KR20090025292A - 인증 방법 및 시스템 - Google Patents

인증 방법 및 시스템 Download PDF

Info

Publication number
KR20090025292A
KR20090025292A KR1020087031829A KR20087031829A KR20090025292A KR 20090025292 A KR20090025292 A KR 20090025292A KR 1020087031829 A KR1020087031829 A KR 1020087031829A KR 20087031829 A KR20087031829 A KR 20087031829A KR 20090025292 A KR20090025292 A KR 20090025292A
Authority
KR
South Korea
Prior art keywords
authentication
token
user
authentication token
mobile telephony
Prior art date
Application number
KR1020087031829A
Other languages
English (en)
Inventor
캐롤라인 모스틴 드웨
호라티우 니콜라 팔페느
안토니 존 윌리엄
세르지오 알바레즈 디아즈
조나단 폴 아데
Original Assignee
프롱드 애니웨어 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from PCT/NZ2007/000115 external-priority patent/WO2007136277A1/en
Application filed by 프롱드 애니웨어 리미티드 filed Critical 프롱드 애니웨어 리미티드
Publication of KR20090025292A publication Critical patent/KR20090025292A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3227Aspects of commerce using mobile devices [M-devices] using secure elements embedded in M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/326Payment applications installed on the mobile devices
    • G06Q20/3263Payment applications installed on the mobile devices characterised by activation or deactivation of payment capabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/326Payment applications installed on the mobile devices
    • G06Q20/3265Payment applications installed on the mobile devices characterised by personalisation for use
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3827Use of message hashing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment
    • G06Q20/425Confirmation, e.g. check or permission by the legal debtor of payment using two different networks, one for transaction and one for security confirmation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 

Abstract

모바일 전화 디바이스에 다운로딩되는 암호 기반 애플리케이션을 이용하여 인증 토큰을 생성하는 방법 및 그러한 토큰을 이용하여 온라인 거래를 인증하는 방법이 개시된다. 상기한 방법은 사용자 패스워드 및 인증 토큰을 이용하는 2 팩터 인증 방법에 사용될 수 있다. 상기한 방법은 온라인 또는 오프라인 동작하는 광범위한 모바일 전화 디바이스들에 의해 2 팩터 인증 방법이 제공되도록 한다. 다른 인증 시스템들과 인증 방법들 또한 개시된다.

Description

인증 방법 및 시스템{AUTHENTICATION METHODS AND SYSTEMS}
본 발명은 모바일 전화 디바이스(mobile telephony device)에 다운로딩되는 암호 기반 애플리케이션을 이용하여 인증 토큰을 생성하는 방법, 및 그러한 토큰을 이용하여 온라인 거래를 인증하는 방법을 포함하는 인증 방법들과 인증 시스템들에 관한 것이다. 방법은 사용자 패스워드와 인증 토큰을 이용하는 2가지 팩터 인증 방법에 사용될 수 있다.
온라인 금융 거래들을 위해 단일 팩터 인증을 사용하는 것이 통상적이다. 인터넷 뱅킹과 같은 서비스들이 통상적으로 단일 팩터 인증(즉, 사용자 ID와 패스워드)만을 요구하지만, 키 로거(key logger), 트로이, 피싱/파밍(pharming) 공격들, 맨-인-더-미들(MITM: man in the middle) 공격들, 숄더 서핑, 인터셉션, 보안 애플리케이션들의 디컴파일, 애플리케이션들의 치환, 및 보안 토큰들의 재생성과 같은 위험들이 증가하고 있기 때문에 보안을 강화하는 것이 바람직하다.
2개 팩터 인증은 2개의 인증 방법들(예, 사용자 패스워드와 조합되는 키 또는 보안 토큰)을 요구하기 때문에 보다 강력한 보호를 제공한다. 온라인 거래들에 사용하기 위해 보안 토큰들을 생성 및 배포하기 위한 많은 방법들은 WO 02/19593, WO 01/17310 및 WO 03/063411호에 기재된 바와 같이 공지되어 있다. 토큰은 국부 적으로 생성되지 않고, 방법들은 무선 통신 채널이 이용불가능한 곳에서 제 2 인증 방법이 사용되지 않도록 한다.
상기 방법들은 1회 사용 토큰들(각각의 거래를 수행하기 위해 적용되어야 함) 또는 영구적인 토큰들을 사용한다. 1회 사용 토큰들은 각각의 거래를 위해 사용자가 토큰을 요청하도록 요구되기 때문에 불편하다. 영구적인 토큰들은 여전히 유효하게 사용될 수 있지만 제 3 자가 토큰을 획득할 수 있는 보안 위험에 노출된다.
WO 02/15626호는 휴대전화에서 보안 토큰을 국부적으로 생성할 수 있는 암호 모듈을 포함하는 휴대 전화를 개시하고 있다. 그러나, 이러한 방법은 그러한 암호 모듈을 구비한 휴대전화들로 제한된다.
강력한 보안을 제공하는 최소한의 사용자 입력을 요구하는 인증 방법을 제공하는 것이 바람직하다. 최소한의 사용자 개입을 요구하는 채널 범위를 통해 인증 프로세스가 활성화될 수 있는 것이 바람직하다. 또한, 프로세스가 광범위한 모바일 전화 디바이스들에 사용될 수 있다면 바람직할 수 있다. 모바일 전화 디바이스가 오프라인인 동안 토큰이 생성될 수 있는 것이 바람직하다. 또한, 인증 프로세스는 스누핑, 피싱, 인터셉션, 소프트웨어 디컴파일, 데이터 또는 소프트웨어의 조작 및 보안 토큰의 액세싱에 대항하여 양호한 보호를 제공해야 한다. 또한, 사용자에 의한 거래에 대해 가능한 지불거절을 최소화해야 한다.
본 발명의 목적은 전술한 단점들 중 적어도 일부를 감소시키거나 대중에게 유용한 선택을 적어도 제공하는 방법들 및 시스템들을 제공하는 것이다.
많은 실시예들이 본 발명에서 개시되며 이하의 실시예들은 제한적이지 않은 단지 예시적인 실시예들로서 고려되어야 한다.
하나의 예시적인 실시예에 따라, 인증 토큰을 생성하는 방법이 제공되며, 상기 방법은,
ⅰ. 암호 기반 애플리케이션을 모바일 전화 디바이스에 다운로딩하는 단계;
ⅱ. 상기 모바일 전화 디바이스에서 상기 암호 기반 애플리케이션을 실행하는 단계; 및
ⅲ. 상기 암호 기반 애플리케이션에 의해 생성되는 토큰을 상기 모바일 전화 디바이스의 디스플레이에 디스플레이하는 단계를 포함한다.
또한, 상기 방법을 구현하도록 구성된 모바일 전화 디바이스 및 상기 방법을 구현하기 위한 소프트웨어가 제공된다.
다른 실시예에 따라 거래를 인증하는 방법이 제공되며, 방법은,
ⅰ. 모바일 전화 디바이스에 암호 기반 애플리케이션을 다운로딩하는 단계;
ⅱ. 제 1 인증 정보를 인증 디바이스에 제공하는 단계;
ⅲ. 상기 모바일 전화 디바이스의 암호 기반 애플리케이션을 이용하여 제 2 인증 정보를 생성하는 단계;
ⅳ. 상기 제 2 인증 정보를 상기 인증 디바이스에 제공하는 단계; 및
ⅴ. 상기 인증 디바이스에 의해 상기 제 1 및 제 2 인증 정보를 검증하는 단계를 포함한다.
방법을 구현하도록 구성된 시스템 및 방법을 구현하기 위한 소프트웨어가 추가로 제공된다.
다른 실시예에 따라 거래를 인증하는 방법이 제공되며, 방법은,
a. 시드 데이터(seed data)와 로컬 시간 데이터를 기반으로 모바일 디바이스에서 인증 토큰을 생성하는 단계 - 인증 토큰은 생성 정보의 시간을 포함함 -;
b. 상기 인증 토큰을 인증 시스템으로 전송하는 단계;
c. 상기 토큰으로부터 상기 생성 정보의 시간을 추출하는 단계; 및
d. 상기 생성 정보의 시간이 상기 인증 시스템의 수신 시간에 대하여 규정된 윈도우 내에 있는 경우에만 상기 토큰을 인증하는 단계를 포함한다.
다른 실시예에 따라 모바일 전화 디바이스에 다운로딩되는 애플리케이션의 인증을 검증하는 방법이 제공되며, 방법은,
a. 사용자 특정 URL을 모바일 전화 디바이스의 사용자에게 전송하는 단계;
b. 상기 사용자 특정 URL로부터 상기 모바일 전화 디바이스로 애플리케이션을 다운로딩하는 단계;
c. 상기 애플리케이션으로부터 분리된 상기 모바일 전화 디바이스의 메모리에 상기 사용자 특정 URL을 저장하는 단계; 및
d. 상기 애플리케이션을 실행하기 이전에 상기 설치된 애플리케이션이 상기 사용자 특정 URL로부터 다운로딩되었는지 검증하는 단계를 포함한다.
다른 실시예에 따라, 모바일 전화 디바이스와 원격지 인증 시스템 사이의 거래의 인증을 검증하는 방법이 제공되며, 방법은,
a. 상기 모바일 디바이스로 다운로딩되는 애플리케이션에 사용자 특정 서명을 삽입하는 단계;
b. 상기 원격지 인증 시스템에 상기 사용자 특정 서명을 저장하는 단계;
c. 상기 다운로딩된 애플리케이션을 이용하여 상기 사용자 특정 서명 상의 적어도 일부분을 기초로 상기 모바일 전화 디바이스에서 인증 토큰을 생성하는 단계;
d. 상기 인증 토큰을 상기 인증 시스템으로 전송하는 단계; 및
