KR102204264B1 - Method of inputting personal identification information for protecting coordinate scan attack at electronic device - Google Patents

Method of inputting personal identification information for protecting coordinate scan attack at electronic device Download PDF

Info

Publication number
KR102204264B1
KR102204264B1 KR1020140078454A KR20140078454A KR102204264B1 KR 102204264 B1 KR102204264 B1 KR 102204264B1 KR 1020140078454 A KR1020140078454 A KR 1020140078454A KR 20140078454 A KR20140078454 A KR 20140078454A KR 102204264 B1 KR102204264 B1 KR 102204264B1
Authority
KR
South Korea
Prior art keywords
candidate data
screen
identification information
input
electronic device
Prior art date
Application number
KR1020140078454A
Other languages
Korean (ko)
Other versions
KR20160000786A (en
Inventor
홍만표
지청민
김지민
임선영
김지선
Original Assignee
아주대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아주대학교산학협력단 filed Critical 아주대학교산학협력단
Priority to KR1020140078454A priority Critical patent/KR102204264B1/en
Publication of KR20160000786A publication Critical patent/KR20160000786A/en
Application granted granted Critical
Publication of KR102204264B1 publication Critical patent/KR102204264B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/83Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0484Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
    • G06F3/04842Selection of displayed objects or displayed text elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0487Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser
    • G06F3/0488Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser using a touch-screen or digitiser, e.g. input of commands through traced gestures
    • G06F3/04886Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser using a touch-screen or digitiser, e.g. input of commands through traced gestures by partitioning the display area of the touch-screen or the surface of the digitising tablet into independently controllable areas, e.g. virtual keyboards or menus

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Human Computer Interaction (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

전자 기기에서 구동되며, 상기 전자 기기의 입력 장치를 이용하여 개인 식별 정보를 입력하기 위한 컴퓨터 구현 방법(Computer implemented method)로서, 식별 정보로서 이용 가능한 복수의 후보 데이터를 포함하는 후보 데이터 셋(set)에 기반하여, 상기 복수의 후보 데이터 중 적어도 어느 하나를 임의의 순서에 따라 시각적으로 구별시켜 화면 상에 표출시키는 단계; 및 상기 전자 기기의 입력 장치를 이용한 사전 정의된 식별 정보 선택 명령이 수신되는 경우, 해당 선택 명령 수신 시점에 상기 화면 상에 시각적으로 구별되어 표출된 적어도 하나의 후보 데이터를 개인 식별 정보 입력을 위한 입력 정보로서 획득하는 단계를 포함하는 개인 식별 정보 입력 방법이 제공된다.A computer implemented method for inputting personal identification information driven by an electronic device and using an input device of the electronic device, and a candidate data set including a plurality of candidate data usable as identification information Based on, visually distinguishing at least one of the plurality of candidate data according to an arbitrary order and displaying it on a screen; And when a predefined identification information selection command using the input device of the electronic device is received, inputting at least one candidate data visually distinguished and displayed on the screen at the time of receiving the selection command for personal identification information input. There is provided a method of inputting personal identification information including obtaining as information.

Description

전자 기기에서의 좌표 스캔 공격을 방지하는 개인 식별 정보 입력 방법{METHOD OF INPUTTING PERSONAL IDENTIFICATION INFORMATION FOR PROTECTING COORDINATE SCAN ATTACK AT ELECTRONIC DEVICE} How to enter personal identification information to prevent coordinate scanning attacks on electronic devices {METHOD OF INPUTTING PERSONAL IDENTIFICATION INFORMATION FOR PROTECTING COORDINATE SCAN ATTACK AT ELECTRONIC DEVICE}

본 발명은 개인 식별 정보 입력 방법에 관한 것으로서, 전자 기기에서의 좌표 스캔 공격을 방지하는 개인 식별 정보 입력 방법에 관한 것이다.
The present invention relates to a method for inputting personal identification information, and to a method for inputting personal identification information for preventing a coordinate scan attack in an electronic device.

사용자 인증(user authentication)을 위해 아이디와 패스워드를 사용해 왔고 여전히 가장 널리 사용되고 있다. 패스워드는 주로 하드웨어 키보드를 통해 입력되는데 이는 키로깅(key logging)에 취약하다는 단점을 가지고 있다. 키로깅이란 키보드나 입력매체를 통해 입력되는 정보를 이용자 몰래 기록하거나 추적하는 것을 의미한다. 이러한 키로깅이 하드웨어 키보드 기반의 키 입력 방식에서 문제가 되는 이유는 키보드 자체가 가지고 있는 구조적인 취약성으로 인해 사용자가 키보드를 통해 입력하는 아이디나 패스워드 정보를 해커가 어렵지 않게 중간에서 가로챌 수 있기 때문이다. 따라서 이와 같은 키보드의 본질적인 구조적 문제점을 극복하고자 여러 가지 대안이 제시되어 왔는데, 그 중 대표적인 것으로는 그래피컬 패스워드(graphical password) 방식, 오디오 채널을 이용한 패스워드 입력 방식, 가상 키보드 입력 방식, 그리고 모바일 환경에서의 보안 키패드를 통한 입력 방식 등이 있다.IDs and passwords have been used for user authentication and are still the most widely used. Passwords are mainly entered through a hardware keyboard, which has the disadvantage of being vulnerable to key logging. Key logging refers to recording or tracking information entered through a keyboard or input medium without the knowledge of the user. The reason why such keylogging is a problem in the hardware keyboard-based key input method is that due to the structural vulnerability of the keyboard itself, the ID or password information entered by the user through the keyboard can be intercepted without difficulty by hackers. to be. Therefore, various alternatives have been proposed to overcome the fundamental structural problems of the keyboard. Among them, the graphical password method, the password input method using the audio channel, the virtual keyboard input method, and the mobile environment There is an input method through a security keypad.

먼저 그래피컬 패스워드 입력 방식은 기존의 키보드를 통한 입력 방식을 사용하지 않고 영상이나 그림을 이용해 사용자가 비밀번호 혹은 비밀번호 패턴을 정하고, 이를 로그인 시 사용하는 방식이다. 하지만 이러한 방식은 단순하며 패스워드의 복잡도(complexity)가 낮아 무차별 대입 공격 방식(brute force attack)에 취약하다는 단점이 존재한다. 또한 그래피컬 패스워드 입력방식을 이용하는 사용자들이 대부분 기억하기 쉬운 간단한 패턴만을 만들어 사용하기 때문에 뒤에서 몰래 훔쳐보는 공격(shoulder surfing attack)에도 약점을 가진다. First, the graphical password input method is a method in which the user decides a password or password pattern using an image or picture, and uses it when logging in, without using the conventional input method through a keyboard. However, this method is simple and has a disadvantage in that it is vulnerable to brute force attack because the complexity of the password is low. In addition, since most users who use the graphical password input method create and use simple patterns that are easy to remember, they also have weaknesses in shoulder surfing attacks.

가상 키보드를 이용한 입력방식은 본질적으로 마우스의 포인터를 이용해 키를 입력할 뿐 입력된 정보는 결국 해당되는 키보드의 매핑 키 데이터가 전송되어 지는 것이기 때문에 기존의 하드웨어 키보드를 이용한 입력 방식과 크게 차이가 없다. The input method using the virtual keyboard is essentially the key input using the mouse pointer, but the input information is not much different from the conventional input method using the hardware keyboard because the mapping key data of the corresponding keyboard is transmitted. .

오디오 채널을 이용한 패스워드 입력 방식은 보안 측면에서 강력할 수 있지만, 음성을 인식하는 부분에서의 정확성이 아직 높지 않고 주변 환경의 소음이 인증 성공률에 영향을 미치기 때문에 구현하기가 쉽지 않으며 입력방식 역시 편리하지 못하다. The password input method using the audio channel can be strong in terms of security, but it is not easy to implement because the accuracy in the part that recognizes the voice is not high and noise from the surrounding environment affects the authentication success rate, and the input method is also not convenient. Can not do it.

한편 은행과 같은 공공기관에서는 기존 하드웨어 키보드의 문제점을 극복하기 위해서 그동안 독자적인 소프트웨어 키보드를 개발해 사용자들에게 이를 제공해왔다. 하지만 은행에서 제공하는 보안 키패드는 단순히 키보드의 행 안에서만 좌우로 키의 배치가 바뀌기 때문에 기존의 하드웨어 키보드의 키패드 배치와 크게 다르지 않고, 키의 배치가 바뀌는 정도도 1~3칸 정도로 고정되어있기 때문에 해커가 사용자가 입력한 터치 좌표를 몇 차례 획득 한다면 통계적인 방법을 이용해 사용자가 입력한 실제 패스워드의 근사 값을 유추하는 것이 어렵지 않다는 연구가 보고된 바 있다.
Meanwhile, public institutions such as banks have developed their own software keyboards and provided them to users in order to overcome the problems of existing hardware keyboards. However, the security keypad provided by the bank is not much different from the keypad layout of the existing hardware keyboard because the layout of the keys is changed left and right only in the row of the keyboard, and the degree of change of the keys is fixed at 1 to 3 spaces. It has been reported that it is not difficult to infer the approximate value of the actual password entered by the user using a statistical method if the user acquires the touch coordinates input several times.

본 발명은 PIN(Personal Identification Number) 등과 같은 개인 식별 정보의 입력에 있어 좌표 스캔 공격(즉, 사용자의 터치 입력 등이 발생하였을 때 해당 입력 좌표를 획득하는 공격)을 방지하기 위한 것이다.
The present invention is to prevent a coordinate scan attack (that is, an attack that acquires corresponding input coordinates when a user's touch input or the like occurs) in inputting personal identification information such as a PIN (Personal Identification Number).

본 발명의 일 측면에 따르면, 전자 기기에서 구동되며, 상기 전자 기기의 입력 장치를 이용하여 개인 식별 정보를 입력하기 위한 컴퓨터 구현 방법(Computer implemented method)로서,According to an aspect of the present invention, as a computer implemented method for inputting personal identification information driven by an electronic device and using an input device of the electronic device,

식별 정보로서 이용 가능한 복수의 후보 데이터를 포함하는 후보 데이터 셋(set)에 기반하여, 상기 복수의 후보 데이터 중 적어도 어느 하나를 임의의 순서에 따라 시각적으로 구별시켜 화면 상에 표출시키는 단계; 및Visually discriminating at least one of the plurality of candidate data according to an arbitrary order and displaying on a screen based on a candidate data set including a plurality of candidate data available as identification information; And

상기 전자 기기의 입력 장치를 이용한 사전 정의된 식별 정보 선택 명령이 수신되는 경우, 해당 선택 명령 수신 시점에 상기 화면 상에 시각적으로 구별되어 표출된 적어도 하나의 후보 데이터를 개인 식별 정보 입력을 위한 입력 정보로서 획득하는 단계를 포함하는 개인 식별 정보 입력 방법이 제공된다.
When a predefined identification information selection command using the input device of the electronic device is received, at least one candidate data visually distinguished and displayed on the screen at the time of receiving the selection command is input information for inputting personal identification information There is provided a method of inputting personal identification information comprising the step of obtaining as.

일 실시예에서, 상기 사전 정의된 식별 정보 선택 명령은, 상기 입력 장치를 통한 고정 키(key) 입력 신호 또는 상기 입력 장치를 통한 고정 모션(motion) 입력 신호에 의해 생성될 수 있다.
In one embodiment, the predefined identification information selection command may be generated by a fixed key input signal through the input device or a fixed motion input signal through the input device.

일 실시예에서, 상기 전자 기기는 터치스크린을 포함하며, 상기 화면은 상기 터치스크린을 통한 디스플레이 화면이고,In one embodiment, the electronic device includes a touch screen, the screen is a display screen through the touch screen,

상기 고정 키 입력 신호는 상기 터치스크린을 통해 상기 후보 데이터가 표출되는 화면 영역과 공간적으로 분리되는 화면 영역에 표출되는 소프트웨어 키에 터치 입력이 이루어진 경우에 발생할 수 있다.
The fixed key input signal may be generated when a touch input is made to a software key displayed on a screen area spatially separated from a screen area in which the candidate data is expressed through the touch screen.

일 실시예에서, 상기 개인 식별 정보가 활용될 사용자 식별 시스템에서 식별 정보로서 이용 가능한 것으로 허용한 후보 데이터 셋을 획득하는 단계를 더 포함하고,In one embodiment, further comprising the step of obtaining a candidate data set allowed to be used as identification information in a user identification system in which the personal identification information will be utilized,

상기 후보 데이터 셋은, 숫자, 문자, 기호, 도형, 이미지를 포함하는 시각적 인지 데이터 중 상기 사용자 식별 시스템에 의해 허용되는 데이터들의 집합으로 구성될 수 있다.
The candidate data set may be composed of a set of data allowed by the user identification system among visual recognition data including numbers, letters, symbols, figures, and images.

일 실시예에서, 상기 후보 데이터 셋이 0에서 9까지의 숫자를 포함하는 경우, In one embodiment, when the candidate data set includes numbers from 0 to 9,

상기 복수의 후보 데이터 중 적어도 어느 하나를 임의의 순서에 따라 시각적으로 구별시켜 화면 상에 표출시키는 단계는, 0에서 9까지 총 10개의 숫자를 동일 화면 상에 모두 표출하되, 상기 총 10개의 숫자 중 어느 하나씩이 임의의 순서에 따라 나머지 숫자들과 시각적으로 구별되도록 표출되는 단계일 수 있다.
In the step of visually distinguishing at least one of the plurality of candidate data in a random order and displaying it on the screen, a total of 10 numbers from 0 to 9 are displayed on the same screen, but among the total 10 numbers It may be a step in which one of them is visually distinguished from the remaining numbers in a random order.

일 실시예에서, 상기 복수의 후보 데이터 중 적어도 어느 하나를 임의의 순서에 따라 시각적으로 구별시켜 화면 상에 표출시키는 단계는,In one embodiment, the step of visually distinguishing at least one of the plurality of candidate data in a random order and displaying it on the screen,

0에서 9까지 총 10개의 숫자 각각을 한번씩 시각적으로 구별시켜 화면 상에 표출하되, 상기 총 10개의 숫자에 관한 한번씩의 화면 표출이 완료된 이후에는 0에서 9까지의 화면 상의 숫자 배열을 재배열시킨 후 다음 번의 숫자 표출 과정을 수행하는 단계일 수 있다.
A total of 10 numbers from 0 to 9 are visually distinguished and displayed on the screen, but after the screen display of the total 10 numbers is completed, the array of numbers on the screen from 0 to 9 is rearranged. It may be a step of performing the next number expression process.

본 발명의 실시예에 의하면, PIN(Personal Identification Number) 등과 같은 개인 식별 정보의 입력에 있어 좌표 스캔 공격을 방지할 수 있다.
According to an embodiment of the present invention, a coordinate scan attack can be prevented in inputting personal identification information such as a Personal Identification Number (PIN).

도 1은 본 발명의 실시예에 따른 개인 식별 정보 입력 방법이 적용될 수 있는 전자 기기에 관한 블록도.
도 2는 본 발명의 실시예에 따른 좌표 스캔 공격을 방지하는 개인 식별 정보 입력 방법에 관한 순서도.
도 3 및 도 4는 개인 식별 정보 입력 방법에 관한 일 실시예를 설명하기 위한 참조 도면.1 is a block diagram of an electronic device to which a method of inputting personal identification information according to an embodiment of the present invention can be applied.
2 is a flowchart of a method of inputting personal identification information for preventing a coordinate scan attack according to an embodiment of the present invention.
3 and 4 are reference diagrams for explaining an embodiment of a method for inputting personal identification information.

본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Since the present invention can apply various transformations and have various embodiments, specific embodiments are illustrated in the drawings and will be described in detail in the detailed description. However, this is not intended to limit the present invention to a specific embodiment, it is to be understood to include all conversions, equivalents, and substitutes included in the spirit and scope of the present invention.

본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.In describing the present invention, when it is determined that a detailed description of a related known technology may unnecessarily obscure the subject matter of the present invention, a detailed description thereof will be omitted. In addition, numbers (eg, first, second, etc.) used in the description of the present specification are merely identification symbols for distinguishing one component from another component.

또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.
In addition, in the present specification, when one component is referred to as "connected" or "connected" to another component, the one component may be directly connected or directly connected to the other component, but specially It should be understood that as long as there is no opposing substrate, it may be connected or may be connected via another component in the middle.

도 1은 본 발명의 실시예에 따른 개인 식별 정보 입력 방법이 적용될 수 있는 전자 기기에 관한 블록도이며, 도 2는 본 발명의 실시예에 따른 좌표 스캔 공격을 방지하는 개인 식별 정보 입력 방법에 관한 순서도이다. 또한 도 3 및 도 4는 개인 식별 정보 입력 방법에 관한 일 실시예를 설명하기 위한 참조 도면이다. 이하, 도 1 및 도 2를 중심으로, 도 3 및 도 4를 함께 참조하여 본 발명의 실시예들을 상세히 설명한다.1 is a block diagram of an electronic device to which a method for inputting personal identification information according to an embodiment of the present invention can be applied, and FIG. 2 is a block diagram of a method for inputting personal identification information for preventing a coordinate scan attack according to an embodiment of the present invention. It is a flow chart. 3 and 4 are reference diagrams for explaining an embodiment of a method for inputting personal identification information. Hereinafter, embodiments of the present invention will be described in detail with reference to FIGS. 1 and 2 with reference to FIGS. 3 and 4.

먼저, 도 1을 참조하면, 본 발명의 실시예에 따른 개인 식별 정보 입력 방법이 적용될 수 있는 전자 기기(100)는, 통신부(110), 영상 처리부(120), 터치 스크린(130), 하드웨어 키 입력 장치(132), 모션 센서(134), 프로세서(140)를 포함할 수 있다. 다만, 도 1의 모든 구성이 본 발명의 실시예를 구현하기 위한 필수 구성에 해당하는 것은 아니며, 이 중 일부 구성만이 포함되거나 이외에도 추가적인 구성이 더 포함되어도 무방하다.First, referring to FIG. 1, an electronic device 100 to which a method for inputting personal identification information according to an embodiment of the present invention can be applied includes a communication unit 110, an image processing unit 120, a touch screen 130, and a hardware key. An input device 132, a motion sensor 134, and a processor 140 may be included. However, not all configurations of FIG. 1 correspond to essential configurations for implementing the embodiment of the present invention, and only some of them may be included, or additional configurations may be further included.

예를 들어, 도 1에서는 입력 장치로서 터치 스크린(130), 하드웨어 키 입력 장치(132), 모션 센서(134)를 예시하고 있지만, 이 중 일부만이 존재해도 무방하다. 본 발명의 일 실시예에서는 핵심 특징의 하나로서, 좌표 스캔 공격 방지를 위해 고정 키 입력 방식을 제안하는데, 이때의 고정 키 입력은 터치 스크린(130) 상에 고정 지점에 표출되는 소프트웨어 키 입력 케이스 또는 하드웨어 키 입력 장치(키 패드, 터치 패드, 사이드 버튼 등) 중 고정 지점의 물리적 키의 입력 케이스가 모두 가능하므로, 구현 방식에 따라 어느 하나의 구성만이 존재해도 무방하다. 또한 본 발명의 다른 실시예에서는, 좌표 스캔 공격 방지를 위해 고정 키 입력 방식을 대체하는 다른 방식으로서 모션 센서(자이로 센서, 가속도 센서 등)를 이용한 특정 사용자 행위(키 선택에 상응하는 개념으로 활용될 수 있는 모션, 예를 들어 기기의 흔듦, 특정 방향으로 기울이는 행위 등)에 기반한 입력 케이스도 가능하다. 다만, 이하에서는 설명의 편의 및 집중을 위해, 터치 스크린(130) 상의 고정 지점의 소프트웨어 키 입력 방식을 이용하는 것으로 가정하기로 한다.For example, although the touch screen 130, the hardware key input device 132, and the motion sensor 134 are illustrated as input devices in FIG. 1, only some of them may exist. In one embodiment of the present invention, as one of the key features, a fixed key input method is proposed to prevent a coordinate scan attack, in which case the fixed key input is a software key input case displayed at a fixed point on the touch screen 130 or Among the hardware key input devices (key pads, touch pads, side buttons, etc.), all physical keys at a fixed point can be input cases, so only one configuration may exist depending on the implementation method. In addition, in another embodiment of the present invention, a specific user behavior (a concept corresponding to key selection) using a motion sensor (gyro sensor, acceleration sensor, etc.) as another method that replaces the fixed key input method to prevent coordinate scan attack. Input cases based on possible motions, such as shaking the device, tilting in a specific direction, etc. are also possible. However, hereinafter, for convenience and concentration of description, it is assumed that a software key input method of a fixed point on the touch screen 130 is used.

또한, 도 1에서는 데이터 입력 및 출력 기능을 모두 갖춘 터치 스크린(130)을 구비한 경우를 가정하고 있지만, 데이터 입력과 데이터 출력 기능은 각각 독립된 장치(즉, 입력 장치와 디스플레이)에 의해 실행될 수도 있다. 특히, 도 1에서는 전자 기기(100)에 자체 디스플레이(즉, 터치 스크린(130))가 구비된 경우를 가정하고 있지만, 데이터 출력을 위한 디스플레이는 반드시 전자 기기(100) 자체에 구비될 필요는 없다. 이를 테면, 데이터 출력은 외부의 디스플레이 장치를 통해 이루어지되, 그 외부의 디스플레이 장치와 전자 기기(100) 간이 영상 입출력 케이블(DVI, HDMI 케이블 등), 또는 무선을 통해 연결될 수도 있는 것이다.In addition, although it is assumed in FIG. 1 that a touch screen 130 having both data input and output functions is provided, the data input and data output functions may be performed by independent devices (i.e., input device and display). . In particular, although it is assumed that the electronic device 100 has its own display (ie, the touch screen 130) in FIG. 1, the display for data output does not necessarily have to be provided in the electronic device 100 itself. . For example, data is output through an external display device, but the external display device and the electronic device 100 may be connected through a video input/output cable (DVI, HDMI cable, etc.) or wirelessly.

이와 마찬기지로, 통신부(110) 또한 필수 구성은 아니다. 다만 개인 식별 정보로서 활용되는 후보 데이터들(즉, 숫자, 문자, 기호, 도형, 이미지 등과 같은 시각적 인지 데이터들 중 각각의 사용자 식별 시스템 별로 식별 정보로서 활용할 수 있는 것으로 허용하고 있는 데이터들)은 서로 상이할 수 있으므로, 본 발명의 일 실시예에서는 그 후보 데이터 셋(set)을 확인하기 위해 그 외부의 사용자 식별 시스템과의 통신하는데 통신부(110)를 이용할 수 있다.Like this, the communication unit 110 is also not an essential component. However, candidate data used as personal identification information (i.e., among visual recognition data such as numbers, letters, symbols, figures, images, etc., which are allowed to be used as identification information for each user identification system) Since they may be different, in one embodiment of the present invention, the communication unit 110 may be used to communicate with an external user identification system to check the candidate data set.

그리고 도 1에서, 프로세서(140)는 본 발명의 실시예에 따른 개인 식별 정보 입력 방법을 구현한 특정 어플리케이션의 실행을 담당한다. 이러한 어플리케이션은 전자 기기(100)의 본연의 기능으로 탑재된 것일 수도 있지만, 온라인 상의 어플리케이션 다운로드 사이트(일명 앱 스토어 등)를 통해서 휴대 단말의 사용자에 의해 직접 다운로드 및 설치된 것일 수도 있다. 이하에서는 도 2를 참조하여, 본 발명의 실시예에 따른 개인 식별 정보 입력 방법에 관하여 구체적으로 설명하기로 한다.
In addition, in FIG. 1, the processor 140 is responsible for executing a specific application implementing the method for inputting personal identification information according to an embodiment of the present invention. Such an application may be installed as a natural function of the electronic device 100, but may be downloaded and installed directly by a user of the portable terminal through an online application download site (called an app store, etc.). Hereinafter, a method for inputting personal identification information according to an embodiment of the present invention will be described in detail with reference to FIG. 2.

본 발명의 실시예에 따른 개인 식별 정보 입력 방법은 개략적으로 도 2의 순서도에서와 같은 순서로 구동되게 된다. The method of inputting personal identification information according to an embodiment of the present invention is driven in the same order as in the flowchart of FIG. 2.

단계 S210에서, 복수의 식별 정보 후보 데이터를 포함하는 후보 데이터 셋을 확인한다. 다만, 도 2의 단계 S210은 경우에 따라(즉, 후보 데이터 셋이 사전에 저장되어 있는 경우) 생략되어도 무방하다. 앞서도 간략히 설명한 바이지만, 만일 해당 전자 기기 자체에서의 사용자 식별을 위해 본 발명이 적용되는 경우라면 그 식별 정보로서 활용되는 후보 데이터 셋은 이미 프로그램 별로 저장되어 있을 것이기 때문이다. 그러나 이와 달리, 통신망을 통해 연결되는 특정 서버에 의해 운영되는 사이트에서의 사용자 인증을 위해 개인 식별 정보가 활용되는 경우라면, 본 단계를 통해 해당 사이트에서 식별 정보로서 활용될 수 있는 후보 데이터 셋을 가져오게 될 것이다.In step S210, a candidate data set including a plurality of identification information candidate data is checked. However, step S210 of FIG. 2 may be omitted in some cases (that is, when the candidate data set is previously stored). It has been briefly described above, but if the present invention is applied for user identification in the corresponding electronic device itself, the candidate data set used as the identification information will already be stored for each program. However, in contrast, if personal identification information is used for user authentication at a site operated by a specific server connected through a communication network, through this step, a candidate data set that can be used as identification information at the site is obtained. Will come.

이후, 단계 S220에서는, 그 수집된 후보 데이터 셋에 기반하여, 복수의 후보 데이터 중 적어도 하나를 임의의 순서에 따라 시각적으로 구별시켜 화면 상에 표출시킨다.Thereafter, in step S220, based on the collected candidate data set, at least one of the plurality of candidate data is visually distinguished in a random order and displayed on the screen.

일반적인 좌표스캔공격은 사용자가 터치 스크린을 이용하여 입력을 수행할 때 해당 좌표의 위치를 가지고 어떠한 키를 입력하는가를 알아내는 공격 방식이다. 따라서 이러한 공격을 막기 위해선 사용자가 터치하는 좌표를 매우 랜덤하게 하거나 고정시키는 방법을 사용하면 해당 공격을 막을 수 있다. 특히 PIN(Personal Identification Number) 입력 케이스에서는 입력 가능한 좌표의 수가 매우 한정되어 있어서 랜덤한 방식으로 처리하기에는 보안적 강도가 높지 않을 수 있다. 그렇기 때문에 본 발명의 실시예에에서는 입력 가능한 좌표를 작은 수로 고정시켜 좌표스캔공격이 행하여지더라도 어떤 입력이 이뤄지는지 알 수 없게 한다. 이와 같은 취지에서, 단계 S230에서, 고정 키 입력 방식 또는 고정 모션 입력 방식에 따라 식별 정보 선택 명령을 수신하는 것이다. 즉, 본 발명의 실시예에서 좌표를 고정시키는 방법으로서 2가지를 사용할 수 있다. 첫 번째는 고정 지점 터치와 두 번째는 모션 센서 이용 입력이다. A general coordinate scan attack is an attack method that finds out which key to input with the location of the coordinates when a user performs an input using a touch screen. Therefore, in order to prevent such an attack, the attack can be prevented by making the coordinates touched by the user very random or fixing them. In particular, in the case of PIN (Personal Identification Number) input, the number of coordinates that can be input is very limited, so the security strength may not be high to process in a random manner. Therefore, in the embodiment of the present invention, the coordinates that can be input are fixed to a small number so that it is impossible to know which input is performed even if a coordinate scan attack is performed. To this effect, in step S230, an identification information selection command is received according to a fixed key input method or a fixed motion input method. That is, in the embodiment of the present invention, two methods can be used to fix the coordinates. The first is a fixed point touch and the second is an input using a motion sensor.

이에 따라, 단계 S240에서, 식별 정보 선택 명령(고정 키 입력 또는 고정 모션 입력)의 각 수신 시점에 화면 상에 시각적으로 구별되어 표출된 후보 데이터를 입력 정보로서 획득한다. 이에 관하여 도 3 및 도 4를 참조하여 보다 구체적으로 설명하면 아래와 같다. 여기서, 도 3은 설명의 편의 및 집중을 위해, 개인 식별 정보로서 이용되는 후보 데이터 셋이 0~9의 총 10개의 숫자인 경우를 가정하여 예시한 것이다. 다만, 상기 후보 데이터 셋은 이외에도 문자, 기호, 도형, 이미지 및 이들 조합일 수도 있음은 앞서도 설명한 바이다.Accordingly, in step S240, candidate data visually distinguished and displayed on the screen at each reception time of the identification information selection command (fixed key input or fixed motion input) is obtained as input information. This will be described in more detail with reference to FIGS. 3 and 4 as follows. Here, for convenience and concentration of explanation, FIG. 3 is an illustration on the assumption that the candidate data set used as personal identification information is a total of 10 numbers from 0 to 9. However, it has been described above that the candidate data set may be characters, symbols, figures, images, and combinations thereof.

도 3을 참조하면, 터치 스크린(130) 상의 개인 식별 정보 입력 화면(300)은 PIN 입력을 위한 숫자 데이터 표출 영역(310), 고정 지점 입력 키 영역(320), 입력 완료 키 영역(330)이 도시된다. 도 3의 기본 화면 구성에 기반하여 도 4를 설명한다. 도 4에서는 도면 도시의 한계 상 "시각적으로 구별되는 데이터 표출"을 표현하기 위해, 해당 숫자에 해칭 처리를 한 것으로 대체하였다. 여기서, 데이터 표출 과정에서의 "시각적 구별(하이라이트)"방식으로는 해당 숫자의 점등(불이 들어오는 것과 같은 효과), 점멸(반복적인 깜빡거림), 색상의 변화, 숫자 표출 사이즈의 변화 등 다양한 방식이 존재할 수 있음은 물론이다. 다만, 이하에서는 설명의 편의 상 색상 변화와 점멸이 함께 동반되는 케이스를 중심으로 설명한다. Referring to FIG. 3, the personal identification information input screen 300 on the touch screen 130 includes a numeric data display area 310 for PIN input, a fixed point input key area 320, and an input completed key area 330. Is shown. 4 will be described based on the basic screen configuration of FIG. 3. In FIG. 4, in order to express "visually distinguishable data expression" due to the limitation of the drawing, the number is replaced with a hatching process. Here, as the "visual distinction (highlight)" method in the data display process, various methods such as lighting of the number (the same effect as lighting on), blinking (repetitive flickering), color change, and number display size change. Of course this can exist. However, in the following description, for convenience of explanation, a case in which color change and blinking are accompanied together will be mainly described.

본 발명의 일 실시예에 의하면, 도 4에서와 같이, 0~9까지 숫자를 랜덤하게 배열시켜 해당 배열에 따라서 한번씩 각 숫자의 배경 색상이 바뀌면서 점멸된다. 이에 따라 총 10번의 숫자버튼 점멸이 끝난 후에는, 다시 숫자의 재배열을 거처 해당 순서에 따라서 다시 총 10번의 숫자 버튼 점멸이 이루어진다. 이러한 방식으로 입력을 수행하는 동안 사용자는 자신이 입력이 원하는 숫자에 불이 들어왔을 시에 숫자를 터치 입력(도 4의 도면부호 10 참조)할 수 있게 된다.According to an embodiment of the present invention, as shown in FIG. 4, numbers 0 to 9 are randomly arranged, and the background color of each number is changed and blinks once according to the corresponding arrangement. Accordingly, after a total of 10 number buttons are flashed, the numbers are rearranged again and a total of 10 number buttons are flashed again according to the corresponding order. While performing input in this manner, the user can touch input a number (refer to reference numeral 10 in FIG. 4) when the number desired for input is lit.

도 3 및 도 4에서는 고정 지점 키 입력 영역이 단 1개이고, 동일 시점에 화면 상에 하이라이트 표출되는 데이터도 1개인 경우를 예시하고 있지만, 반드시 이와 같을 필요는 없다. 좌표 스캔 공격 방지를 위한 목적을 달성할 수 있는 범위 내에서, 복수의 고정 지점 좌표 입력 방식도 사용 가능하며, 이 경우 동일 시점에 하이라이트 표출될 데이터도 복수 개 일수 있을 것이다. 예를 들어, 3개의 고정 지점 키 입력 영역이 존재하고, 3개의 숫자가 동시에 하이라이트 표출되어, 그 하이라이트 표출되는 3개의 숫자의 숫자 배열 상의 공간적 순서와 키 입력 영역의 공간적 배치 순서를 매칭시켜 활용하는 방식도 가능할 것이다.3 and 4 illustrate a case where there is only one fixed point key input area, and there is also one data displayed on the screen at the same time point, but this is not necessarily the case. Within a range that can achieve the purpose of preventing coordinate scan attacks, a plurality of fixed point coordinate input methods may also be used, and in this case, there may be a plurality of data to be highlighted at the same time. For example, there are 3 fixed point key input areas, and 3 numbers are simultaneously highlighted, and the spatial order of the number array of the 3 numbers that are highlighted and the spatial arrangement order of the key input area are matched and utilized. The way would also be possible.

또한, 도 3 및 도 4에서는 숫자 표출 영역과 고정 지점 키 입력 영역이 공간적으로 분리된 경우를 예시하였지만, 이 또한 반드시 이와 같을 필요는 없다. 양자가 일부 또는 전부 중첩되어도 무방하며, 고정 지점 키 입력 영역이 숫자 배열 중 어느 하나의 숫자 표출 위치와 동일한 경우도 무방하다. 후자의 케이스인 경우 좌표 스캔 공격을 상대방은 사용자가 어느 하나의 숫자만이 반복된 패스워드(예를 들어, 555555)를 사용하는 것으로 알게 되겠지만, 실상은 그렇지 않은 바 좌표 스캔 공격의 방지에 여전히 유용할 것이기 때문이다. In addition, although FIGS. 3 and 4 illustrate the case where the number display area and the fixed point key input area are spatially separated, this is not necessarily the case. Both may be partially or entirely overlapped, and the fixed point key input area may be the same as the number display position in any one of the number arrays. In the latter case, the counterpart of a coordinate scan attack will find that the user uses a password (for example, 555555) that only one number is repeated, but in reality it is not, so it will still be useful to prevent the coordinate scan attack. Because it is.

상술한 바와 같은 고정 지점 좌표 입력 방식, 식별 정보 후보 데이터의 랜덤한 배열, 임의 순서의 시각적 하이라이트 표출에 의하면, PIN 등과 같은 개인 식별 정보의 입력에 있어 좌표 스캔 공격을 방지할 수 있다.
According to the above-described fixed point coordinate input method, random arrangement of identification information candidate data, and visual highlight display in a random order, it is possible to prevent a coordinate scan attack in inputting personal identification information such as a PIN.

이상에서는 본 발명의 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 쉽게 이해할 수 있을 것이다.The above has been described with reference to the embodiments of the present invention, but those of ordinary skill in the relevant technical field variously modify the present invention within the scope not departing from the spirit and scope of the present invention described in the following claims. And it will be easily understood that it can be changed.

Claims (6)

전자 기기에서 구동되며, 상기 전자 기기의 입력 장치를 이용하여 개인 식별 정보를 입력하기 위한 컴퓨터 구현 방법(Computer implemented method)로서,
식별 정보로서 이용 가능한 복수의 후보 데이터를 포함하는 후보 데이터 셋(set)에 기반하여, 상기 복수의 후보 데이터 중 적어도 어느 하나를 임의의 순서에 따라 시각적으로 구별시켜 화면 상에 표출시키는 단계; 및
상기 전자 기기의 입력 장치를 이용한 사전 정의된 식별 정보 선택 명령이 수신되는 경우, 해당 선택 명령 수신 시점에 상기 화면 상에 시각적으로 구별되어 표출된 적어도 하나의 후보 데이터를 개인 식별 정보 입력을 위한 입력 정보로서 획득하는 단계;
를 포함하되,
상기 복수의 후보 데이터 중 적어도 어느 하나를 임의의 순서에 따라 시각적으로 구별시켜 화면 상에 표출시키는 단계는,
상기 복수의 후보 데이터를 동일 화면 상에 모두 표출하되, 상기 복수의 후보 데이터 중 어느 하나씩이 임의의 순서에 따라 나머지들과 시각적으로 구별되도록 표출되고,
상기 복수의 후보 데이터 중 적어도 어느 하나를 임의의 순서에 따라 시각적으로 구별시켜 화면 상에 표출시키는 단계는,
상기 복수의 후보 데이터 각각을 한번씩 시각적으로 구별시켜 화면 상에 표출하되, 상기 복수의 후보 데이터에 관한 한번씩의 화면 표출이 완료된 이후에는 상기 복수의 후보 데이터의 화면 상의 배열을 재배열시키는 과정을 수행하고,
상기 사전 정의된 식별 정보 선택 명령은, 상기 입력 장치를 통한 고정 키(key) 입력 신호 또는 상기 입력 장치를 통한 고정 모션(motion) 입력 신호에 의해 생성되는, 개인 식별 정보 입력 방법.
A computer implemented method for inputting personal identification information driven by an electronic device and using an input device of the electronic device,
Visually discriminating at least one of the plurality of candidate data according to an arbitrary order and displaying on a screen based on a candidate data set including a plurality of candidate data available as identification information; And
When a predefined identification information selection command using the input device of the electronic device is received, at least one candidate data visually distinguished and displayed on the screen at the time of receiving the selection command is input information for inputting personal identification information Obtaining as;
Including,
The step of visually distinguishing at least one of the plurality of candidate data according to an arbitrary order and displaying it on the screen,
The plurality of candidate data are all displayed on the same screen, but any one of the plurality of candidate data is displayed to be visually distinguished from the others in a random order,
The step of visually distinguishing at least one of the plurality of candidate data according to an arbitrary order and displaying it on the screen,
Each of the plurality of candidate data is visually distinguished once and displayed on the screen, but after the screen display of the plurality of candidate data is completed, a process of rearranging the arrangement of the plurality of candidate data on the screen is performed, and ,
The predefined identification information selection command is generated by a fixed key input signal through the input device or a fixed motion input signal through the input device.
 삭제delete 제1항에 있어서,
상기 전자 기기는 터치스크린을 포함하며, 상기 화면은 상기 터치스크린을 통한 디스플레이 화면이고,
상기 고정 키 입력 신호는 상기 터치스크린을 통해 상기 후보 데이터가 표출되는 화면 영역과 공간적으로 분리되는 화면 영역에 표출되는 소프트웨어 키에 터치 입력이 이루어진 경우에 발생하는, 개인 식별 정보 입력 방법.
The method of claim 1,
The electronic device includes a touch screen, the screen is a display screen through the touch screen,
The fixed key input signal is generated when a touch input is made to a software key displayed on a screen area spatially separated from a screen area where the candidate data is displayed through the touch screen.
 제1항에 있어서,
상기 개인 식별 정보가 활용될 사용자 식별 시스템에서 식별 정보로서 이용 가능한 것으로 허용한 후보 데이터 셋을 획득하는 단계를 더 포함하고,
상기 후보 데이터 셋은, 숫자, 문자, 기호, 도형, 이미지를 포함하는 시각적 인지 데이터 중 상기 사용자 식별 시스템에 의해 허용되는 데이터들의 집합으로 구성되는, 개인 식별 정보 입력 방법. The method of claim 1,
Further comprising the step of obtaining a candidate data set allowed to be used as identification information in a user identification system in which the personal identification information will be utilized,
The candidate data set is composed of a set of data allowed by the user identification system among visual recognition data including numbers, letters, symbols, figures, and images. 삭제delete 삭제delete
KR1020140078454A 2014-06-25 2014-06-25 Method of inputting personal identification information for protecting coordinate scan attack at electronic device KR102204264B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140078454A KR102204264B1 (en) 2014-06-25 2014-06-25 Method of inputting personal identification information for protecting coordinate scan attack at electronic device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140078454A KR102204264B1 (en) 2014-06-25 2014-06-25 Method of inputting personal identification information for protecting coordinate scan attack at electronic device

Publications (2)

Publication Number Publication Date
KR20160000786A KR20160000786A (en) 2016-01-05
KR102204264B1 true KR102204264B1 (en) 2021-01-18

Family

ID=55164713

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140078454A KR102204264B1 (en) 2014-06-25 2014-06-25 Method of inputting personal identification information for protecting coordinate scan attack at electronic device

Country Status (1)

Country Link
KR (1) KR102204264B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006040820A1 (en) 2004-10-14 2006-04-20 Mitsubishi Denki Kabushiki Kaisha Password creating device, ic card, and authenticating device
US20080184363A1 (en) 2005-05-13 2008-07-31 Sarangan Narasimhan Coordinate Based Computer Authentication System and Methods

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110074111A (en) * 2009-12-24 2011-06-30 엘지전자 주식회사 Mobile terminal and operation control method thereof
KR101425171B1 (en) * 2010-11-03 2014-08-04 한국전자통신연구원 Apparatus and method for input user password

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006040820A1 (en) 2004-10-14 2006-04-20 Mitsubishi Denki Kabushiki Kaisha Password creating device, ic card, and authenticating device
US20080184363A1 (en) 2005-05-13 2008-07-31 Sarangan Narasimhan Coordinate Based Computer Authentication System and Methods

Also Published As

Publication number Publication date
KR20160000786A (en) 2016-01-05

Similar Documents

Publication Publication Date Title
Barkadehi et al. Authentication systems: A literature review and classification
Sun et al. A shoulder surfing resistant graphical authentication system
KR101425171B1 (en) Apparatus and method for input user password
US20190260747A1 (en) Securing a transaction performed from a non-secure terminal
US8826406B2 (en) Password security input system using shift value of password key and password security input method thereof
US9706400B2 (en) User authentication based on reshuffling displayed images provided on a user device
US20150100913A1 (en) Method for providing personalized virtual keyboard
US20140098141A1 (en) Method and Apparatus for Securing Input of Information via Software Keyboards
JP2013532433A (en) Method and apparatus for secure entry of personal data
JP2007525767A (en) User authentication
CN109076072A (en) Web service picture password
CN105718783B (en) Verification code interaction method and device, client and server
US20180129413A1 (en) Universal keyboard
JP6687222B2 (en) Terminal device password unlock method, device and terminal device
Ritter et al. Miba: Multitouch image-based authentication on smartphones
Still et al. Incognito: Shoulder-surfing resistant selection method
KR20100095346A (en) Method of user authentication using the virtual keyboard and computer readable storage medium storing program for executing method thereof
Yan et al. Leakage-resilient password entry: challenges, design, and evaluation
KR20080033600A (en) Security method for user input data to electronic device
KR101122197B1 (en) Method of displaying virtual keypad for preventing the leaking of information
Tabrez et al. Pass-matrix authentication a solution to shoulder surfing attacks with the assistance of graphical password authentication system
CN114547581A (en) Method and apparatus for providing a captcha system
KR102204264B1 (en) Method of inputting personal identification information for protecting coordinate scan attack at electronic device
KR102014408B1 (en) Method and computer program for user authentication using image touch password
KR101015633B1 (en) A method and a computer readable media for secure data input

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant