20170011393A1 (en) Personal identification and anti-theft system and method using disposable random key
JP6378424B1 (ja) 無欠性及び保安性が強化された使用者認証方法
TW201544983A (zh) 資料通訊方法和系統及客戶端和伺服器
Lee et al. A user-friendly authentication solution using NFC card emulation on android
KR101856530B1 (ko) 사용자 인지 기반 암호화 프로토콜을 제공하는 암호화 시스템 및 이를 이용하는 온라인 결제 처리 방법, 보안 장치 및 거래 승인 서버
US9288060B1 (en) System and method for decentralized authentication of supplicant devices
CN113261254A (zh) 私钥云存储
US20230291550A1 (en) Systems and methods for network authentication with a shared secret
KR20170123222A (ko) 무결성 및 보안성이 강화된 사용자 인증방법
WO2020169187A1 (en) Method for facilitating end user authentication on trusted devices
KR20100120835A (ko) 보안 입력 장치 및 이를 이용한 보안 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170512

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180626

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180709

R150 Certificate of patent or registration of utility model

Ref document number: 6368817

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250