e. 상기 인증 토큰이 상기 사용자 특정 서명을 이용하여 생성되었는지를 검증하는 단계를 포함하여, 상기 원격지 컴퓨터에서 상기 인증 토큰을 검증하는 단계를 포함한다.
첨부된 도면은 상기 주어진 본 발명의 일반적인 설명과 함께 본 발명의 일 실시예를 도시하며, 이하의 실시예들의 상세한 설명은 본 발명의 원리들을 설명하기 위한 것이다.
도 1은 본 발명의 인증 방법을 구현하기 위해 적합한 시스템의 개념도를 도시한다.
도 1은 본 발명의 인증 방법을 구현하기 위한 하나의 가능한 시스템을 개념적으로 도시한다. 로컬 컴퓨터(1)는 통신망(2)을 통해 인증 시스템(3)에 접속된다. 예시적인 실시예에서, 로컬 컴퓨터(1)는 로컬 컴퓨터(1)상의 브라우저를 통해 인증 시스템(3)에 의해 제공되는 인터넷 뱅킹 서비스들에 액세스할 수 있다. 인증 시스템은 단일 컴퓨터 또는 분배된 컴퓨터 시스템일 수 있다.
제 1 실시예에 따라 2개 팩터 인증을 제공하기 위해, 사용자(4)는 ID와 패스워드를 로컬 컴퓨터(1)에 입력할 수 있고, 모바일 전화 디바이스(5)에 의해 토큰이 생성된다. 모바일 전화 디바이스(5)에 의해 토큰의 생성을 가능하게 하기 위해, 사용자는 암호 기반 애플리케이션이 제공되도록 요청할 수 있다. 사용자는 이하와 같은 다수의 채널들 중 하나를 통해 암호 기반 애플리케이션을 요청할 수 있다:
1. 뱅크 - 사용자는 이들의 뱅크의 분점을 방문하여, 신원을 확인하고, 무선으로, 착탈식 매체를 통해, 데이터 라인 등을 통해, 이들의 모바일 무선 디바이스(5)에 암호 기반 애플리케이션이 다운로딩되도록 한다.
2. SMS - 사용자는 암호 기반 애플리케이션을 요청하는 SMS 메시지를 전송할 수 있고, 뱅크는 크리덴셜들(credentials)을 검증할 수 있으며, 충족된다면, 원격지 컴퓨터(1)가 암호 기반 애플리케이션을 클라이언트로 전송하도록 명령할 수 있다.
3. 전화 - 사용자가 뱅크에 전화하여 모바일 뱅킹을 요청할 수 있다. IVR 또는 인간 오퍼레이터가 이용될 수 있다. 사용자 크리덴셜들을 검증할 때, 원격지 컴퓨터(1)는 암호 기반 애플리케이션을 클라이언트로 전송하도록 명령될 수 있다.
4. 인터넷 뱅킹 - 인터넷 뱅킹 세션 동안, 사용자는 암호 기반 애플리케이션을 요청할 수 있다. 사용자의 크리덴셜들이 인터넷 뱅킹에 로그온 동안 검증됨에 따라, 암호 기반 애플리케이션이 사용자에게 자동적으로 전송될 수 있다.
다양한 방법들로 애플리케이션이 이루어질 수 있고 상기한 것들은 단지 예시적이라는 점을 고려해야 할 것이다.
암호 기반 애플리케이션을 전송하는 한가지 방법은 무선망(6)을 통하여 SMS 메시지의 URL을 모바일 전화 디바이스(5)로 전송하는 것이다. 사용자는 URL 링크를 활성화시키고 https 프로토콜을 이용하여 암호 애플리케이션을 다운로딩할 수 있다. 특정 애플리케이션을 위한 보안 요구조건들에 따라 모바일 전화 디바이스(5)로 암호 기반 애플리케이션을 다운로딩하는 많은 방법들이 사용될 수 있다는 점을 고려해야 할 것이다. 사용자 특정 URL은 사용자 특정 애플리케이션이 다운로딩될 수 있도록 제공될 수 있다. 이러한 사용자 특정 애플리케이션은 사용자 특정 URL, 사용자 특정 서명(JAR 파일에 포함될 수 있음) 및/또는 사용자 암호(secret)를 포함할 수 있다. 이들은 애플리케이션 내에 obfuscated 방식으로 저장되는 것이 바람직할 것이다. 사용자 암호는 임의로 할당된 코드, 사용자 ID, 및 패스워드 또는 본 기술분야의 당업자에게 명백한 바와 같은 다른 조합들일 수 있다.
암호 기반 애플리케이션을 활성화시키기 위해 암호 기반 애플리케이션이 설치될 때 활성 코드가 모바일 전화 디바이스(5)에 입력될 필요가 있다. 이는 SMS 메시지, 이메일, 우편 등을 통해 사용자에게 제공되는 고유 코드이거나 사용자 ID와 패스워드일 수 있다. 고유 코드가 모바일 전화 디바이스(5)에 입력될 때, 무선망(6)상에서 https 프로토콜을 이용하여 인증 시스템(3)으로 전송될 수 있다. 인증 시스템(3)이 활성 코드를 검증하면, 그 사용자에 대해, 모바일 전화 디바이스(5)에 의해 생성된 토큰들을 허용할 것이다.
모바일 전화 디바이스(5)상에서 실행되는 암호 기반 애플리케이션은 SHA 512 다이제스트(digest) 함수와 같은 해시 함수(hash function)를 사용할 수 있다. 암호 기반 애플리케이션에 내장되는 사용자 암호, 사용자 특정 서명 및/또는 사용자 특정 URL은 토큰의 형태로 인증 정보를 생성하기 위해 사용될 수 있다. 또한, 특정 시작 시간으로부터 경과된 시간과 같은 시간 관련 팩터가 토큰을 생성하는데 사용될 수도 있다. 예시적인 실시예에서, 암호 기반 애플리케이션에 내장되는 사용자 암호, 사용자 특정 서명 및 사용자 특정 URL과, 시드 데이터로서 1970년 1월 1일과 같은 임의의 날짜 이후로 경과된 시간을 기초로, 암호 기반 애플리케이션을 이용하여 토큰이 생성될 수 있다.
모바일 전화 디바이스(5)로 제공되는 암호 기반 애플리케이션은 상위레벨의 보안을 제공하는 것이 바람직하다. 이를 달성할 수 있는 특징들은 다음을 포함한다:
1. obfuscated 코드(즉, 압축 및 해독불가한(unintelligible) 코드)
2. 가상 머신(즉, 각각의 애플리케이션이 다른 컴포넌트들과의 상호작용 없이 그 자신의 공간에서 실행함)
3. 사전-검증된 코드(즉, 기계어 클래스들을 무효화할 수 없다는 것을 보장하기 위해 체크됨).
이러한 특징들을 달성하기 위해, 애플리케이션은 Java J2ME 코드와 같은 언어로 쓰여지는 것이 바람직하다.
인터넷 뱅킹과 같은 서비스에 로그인할 때, 사용자는 인증의 제 1 형태로서 컴퓨터(1)상에 실행되는 브라우저에 이들의 ID와 패스워드를 입력하고, 암호 기반 애플리케이션을 이용하여 모바일 전화 디바이스(5)상에 토큰을 생성하며, 인증의 제 2 형태로서 모바일 전화 디바이스(5)에 의해 생성되어 디스플레이되는 토큰을 브라우저에 입력할 수 있다. 사용자가 이용가능한 시스템에 대한 액세스를 갖지 않거나 커버리지가 없는 곳에서 상기 방법이 사용될 수 있도록 오프라인에 있는 동안 모바일 전화 디바이스(5)에 의해 토큰이 생성될 수 있다.
제 1 인증 정보(사용자 ID와 PIN)는 검증을 위해 인증 시스템(3)으로 전송된다. 인증 시스템(3)은 사용자에게 제공되는 암호 기반 애플리케이션에 내장되는 것과 동일한 시드 데이터 및 검증 시간의 시간을 기초로 토큰을 생성한다. 생성 시간에서 모바일 전화 디바이스(5)의 시간과 검증 시간에서 원격지 컴퓨터의 시간이 특정 시간 윈도우 내에 있는 경우, 수신된 인증 토큰이 검증될 것이다. 이는 시간 입력값을 순환(rounding)시킴으로써 달성되어, 특정 시간 윈도우 내에서 인증 시스템(3)에서 생성된 토큰이 모바일 전화 디바이스(5)에 의해 생성된 토큰과 매칭될 것이다. 이는 임의의 인터셉트된 토큰이 짧은 지속성을 갖는 것을 보장한다. 또한, 인증 시스템(3)은 임의의 토큰이 단지 1회만 사용되는 것을 보장하도록 체크할 수 있다.
모바일 전화 디바이스(5)의 클록이 인증 시스템(3)의 클록과 동기화되지 않는 경우 시간 윈도우는 너무 짧을 수 있거나, 또는 동기화할 수 없는 경우 임의의 토큰들의 검증을 허용하지 않을 수 있다. 또한, 모바일 전화 디바이스(5)의 클록이 인증 시스템(3)의 클록과 주기적으로 동기화될 수 있거나 오프셋 기술이 사용될 수 있다. 오프셋 기술에 대하여, 모바일 전화 디바이스(5)와 인증 시스템(3)의 클록 간의 오프셋을 기록하는 델타 값이 설치 시점에서 모바일 전화 디바이스(5)에 의해 저장될 수 있다. 이러한 델타 값은 토큰을 생성할 때 경과 시간을 오프셋하는데 후속적으로 사용될 수 있다.
다른 실시예에서, 바람직하게는 추출하기 어려운 방식으로 인증 코드의 생성 시간이 인증 토큰에 포함될 수 있다. 바람직한 방법은 사용자 특정 서명, 사용자 암호, 사용자 패스코드(PIN) 및 사용자 계정 세부사항들 중 하나 이상으로부터 선택된 사용자 특정 정보에 따라 토큰 내에 이러한 정보를 배치하는 것이다. 그 다음, 인증 시스템에 의해 실제 생성 시간이 추출될 수 있고(여기서 사용자 특정 정보가 저장되어 시간 정보를 추출하는데 사용됨), 토큰을 국부적으로 생성하여 수신된 토큰과 비교하고 토큰의 인증을 검증하기 위해 사용될 수 있다. 이러한 방법은 유효한 생성 시간들의 범위를 윈도우 내에서 커버하고 이들을 토큰과 비교하는 복잡함을 없앤다.
다른 실시예에서, 무선망(6)과 같은 별도의 채널을 통해 인증 토큰이 전송되어, 특히 민감한 거래들에 요구되는 보다 높은 보안을 제공할 수 있다. 이러한 실시예에서, 토큰은 사용자에 의한 암호 기반 애플리케이션의 활성화시 모바일 전화 디바이스(5)에 의해 생성되고, 무선망(6)을 통하여 인증 시스템(3)으로 전송된다. 이러한 기술은 보다 높은 보안이 요구되는 이전의 기술과 연계하여 또는 단독으로 사용될 수 있다.
상기한 방법들은 보안 거래가 수행될 수 있도록 인증 프로세스를 제공한다. 다른 실시예에서, 거래 정보를 포함하는 토큰이 생성될 수 있다. 이러한 실시예에 따라 상기한 방법은 사용자가 수취인 계좌 및 비용과 같은 거래 정보를 입력하도록 요구할 수 있고, 이는 이하의 시드 값들 중 하나 이상과 연계하여 암호 기반 애플리케이션이 인증 토큰을 생성하기 위한 시드 값으로서 사용될 수 있다:
1. 암호 기반 애플리케이션의 생성 시간
2. 사용자 특정 서명
3. 사용자 암호
4. 사용자 패스코드(모바일 전화 디바이스에 저장되지 않은 PIN 및/또는 사용자 ID).
이러한 실시예에서 인증 시스템(3)은 전술한 바와 같이 토큰을 검증할 수 있고, 검증되면, 거래 정보에 따라 애플리케이션을 프로세싱한다. 이는 유효 토큰에 의해 채널이 검증되면 사람이 거래 정보를 중간에 변경하는 것을 방지시킨다.
부가적인 보안 척도로서, 암호 기반 애플리케이션은 다운로딩될 때 사용자 특정 URL을 저장할 수 있고, 사용자 특정 URL로부터 모바일 전화 디바이스(5)내의 메모리의 별도의 영역에서 애플리케이션을 저장하는 메모리 영역으로 다운로딩된다. 애플리케이션이 실행될 때마다 모바일 디바이스내에 별도로 저장된 URL을 체크하여, 애플리케이션이 인증 토큰을 생성하기 이전에 애플리케이션에 저장된 사용자 특정 URL과 일치하는지를 체크한다. 이러한 방식으로, 내부에 저장된 상이한 URL을 갖는 않는 애플리케이션의 교체로 인해 토큰을 생성하지 않을 것이다.
따라서, 전화에 제공될 임의의 암호 기능을 요구함이 없이 현존하는 광범위 한 무선 전화 디바이스들에 적용될 수 있는 방법들 및 시스템들이 제공된다. 상기한 방법은 주요한 변경 또는 부가적인 시스템 컴포넌트들 없이 현존하는 시스템들에 용이하게 적용될 수 있고, 용이하게 가변가능하며, 개발, 관리 및 지원하기에 비용 효율적이다. 상기 방법은 고객들에게 용이하게 배치되어 사용될 수 있다. 상기 방법은 개별 디바이스에 의한 시간 제한 코드의 독립적인 생성으로 인해 상위 레벨의 보안을 제공한다. 1회 사용 토큰은 키-로거 및 트로이로부터 위험을 감소시킨다. 시간 제한 토큰들을 이용하여 피싱/파밍 및 MITM 공격들의 위험을 감소시킨다. 추가적으로, 소프트웨어는 소프트웨어 또는 데이터를 액세스하거나 변경하기가 매우 어렵게 한다. 특정 모바일 디바이스와 그 토큰 생성 소프트웨어 간의 관계에 의해 사용자의 거래의 가능한 지불거절을 제한시킨다.
본 발명의 방법 및 시스템은 인터넷 뱅킹 애플리케이션과 관련하여 기술되었지만, ATM 기기, 소매 아울렛 등에서의 인증과 같은 본 애플리케이션 이외의 광범위한 애플리케이션들에 본 발명의 방법이 적용될 수 있다는 것을 고려해야 할 것이다.
본 발명은 그 실시예들의 설명에 의해 예시되었고 그 실시예들은 상세히 기술되었지만, 그러한 세부사항으로 첨부된 청구범위의 범주를 한정하거나 임의의 방식으로 제한하려는 의도가 아니다. 부가적인 장점들과 변경들은 통상의 당업자에게 명백할 것이다. 따라서, 보다 넓은 범주에서 본 발명은 도시되고 기술된 특정 세부사항들, 대표적 장치 및 방법과 예시적인 예들로 제한되지 않는다. 따라서, 본 출원인의 일반적인 진보적 개념의 사상 또는 범주를 벗어남이 없이 그러한 세부 사항들로부터 변경이 이루어질 수 있다.

Claims (63)

  1. 인증 토큰 생성 방법으로서,
    암호 기반 애플리케이션을 모바일 전화 디바이스에 다운로딩하는 단계;
    상기 모바일 전화 디바이스에서 상기 암호 기반 애플리케이션을 실행하는 단계; 및
    상기 암호 기반 애플리케이션에 의해 생성되는 토큰을 상기 모바일 전화 디바이스의 디스플레이 상에 디스플레이하는 단계
    를 포함하는 인증 토큰 생성 방법.
  2. 제 1 항에 있어서,
    상기 토큰은 상기 모바일 전화 디바이스가 오프라인에 있는 동안 생성되는 것을 특징으로 하는 인증 토큰 생성 방법.
  3. 제 1 항에 있어서,
    상기 토큰은 상기 모바일 전화 디바이스가 온라인에 있는 동안 생성되는 것을 특징으로 하는 인증 토큰 생성 방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 암호 기반 애플리케이션의 다운로딩을 가능하게 하기 위해 상기 모바일 전화 디바이스에 URL 링크가 전송되는 것을 특징으로 하는 인증 토큰 생성 방법.
  5. 제 4 항에 있어서,
    상기 URL 링크를 포함하는 SMS 메시지가 상기 모바일 전화 디바이스로 전송되는 것을 특징으로 하는 인증 토큰 생성 방법.
  6. 제 4 항 또는 제 5 항에 있어서,
    상기 URL 링크는 인터넷 뱅킹 세션 동안 이루어지는 요청에 응답하여 전송되는 것을 특징으로 하는 인증 토큰 생성 방법.
  7. 제 4 항 또는 제 5 항에 있어서,
    상기 URL 링크는 IVR 서비스를 통하여 이루어지는 요청에 응답하여 전송되는 것을 특징으로 하는 인증 토큰 생성 방법.
  8. 제 1 항 내지 제 7 항 중 어느 한 항에 있어서,
    상기 암호 기반 애플리케이션은 보안 프로토콜을 이용하여 다운로딩되는 것을 특징으로 하는 인증 토큰 생성 방법.
  9. 제 4 항 내지 제 8 항 중 어느 한 항에 있어서,
    사용자 특정 URL이 각각의 사용자에게 전송되는 것을 특징으로 하는 인증 토 큰 생성 방법.
  10. 제 4 항 내지 제 9 항 중 어느 한 항에 있어서,
    상기 암호 기반 애플리케이션은 사용자 특정 서명을 포함하는 것을 특징으로 하는 인증 토큰 생성 방법.
  11. 제 10 항에 있어서,
    상기 사용자 특정 서명은 JAR 파일에 저장되는 것을 특징으로 하는 인증 토큰 생성 방법.
  12. 제 10 항 또는 제 11 항에 있어서,
    상기 생성되는 토큰은 적어도 부분적으로 상기 사용자 특정 서명을 기초로 생성되는 것을 특징으로 하는 인증 토큰 생성 방법.
  13. 제 1 항 내지 제 12 항 중 어느 한 항에 있어서,
    상기 생성되는 토큰은 시간 관련 팩터를 기반으로 하는 것을 특징으로 하는 인증 토큰 생성 방법.
  14. 제 13 항에 있어서,
    상기 시간 관련 팩터는 시작 시간으로부터 경과된 시간인 것을 특징으로 하 는 인증 토큰 생성 방법.
  15. 제 1 항 내지 제 14 항 중 어느 한 항에 있어서,
    상기 생성되는 토큰은 적어도 부분적으로, 사용자에게 할당된 고유 보안 코드를 기반으로 생성되는 것을 특징으로 하는 인증 토큰 생성 방법.
  16. 제 15 항에 있어서,
    상기 고유 보안 코드는 상기 다운로딩된 암호 기반 애플리케이션에 내장되는 것을 특징으로 하는 인증 토큰 생성 방법.
  17. 제 1 항 내지 제 16 항 중 어느 한 항에 있어서,
    상기 생성되는 토큰은 적어도 부분적으로, 사용자 입력 코드를 기반으로 생성되는 것을 특징으로 하는 인증 토큰 생성 방법.
  18. 제 17 항에 있어서,
    상기 사용자 입력 코드는 PIN을 포함하는 것을 특징으로 하는 인증 토큰 생성 방법.
  19. 제 1 항 내지 제 18 항 중 어느 한 항에 있어서,
    상기 암호 기반 애플리케이션은 해시 함수(hash function)를 사용하는 것을 특징으로 하는 인증 토큰 생성 방법.
  20. 제 19 항에 있어서,
    상기 해시 함수는 SHA 512 다이제스트 함수를 기반으로 하는 것을 특징으로 하는 인증 토큰 생성 방법.
  21. 제 1 항 내지 제 20 항 중 어느 한 항에 있어서,
    상기 암호 기반 애플리케이션은 상기 애플리케이션을 인에이블하도록 입력되는 활성 코드를 요구하는 것을 특징으로 하는 인증 토큰 생성 방법.
  22. 제 21 항에 있어서,
    상기 활성 코드는 사용자에게 제공되는 고유 코드인 것을 특징으로 하는 인증 토큰 생성 방법.
  23. 제 21 항에 있어서,
    상기 활성 코드는 사용자 ID와 패스워드인 것을 특징으로 하는 인증 토큰 생성 방법.
  24. 제 1 항 내지 제 23 항 중 어느 한 항에 있어서,
    상기 모바일 전화 디바이스에 의해 생성되는 토큰들이 원격지 컴퓨터에 의해 허용될 수 있도록 활성 코드가 상기 원격지 컴퓨터로 전송되는 것을 특징으로 하는 인증 토큰 생성 방법.
  25. 제 21 항 내지 제 24 항 중 어느 한 항에 있어서,
    상기 활성 코드는 상기 암호 기반 애플리케이션으로부터 사용자 특정 서명을 포함하는 것을 특징으로 하는 인증 토큰 생성 방법.
  26. 제 21 항 내지 제 25 항 중 어느 한 항에 있어서,
    상기 활성 코드는 보안 프로토콜을 이용하여 전송되는 것을 특징으로 하는 인증 토큰 생성 방법.
  27. 제 21 항에 있어서,
    상기 활성 코드는 사용자에게 제공되는 고유 코드인 것을 특징으로 하는 인증 토큰 생성 방법.
  28. 제 27 항에 있어서,
    상기 활성 코드는 사용자 ID와 패스워드인 것을 특징으로 하는 인증 토큰 생성 방법.
  29. 거래를 인증하는 방법으로서,
    암호 기반 애플리케이션을 모바일 전화 디바이스에 다운로딩하는 단계;
    제 1 인증 정보를 인증 시스템에 제공하는 단계;
    상기 모바일 전화 디바이스의 상기 암호 기반 애플리케이션을 이용하여 인증 토큰을 생성하는 단계;
    상기 인증 토큰을 상기 인증 시스템에 제공하는 단계; 및
    상기 인증 시스템에 의해 상기 제 1 인증 정보와 상기 인증 토큰을 검증하는 단계
    를 포함하는 거래를 인증하는 방법.
  30. 제 29 항에 있어서,
    상기 인증 시스템은 원격지 컴퓨터인 것을 특징으로 하는 거래를 인증하는 방법.
  31. 제 29 항 또는 제 30 항에 있어서,
    상기 인증 토큰은 상기 모바일 전화 디바이스가 오프라인에 있는 동안 생성되는 것을 특징으로 하는 거래를 인증하는 방법.
  32. 제 31 항에 있어서,
    상기 제 1 인증 정보와 상기 인증 토큰은 동일한 통신 채널을 통해 전송되는 것을 특징으로 하는 거래를 인증하는 방법.
  33. 제 32 항에 있어서,
    상기 제 1 인증 정보와 상기 인증 토큰은 인터넷을 통해 전송되는 것을 특징으로 하는 거래를 인증하는 방법.
  34. 제 27 항 또는 제 30 항에 있어서,
    상기 인증 토큰은 상기 모바일 전화 디바이스가 온라인에 있는 동안 생성되는 것을 특징으로 하는 거래를 인증하는 방법.
  35. 제 34 항에 있어서,
    상기 인증 토큰은 무선 통신 채널을 통해 전송되는 것을 특징으로 하는 거래를 인증하는 방법.
  36. 제 29 항 내지 제 35 항 중 어느 한 항에 있어서,
    상기 제 1 인증 정보는 정적(static) 정보인 것을 특징으로 하는 거래를 인증하는 방법.
  37. 제 36 항에 있어서,
    상기 제 1 인증 정보는 사용자 ID와 패스워드인 것을 특징으로 하는 거래를 인증하는 방법.
  38. 제 29 항 내지 제 37 항 중 어느 한 항에 있어서,
    상기 인증 토큰은 일시적인(transient) 정보인 것을 특징으로 하는 거래를 인증하는 방법.
  39. 제 29 항 내지 제 38 항 중 어느 한 항에 있어서,
    상기 인증 토큰은 시간 기반 정보를 기초로 생성되는 것을 특징으로 하는 거래를 인증하는 방법.
  40. 제 39 항에 있어서,
    상기 인증 토큰은 시간 관련 팩터를 기초로 생성되는 것을 특징으로 하는 거래를 인증하는 방법.
  41. 제 40 항에 있어서,
    상기 시간 관련 팩터는 시작 시간으로부터의 경과 시간인 것을 특징으로 하는 거래를 인증하는 방법.
  42. 제 41 항에 있어서,
    상기 모바일 전화 디바이스의 클록 시간과 상기 인증 시스템의 클록 시간 사이의 오프셋이 상기 모바일 전화 디바이스에 저장되어 상기 모바일 전화 디바이스 와 상기 원격지 컴퓨터 사이에 상기 시간 관련 팩터를 동기화하는데 사용되는 것을 특징으로 하는 거래를 인증하는 방법.
  43. 제 39 항 내지 제 42 항 중 어느 한 항에 있어서,
    상기 인증 시스템은 인증 토큰을 국부적으로 생성하여 수신된 상기 인증 토큰과 비교함으로써 상기 인증 토큰을 검증하는 것을 특징으로 하는 거래를 인증하는 방법.
  44. 제 42 항에 있어서,
    상기 인증 시스템은 상기 원격지 컴퓨터에 의한 규정된 수신 주기 내에서 생성된 경우에 수신되는 상기 인증 토큰만을 검증하는 것을 특징으로 하는 거래를 인증하는 방법.
  45. 제 39 항에 있어서,
    상기 인증 토큰은 생성 시간이 상기 인증 시스템의 검증 시간에 대하여 특정 윈도우 내에 있는 경우 추출되어 검증되는 생성 시간에 대한 정보를 포함하는 것을 특징으로 하는 거래를 인증하는 방법.
  46. 제 45 항에 있어서,
    상기 인증 토큰의 생성 시간은 사용자 특정 정보를 기반으로 상기 토큰 내의 위치에 저장되는 것을 특징으로 하는 거래를 인증하는 방법.
  47. 제 30 항 내지 제 46 항 중 어느 한 항에 있어서,
    사용자 특정 서명이 상기 인증 장치에 저장되고 상기 암호 기반 애플리케이션에 포함되며 상기 인증 토큰을 생성하는데 사용되고,
    상기 인증 시스템은 적어도 부분적으로 상기 사용자 특정 서명을 기반으로 상기 인증 토큰을 검증하는 것을 특징으로 하는 거래를 인증하는 방법.
  48. 제 47 항에 있어서,
    상기 사용자 특정 서명은 JAR 파일에 저장되는 것을 특징으로 하는 거래를 인증하는 방법.
  49. 제 30 항 내지 제 48 항 중 어느 한 항에 있어서,
    사용자 암호가 상기 인증 시스템에 저장되고 상기 암호 기반 애플리케이션에 포함되며 상기 인증 토큰의 생성을 위해 사용되고,
    상기 인증 시스템은 적어도 부분적으로 상기 사용자 특정 서명을 기반으로 상기 인증 토큰을 검증하는 것을 특징으로 하는 거래를 인증하는 방법.
  50. 제 1 항 내지 제 49 항 중 어느 한 항에 있어서,
    상기 모바일 전화 디바이스는 휴대 전화인 것을 특징으로 하는 방법.
  51. 제 29 항 내지 제 50 항 중 어느 한 항의 방법에 따라 동작하도록 구성된 시스템.
  52. 제 1 항 내지 제 28 항 중 어느 한 항의 방법에 따라 동작하도록 구성된 모바일 전화 디바이스.
  53. 거래를 인증하는 방법으로서,
    시드 데이터와 로컬 시간 데이터를 기반으로 모바일 디바이스에서 인증 토큰을 생성하는 단계 - 상기 인증 토큰은 생성 시간 정보를 포함함 -;
    상기 인증 토큰을 인증 시스템으로 전송하는 단계;
    상기 인증 토큰으로부터 상기 생성 시간 정보를 추출하는 단계; 및
    상기 생성 시간 정보가 상기 인증 시스템에서의 수신 시간에 대한 규정된 윈도우 내에 있는 경우에만 상기 토큰을 인증하는 단계
    를 포함하는 거래를 인증하는 방법.
  54. 제 53 항에 있어서,
    상기 생성 시간 정보는 사용자 특정 정보를 기반으로 상기 토큰 내의 위치에 삽입되는 것을 특징으로 하는 거래를 인증하는 방법.
  55. 제 54 항에 있어서,
    상기 생성 시간 정보는 사용자 특정 서명, 사용자 암호, 사용자 패스코드 및 사용자 계정 세부사항 중 하나 이상으로부터 선택된 사용자 특정 정보를 기반으로 상기 토큰 내의 위치에 삽입되는 것을 특징으로 하는 거래를 인증하는 방법.
  56. 모바일 전화 디바이스에 다운로딩되는 애플리케이션의 신뢰성(authenticity)을 검증하는 방법으로서,
    모바일 전화 디바이스의 사용자에게 사용자 특정 URL을 전송하는 단계;
    상기 사용자 특정 URL로부터 상기 모바일 전화 디바이스로 애플리케이션을 다운로딩하는 단계;
    상기 애플리케이션과 별개로 상기 모바일 전화 디바이스의 메모리에 상기 사용자 특정 URL을 저장하는 단계; 및
    상기 애플리케이션을 실행하기 이전에 설치된 상기 애플리케이션이 상기 사용자 특정 URL로부터 다운로딩되었는지를 검증하는 단계
    를 포함하는 애플리케이션의 신뢰성을 검증하는 방법.
  57. 제 56 항에 있어서,
    상기 사용자 특정 URL은 상기 애플리케이션 내에 obfuscated 방식으로 저장되는 것을 특징으로 하는 애플리케이션의 신뢰성을 검증하는 방법.
  58. 모바일 전화 디바이스와 원격지 인증 시스템 간에 거래의 신뢰성을 검증하는 방법으로서,
    상기 모바일 전화 디바이스에 다운로딩되는 애플리케이션에 사용자 특정 서명을 삽입하는 단계;
    상기 사용자 특정 서명을 상기 원격지 인증 시스템에 저장하는 단계;
    상기 다운로딩된 애플리케이션을 이용하여 적어도 부분적으로 상기 사용자 특정 서명을 기반으로 상기 모바일 전화 디바이스에서 인증 토큰을 생성하는 단계;
    상기 인증 토큰을 상기 인증 시스템으로 전송하는 단계; 및
    상기 사용자 특정 서명을 이용하여 상기 인증 토큰이 생성되었는지를 검증하는 것을 포함하여 상기 원격지 컴퓨터에서 상기 인증 토큰을 검증하는 단계
    를 포함하는 거래의 신뢰성을 검증하는 방법.
  59. 제 58 항에 있어서,
    상기 사용자 특정 서명은 JAR 파일에 저장되는 것을 특징으로 하는 거래의 신뢰성을 검증하는 방법.
  60. 제 1 항 내지 제 50 항, 제 53 항 내지 제 55 항, 제 58 항 및 제 59 항 중 어느 한 항에 있어서,
    사용자에 의해 거래 세부사항이 입력되어 상기 인증 토큰을 생성하는데 사용되는, 방법.
  61. 제 60 항에 있어서,
    상기 거래 정보는 수취인 계좌 및 지불 금액을 포함하는 것을 특징으로 하는 방법.
  62. 제 60 항 또는 제 61 항에 있어서,
    상기 토큰이 인증되면, 상기 거래 정보에 따라 거래가 완료되는 것을 특징으로 하는 방법.
  63. 제 1 항 내지 제 50 항 또는 제 53 항 내지 제 62 항 중 어느 한 항의 방법을 구현하도록 구성된 소프트웨어.
KR1020087031829A 2006-06-14 2007-06-14 인증 방법 및 시스템 KR20090025292A (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
NZ547903A NZ547903A (en) 2006-06-14 2006-06-14 A method of generating an authentication token and a method of authenticating an online transaction
NZ547903 2006-06-14
NZPCT/NZ2007/000115 2007-05-17
PCT/NZ2007/000115 WO2007136277A1 (en) 2006-05-18 2007-05-17 Authentication method for wireless transactions

Publications (1)

Publication Number Publication Date
KR20090025292A true KR20090025292A (ko) 2009-03-10

Family

ID=40032394

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020087031829A KR20090025292A (ko) 2006-06-14 2007-06-14 인증 방법 및 시스템

Country Status (11)

Country Link
US (1) US20090300738A1 (ko)
EP (1) EP2027668A2 (ko)
JP (1) JP2009540458A (ko)
KR (1) KR20090025292A (ko)
CN (1) CN101438531A (ko)
AP (1) AP2009004744A0 (ko)
AU (1) AU2007259489A1 (ko)
CA (1) CA2649684A1 (ko)
NZ (1) NZ547903A (ko)
WO (1) WO2007145540A2 (ko)
ZA (1) ZA200704882B (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101033337B1 (ko) * 2009-04-30 2011-05-09 (주)라람인터랙티브 단말기 사용자의 본인확인을 강화한 보안 인증방법
KR101069059B1 (ko) * 2009-03-25 2011-09-29 주식회사 케이티 검증 코드를 이용하여 상담 검증을 수행하는 방법
US9554419B2 (en) 2009-11-09 2017-01-24 Samsung Electronics Co., Ltd Pairing method and apparatus for ad-hoc connection in wireless communication terminal

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE524499C2 (sv) * 2003-03-10 2004-08-17 Smarttrust Ab Förfarande för säker nedladdning av applikationer
KR100988950B1 (ko) * 2005-08-30 2010-10-20 패슬로지 가부시키가이샤 사이트 확인 방법
US8533821B2 (en) 2007-05-25 2013-09-10 International Business Machines Corporation Detecting and defending against man-in-the-middle attacks
AU2008294354A1 (en) * 2007-06-20 2009-03-12 Mchek India Payment Systems Pvt. Ltd. A method and system for secure authentication
US8875259B2 (en) * 2007-11-15 2014-10-28 Salesforce.Com, Inc. On-demand service security system and method for managing a risk of access as a condition of permitting access to the on-demand service
US8782759B2 (en) * 2008-02-11 2014-07-15 International Business Machines Corporation Identification and access control of users in a disconnected mode environment
US8209744B2 (en) 2008-05-16 2012-06-26 Microsoft Corporation Mobile device assisted secure computer network communication
US10706402B2 (en) 2008-09-22 2020-07-07 Visa International Service Association Over the air update of payment transaction data stored in secure memory
US20100217709A1 (en) * 2008-09-22 2010-08-26 Christian Aabye Apparatus and method for preventing unauthorized access to payment application installed in contactless payment device
US8977567B2 (en) 2008-09-22 2015-03-10 Visa International Service Association Recordation of electronic payment transaction information
US9824355B2 (en) 2008-09-22 2017-11-21 Visa International Service Association Method of performing transactions with contactless payment devices using pre-tap and two-tap operations
US9443084B2 (en) 2008-11-03 2016-09-13 Microsoft Technology Licensing, Llc Authentication in a network using client health enforcement framework
NO332479B1 (no) 2009-03-02 2012-09-24 Encap As Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler
US20100269162A1 (en) 2009-04-15 2010-10-21 Jose Bravo Website authentication
DE102009036706C5 (de) 2009-08-08 2017-04-13 Friedrich Kisters Sicherheitselement mit einer elektronischen Anzeigevorrichtung zur Darstellung von sicherheitsrelevanten Informationen oder Mustern, seine Verwendung als Bestandteil einer elektronischen Telekommunikationseinrichtung sowie ein Verfahren zur Kennzeichnung, Identifikation oder Authentifikation von Gegenständen oder Lebewesen
US20110208599A1 (en) * 2009-11-16 2011-08-25 Zeenook, Inc. Mobile marketing and targeted content delivery to mobile devices
US8683609B2 (en) 2009-12-04 2014-03-25 International Business Machines Corporation Mobile phone and IP address correlation service
US8997196B2 (en) 2010-06-14 2015-03-31 Microsoft Corporation Flexible end-point compliance and strong authentication for distributed hybrid enterprises
US8560837B1 (en) * 2010-06-30 2013-10-15 Emc Corporation Automatically estimating clock offset
SE535575C2 (sv) * 2010-11-24 2012-10-02 Exformation Comm Ab Metod för säker verifiering av elektroniska transaktioner
BR112013012964A2 (pt) * 2010-11-24 2016-08-23 Telefonica Sa método para autorizar o acesso a conteúdo protegido
US9098691B2 (en) * 2011-02-25 2015-08-04 Vasco Data Security, Inc. Method and apparatus for encoding and decoding data transmitted to an authentication token
US8838988B2 (en) 2011-04-12 2014-09-16 International Business Machines Corporation Verification of transactional integrity
JP2014512058A (ja) * 2011-04-18 2014-05-19 エゴネクサス、リミテッド ディジタルトークン生成器、ディジタルトークンを記録するためのサーバ、およびディジタルトークンを発行するための方法
US9792593B2 (en) 2011-11-23 2017-10-17 The Toronto-Dominion Bank System and method for processing an online transaction request
EP2798777B1 (en) * 2011-12-27 2018-03-28 Intel Corporation Method and system for distributed off-line logon using one-time passwords
US20140229388A1 (en) * 2012-04-18 2014-08-14 Edgard Lobo Baptista Pereira System and Method for Data and Identity Verification and Authentication
US8639619B1 (en) 2012-07-13 2014-01-28 Scvngr, Inc. Secure payment method and system
US8917826B2 (en) 2012-07-31 2014-12-23 International Business Machines Corporation Detecting man-in-the-middle attacks in electronic transactions using prompts
US20140237239A1 (en) * 2012-12-31 2014-08-21 Safelylocked, Llc Techniques for validating cryptographic applications
US9270649B1 (en) * 2013-03-11 2016-02-23 Emc Corporation Secure software authenticator data transfer between processing devices
US9130753B1 (en) * 2013-03-14 2015-09-08 Emc Corporation Authentication using security device with electronic interface
US8770478B2 (en) 2013-07-11 2014-07-08 Scvngr, Inc. Payment processing with automatic no-touch mode selection
US9148284B2 (en) * 2014-01-14 2015-09-29 Bjoern Pirrwitz Identification and/or authentication method
US9922318B2 (en) * 2014-01-27 2018-03-20 Capital One Services, Llc Systems and methods for providing transaction tokens for mobile devices
US20150248676A1 (en) * 2014-02-28 2015-09-03 Sathish Vaidyanathan Touchless signature
CN103957104A (zh) * 2014-04-22 2014-07-30 交通银行股份有限公司 动态令牌防钓鱼方法及装置
JP5959070B2 (ja) * 2014-07-30 2016-08-02 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 情報処理装置、端末、プログラム及び方法
GB201419016D0 (en) * 2014-10-24 2014-12-10 Visa Europe Ltd Transaction Messaging
FR3028639B1 (fr) * 2014-11-17 2016-12-23 Oberthur Technologies Procede de securisation d'un jeton de paiement
US10218510B2 (en) 2015-06-01 2019-02-26 Branch Banking And Trust Company Network-based device authentication system
US9942217B2 (en) 2015-06-03 2018-04-10 At&T Intellectual Property I, L.P. System and method for generating a service provider based secure token
CN105243318B (zh) * 2015-08-28 2020-07-31 小米科技有限责任公司 确定用户设备控制权限的方法、装置及终端设备
US10122719B1 (en) * 2015-12-31 2018-11-06 Wells Fargo Bank, N.A. Wearable device-based user authentication
DE102016213104A1 (de) * 2016-07-18 2018-01-18 bitagentur GmbH & Co. KG Token-basiertes Authentisieren mit signierter Nachricht
FR3074944B1 (fr) * 2017-12-08 2021-07-09 Idemia Identity & Security France Procede de securisation d'une transaction electronique
US11720660B2 (en) 2019-01-28 2023-08-08 EMC IP Holding Company LLC Temporary partial authentication value provisioning for offline authentication
US11296874B2 (en) 2019-07-31 2022-04-05 Bank Of America Corporation Smartwatch one-time password (“OTP”) generation
US11451558B2 (en) * 2020-03-16 2022-09-20 The Boeing Company Information system end user location detection technique
US11259181B2 (en) * 2020-07-09 2022-02-22 Bank Of America Corporation Biometric generate of a one-time password (“OTP”) on a smartwatch

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6779112B1 (en) * 1999-11-05 2004-08-17 Microsoft Corporation Integrated circuit devices with steganographic authentication, and steganographic authentication methods
US20020194499A1 (en) * 2001-06-15 2002-12-19 Audebert Yves Louis Gabriel Method, system and apparatus for a portable transaction device
US7966497B2 (en) * 2002-02-15 2011-06-21 Qualcomm Incorporated System and method for acoustic two factor authentication
GB2419016A (en) * 2004-10-08 2006-04-12 Arnon Speiser Cellular authentication token
US20060136739A1 (en) * 2004-12-18 2006-06-22 Christian Brock Method and apparatus for generating one-time password on hand-held mobile device

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101069059B1 (ko) * 2009-03-25 2011-09-29 주식회사 케이티 검증 코드를 이용하여 상담 검증을 수행하는 방법
KR101033337B1 (ko) * 2009-04-30 2011-05-09 (주)라람인터랙티브 단말기 사용자의 본인확인을 강화한 보안 인증방법
US9554419B2 (en) 2009-11-09 2017-01-24 Samsung Electronics Co., Ltd Pairing method and apparatus for ad-hoc connection in wireless communication terminal

Also Published As

Publication number Publication date
AP2009004744A0 (en) 2009-02-28
WO2007145540A3 (en) 2008-03-06
AU2007259489A1 (en) 2007-12-21
NZ547903A (en) 2008-03-28
JP2009540458A (ja) 2009-11-19
CN101438531A (zh) 2009-05-20
WO2007145540A2 (en) 2007-12-21
ZA200704882B (en) 2009-09-30
EP2027668A2 (en) 2009-02-25
US20090300738A1 (en) 2009-12-03
CA2649684A1 (en) 2007-12-21

Similar Documents

Publication Publication Date Title
KR20090025292A (ko) 인증 방법 및 시스템
EP1807966B1 (en) Authentication method
US9325708B2 (en) Secure access to data in a device
US7603565B2 (en) Apparatus and method for authenticating access to a network resource
KR20090031672A (ko) 무선 트랜잭션을 위한 인증 방법
EP1933252A1 (en) Dynamic OTP Token
CN111615105B (zh) 信息提供、获取方法、装置及终端
RU2610419C2 (ru) Способ, сервер и система для идентификации человека
US8613065B2 (en) Method and system for multiple passcode generation
WO2009101549A2 (en) Method and mobile device for registering and authenticating a user at a service provider
KR101210260B1 (ko) 통합센터를 이용한 유심칩기반 모바일 오티피 인증장치 및 인증방법
JP2008522470A (ja) 端末ユーザ識別情報モジュールを接続した通信端末を保護する方法
EP1862948A1 (en) IC card with OTP client
CN108616352B (zh) 基于安全元件的动态口令生成方法和系统
JP4409497B2 (ja) 秘密情報送信方法
US20150302506A1 (en) Method for Securing an Order or Purchase Operation Means of a Client Device
Boyd TLS client handshake with a payment card
KR20100119458A (ko) 모바일 뱅킹을 위한 오티피 생성 조건 등록방법 및 시스템과 이를 위한 서버와 기록매체

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid