利用浏览器的网页存储器的简单认证方法及系统与流程
本发明涉及一种利用浏览器的网页存储器的简单认证方法及系统,更具体而言,涉及一种如下的方法及系统:利用存储于网页存储器的简单认证数据发放按使用设备及浏览器的一次性公钥及私钥,并利用发放的公钥及私钥执行简单认证。
背景技术:
随着互联网服务的发展,大部分人通过互联网利用政府机关、教育机构、医疗机构、通信公司、金融公司、旅客公司、资产管理、信用信息、门户网站、社交网络服务(sns:socialnetworkservice)、游戏、购物、售票、快递、电子投票等诸多在线服务。
因此,想要利用这种服务的用户需要输入包括自己的实名等的个人信息来加入会员,或者输入特定账号和密码来认证是已加入的用户。但是,对多个网站反复进行这种认证步骤相当繁琐,因此,最近正在发展一种称为简单认证的方法,该方法能够更容易地帮助登录,使得在互联网上容易地进行金融交易。
另外,过去主要用于这种认证用户的方法的方式是使用对称密钥的方法。然而,这种对称密钥方式的问题在于,由于服务器和终端一同使用一个秘密密钥,因此对于黑客攻击不安全。
另外,为了解决这种问题,发展了一种利用公钥(publickey)和私钥(privatekey)的组合对数据进行加密并执行认证的方法。
但是,在使用现有的用于用户认证的公钥(publickey)和私钥(privatekey)时,浏览器存储库(localstorage)仍然使用着明文存储方式,因此存在很多安全性问题。当然,尽管作为安全策略而使用加密方法,但是这种方法仍然存在个人信息泄漏或安全问题。因此,为了解决这种问题,需要一种公钥(publickey)和私钥(privatekey)的安全保管及其使用方法。
技术实现要素:
技术问题
本发明的期望解决的技术问题在于,在利用浏览器的网页存储器的简单认证方法及系统中,能够利用存储于网页存储器的简单认证数据来发放按使用设备及浏览器的一次性公钥,并利用发放的公钥执行简单认证,从而强化个人信息的保护和安全性。
并且,可以采取将生成的私钥存储在服务器的会话中并将针对存储的会话的会话密钥和公钥发送到终端的方式,从而执行二次认证。
并且,存储在服务器中的公钥可以存储在区块链中,以防止公钥的伪造和篡改,并且认证日志数据可以存储在区块链中,以确保认证的不可否认性和完整性。
本发明期望解决的技术问题并不局限于以上提及的技术问题,本领域技术人员可以通过下文的记载而明确理解未提及的其他技术问题。
技术方案
用于解决上述技术问题的根据本发明的一方面的一种利用浏览器的网页存储器的简单认证方法包括如下步骤:服务器以接收到的用户密钥为基础生成认证令牌、公钥及私钥并存储在会话中,并将与所述会话对应的会话密钥、所述认证令牌及所述公钥发送到终端;所述终端利用接收到的所述公钥对用户输入的pin号码数据进行加密,并将加密的数据与接收到的所述会话密钥一起发送到所述服务器;以及所述服务器利用与接收到的所述会话密钥对应的所述私钥对所述pin号码数据进行解密,从而执行简单认证,其中,所述用户密钥可以存储于终端的网页存储器,并按设备或浏览器不同地设置。
并且,所述公钥可以存储于区块链并利用于验证是否被篡改或伪造。
并且,执行所述简单认证的步骤还可以包括如下步骤:所述服务器以通过接收到的所述会话密钥而呼叫的私钥为基础来恢复加密的pin号码数据以进行第一次认证;如果第一次认证通过,则在所述终端利用所述公钥对所述认证令牌进行加密,并将加密的数据与接收到的所述会话密钥一起发送到服务器;以及在所述服务器中,通过将以所述私钥为基础恢复的认证令牌与存储在所述会话中的认证令牌进行比较来执行第二次认证,然后删除所述会话。
并且,所述用户密钥可以通过加密算法而被加密,pin号码被哈希加密并存储到所述网页存储器。
并且,将所述公钥发送到终端的步骤可以包括如下步骤:查询所述服务器的认证策略;以及根据所述服务器的认证策略,在所述终端通过简单认证方式或利用用户公钥查询用户密钥。
并且,将所述公钥发送到终端的步骤还可以包括如下步骤:终端判断所述用户密钥是否存储于所述网页存储器;以及在未存储有所述用户密钥的情况下,所述终端被用户注册pin号码。
并且,执行所述简单认证的步骤可以是每当所述pin号码不匹配时更新认证尝试次数,并且当所述认证尝试次数增加预定数量以上时删除存储在所述服务器和/或终端中的pin号码数据的步骤。
还可以包括如下步骤:从生成的所述公钥及私钥中提取系数(modulus)、私人指数(privateexponent)及公开指数(publicexponent);将所述私人指数存储于终端,并且将所述系数及公开指数存储于服务器;以及使用利用存储于所述终端的私人指数和存储于所述服务器的系数而生成的私钥及利用存储于所述服务器的公开指数和系数而生成的公钥来执行简单认证。
执行所述简单认证的步骤可以包括如下步骤:所述服务器根据简单认证请求向所述终端发送所述系数;所述终端利用接收到的系数及存储的所述私人指数来生成私钥;利用生成的所述私钥来进行数据的加密及电子签名;将所述加密的数据及电子签名发送到服务器;以及将所述私钥废弃。
并且,执行所述简单认证的步骤还可以包括如下步骤:所述服务器利用所述系数及所述公开指数来生成公钥;利用生成的所述公钥对从所述终端接收到的加密的数据进行解密,并利用所述电子签名来执行验证;以及将所述公钥废弃。
用于解决上述技术问题的根据本发明的另一方面的一种利用浏览器的网页存储器的简单认证系统包括:服务器,以接收到的用户密钥为基础生成认证令牌、公钥及私钥并存储在会话中,并将与所述会话对应的会话密钥、所述认证令牌及所述公钥发送到终端,在从所述终端接收到加密的数据和会话密钥时利用与接收到的会话密钥对应的私钥对所述pin号码数据进行解密来执行简单认证;以及终端,以用户密钥为基础请求发放公钥,并利用从服务器接收的公钥来对用户输入的pin号码数据进行加密,并将加密的数据与接收到的所述会话密钥一起发送到服务器,其中,所述用户密钥存储于终端的网页存储器,并按设备或浏览器而不同地设置。
并且,所述公钥可以存储于区块链并利用于验证是否被篡改或伪造。
并且,所述服务器以通过接收到的所述会话密钥而呼叫的私钥为基础来恢复加密的pin号码数据以进行第一次认证,所述终端如果所述第一次认证通过,则在所述终端利用所述公钥对所述认证令牌进行加密,将加密的数据与接收到的所述会话密钥一起发送到服务器,服务器执行如下操作:通过将以所述私钥为基础恢复的认证令牌与存储于所述会话中的认证令牌进行比较来执行第二次认证,然后删除所述会话。
并且,每当所述pin号码不匹配时,所述服务器可以更新认证尝试次数,并且当所述认证尝试次数增加预定数量以上时,删除存储于所述服务器和/或终端的pin号码数据。
本发明的其他具体事项包括于详细的说明及附图。
技术效果
本发明可以通过利用存储于网页存储器的简单认证数据来按设备或浏览器发放不同的私钥而执行认证。并且,每当请求认证时支持基于公钥的一次性密钥的生成,从而在简单认证方式中能够提供更强的安全性,因此可以提供具有足够高的可靠性且简单的认证方法以替代数字证书。
本发明的效果并不局限于以上提及的效果,本领域技术人员可以通过下文的记载而明确理解未提及的其他效果。
附图说明
图1是用于说明根据本发明的利用浏览器的网页存储器的简单认证系统的示意图。
图2是说明根据本发明的利用网页存储器的简单认证方法的顺序图。
图3是说明根据本发明而注册pin号码的一示例的图。
图4是说明根据本发明而执行利用网页存储器的简单认证的一示例的顺序图。
图5是说明根据本发明而执行利用网页存储器的简单认证的另一示例的顺序图。
图6是示意性地示出根据本发明的执行利用网页存储器的简单认证过程的服务器的内部构成的框图。
图7是示意性地示出根据本发明的执行利用网页存储器的简单认证过程的终端的内部构成的框图。
图8是用于说明根据本发明的通过公钥及私钥的构成要素的分布式存储的简单认证系统的示意图。
图9是说明根据本发明的通过公钥及私钥的构成要素的分布式存储的简单认证方法的顺序图。
图10是说明根据本发明的执行公钥及私钥的构成要素的分布式存储的方法的一示例的图。
图11是说明根据本发明的在终端生成私钥的一示例的顺序图。
图12是说明根据本发明的在服务器生成公钥的一示例的顺序图。
图13是示意性地示出根据本发明的通过公钥及私钥执行构成要素的分布式存储的简单认证过程的服务器的内部构成的框图。
图14是示意性地示出根据本发明的通过公钥及私钥执行构成要素的分布式存储的简单认证过程的终端的内部构成的框图。
具体实施方式
参照与附图一起详细后述的实施例,则可以明确本发明的优点和特征以及达成这些的方法。然而本发明可以实现为互不相同的多种形态,并不限于以下公开的实施例,提供本实施例仅使本发明的公开完整并用于向本发明所属技术领域中具有普通知识的人员完整地告知本发明的范围,本发明仅由权利要求的范围所定义。
本说明书中使用的术语用于说明实施例,而不是限制本发明。在本说明书中,除非在语句中特别提到,单数型也包括复数型。说明书中使用的“包含(comprises)”和/或“包括(comprising)”不排除除了所提及的构成要素之外的一个以上的其他构成要素的存在或添加。贯穿整个说明书,相同的附图标记指代相同的构成要素,“和/或”包括所提及的构成要素中的每一个和一个以上的所有组合。虽然“第一”、“第二”等用于叙述多种构成要素,但这些构成要素显然不受限于这些术语。这些术语仅用于将一个构成要素与另一构成要素进行区分。因此,以下提及的第一构成要素在本发明的技术思想内,显然也可以是第二构成要素。
除非有其他定义,否则本说明书中所使用的所有术语(包括技术及科学术语)可使用于能够被本发明所属技术领域的普通技术人员共同理解的含义。并且,一般所使用的词典中定义的术语不会被理想地或过度地解释,除非有特别明确地定义。
作为空间上相对性的术语的“下面(below)”、“下方(beneath)”、“下部(lower)”、“上方(above)”、“上部(upper)”等可以用于如图所示地方便描述一个构成要素和另一构成要素之间的相关关系。空间上相对性的术语应当理解为除了图中所示的方向以外还包括使用时或者操作时构成要素的彼此不同的方向的术语。例如,当翻转图中所示的构成要素时,描述为在另一构成要素的“下面(below)”或者“下方(beneath)”的构成要素可以置于另一构成要素的“上方(above)”。因此,作为示例性的术语的“下方”可以包括下方和上方这两个方向。构成要素也可以沿其他方向定向,因此空间上相对性的术语可以根据定向来解释。
以下,参照附图对本发明的实施例进行详细说明。
图1是用于说明根据本发明的利用浏览器的网页存储器的简单认证系统的示意图。
参照图1,根据本发明的利用浏览器的网页存储器的简单认证系统可以包括服务器100及终端200。
首先,服务器100和终端200可以通过ssl加密方式对所有通信区间10执行端到端(end-to-end)加密。首先,服务器100可以生成公钥和私钥并将其存储在会话中,然后在步骤101中分发公钥,并且将针对与公钥对应的会话的会话密钥发送到终端200。
终端200可以在步骤201中对接收到的会话密钥执行加密,并在步骤202中利用接收到的公钥对简单认证数据进行加密。这里,简单认证数据可以包括用户密钥和pin号码数据。在步骤101中,服务器100验证接收到的认证信息的完整性,在步骤102中,当从终端200接收到加密的数据和会话密钥时,服务器100可以通过利用对应于会话密钥的私钥来解密所述pin号码数据而执行简单认证。另外,认证令牌可以单独用于传递信息完整性验证,并且可以通过使用认证令牌以两个步骤执行简单认证来进一步增强安全性。
在步骤203中,终端200最终以简单认证结果为基础执行登录等操作。
根据另一实施例的简单认证方法中,用于简单认证的信息可以存储在区块链中,并在认证步骤中得以验证。
例如,用于简单认证的公钥信息可以存储在区块链中。简单认证信息基于公钥和私钥被加密和解密,此时可能会发生用于加密用户输入的pin号码的公钥被篡改/捏造的情况。因此,为了防止这种情况,以区块链方式存储公钥来确保可靠性,且即使没有服务器100也可从终端200获取公钥来加密pin号码。
作为另一示例,基于公钥加密的认证数据(用户密钥和pin号码)可以存储在区块链中。因此,服务器100或终端基于区块链来执行用户输入的pin号码的认证及验证,从而降低篡改可能性,进而可以提高可靠性。
如上所述,根据本发明的利用浏览器的网页存储器的简单认证系统利用存储于网页存储器的简单认证数据,按使用设备及浏览器发放一次性公钥,并利用发放的公钥执行简单认证,从而能够强化个人信息的保护和安全性。
并且,通过采取将生成的私钥存储在服务器100的会话中并将针对存储的会话的会话密钥和公钥发送到终端200的方式来执行二次认证,从而可以进一步增强安全性。
进一步,可以通过将存储在服务器中的公钥存储到区块链来确保防止公钥的伪造和篡改,并且可以通过将认证日志数据存储于区块链来确保认证的不可否认性和完整性。
图2是说明根据本发明的利用网页存储器的简单认证方法的顺序图。
参照图2,在根据本发明的利用网页存储器的简单认证方法中,在步骤s200中服务器100以接收到的用户密钥为基础生成认证令牌、公钥及私钥并存储在会话中,并将与会话对应的会话密钥、认证令牌及所述公钥发送到终端200。这里,用户密钥可以存储在终端200的网页存储器中,并且可以按设备或浏览器而不同地设置。
然后,在步骤s210中,在根据本发明的利用网页存储器的简单认证方法中终端200利用接收到的公钥对用户输入的pin号码数据进行加密,并将加密的数据与接收到的会话密钥一起发送到服务器100。
然后,在步骤s220中,根据本发明的利用网页存储器的简单认证方法中,服务器100利用与接收到的会话密钥对应的私钥对所述pin号码数据进行解密,从而执行简单认证。
更具体而言,服务器100以通过接收到的会话密钥而呼叫的私钥为基础来恢复加密的pin号码数据,从而进行第一次认证。在此,对第一次认证而言,在服务器中存储有与用户密钥对应的pin号码数据的情况下,在服务器中执行认证,并且在终端中存储有与用户密钥对应的pin号码数据的情况下,在终端中执行认证。当然,可以在服务器和终端中执行交叉验证。如果通过了第一次认证,则在终端200利用所述公钥对所述认证令牌进行加密,并将加密的数据与接收到的所述会话密钥一起发送给服务器100。如果因pin号码不匹配而未通过第一次认证,则服务器100对按用户密钥的认证尝试次数进行计数,并且当累积计数为预定值以上时,考虑到黑客行为的可能性,将删除存储在服务器100和/或终端200中的pin号码数据。
另外,服务器100通过将以私钥为基础恢复的认证令牌与存储在会话中的认证令牌进行比较来执行第二次认证,然后删除所述会话。即,每当请求认证时,会话和会话密钥一次性地生成,当完成认证时,会话和会话密钥被删除,从而防止生成的密钥被泄漏。
以下,参照图3至图5详细说明根据本发明的简单认证方法中注册用户pin号码的一示例及执行简单认证的一示例。
图3是说明根据本发明而注册pin号码的一示例的图。
参照图3,当在步骤300中用户请求pin注册时,在步骤301中,终端200判断pin是否注册。如果pin已注册,则立即进行pin认证步骤。另外,pin认证步骤将在有关图4及图5的说明中进行详细说明。
若在步骤301中判断为未注册pin,则终端200进行到步骤303而执行本人认证或id/pw认证。然后,将基于认证结果来获取的用户信息发送到服务器100。在此,用户信息可以是与ci或用户id联动的信息,或者可以是通过基干系统查询的信息。
在步骤304中,服务器以用于pin注册的用户信息为基础来生成注册令牌。在此,注册令牌可以是以主机名和时间戳结合于用户的浏览器信息的形态进行哈希加密的数据。
然后,在步骤305中,查询pin号码策略。在步骤306中,利用用户信息生成公钥和私钥。然后,在步骤307中,以用户信息为基础来生成pin用户密钥。例如,pin用户密钥可以是在用户信息中添加浏览器信息和服务域信息的数据。因此,用户密钥也可以在终端200生成并被传递至服务器100。
在步骤308中,服务器将生成的注册令牌和私钥存储在会话中,并将pin号码策略、公钥、会话密钥和pin用户密钥发送到终端。
在步骤309中,终端200从用户接收pin号码。在步骤310中,终端200确认是否被输入有基于所接收的pin号码策略的pin号码。例如,在相同的数字或连续数字不符合标准的情况下,判断为错误,并重复步骤309。
在步骤311中,符合pin号码策略的pin号码数据基于公钥而被加密。并且,终端200将基于公钥来加密的pin用户密钥、pin号码、注册令牌和会话密钥再次发送到服务器。此时,在终端200与服务器100之间使用ssl通信,从而能够强化安全性。
在步骤312中,服务器100可以利用与接收到的会话密钥相对应的私钥来对接收到的数据进行解密。
在步骤313中,服务器100检查注册令牌。例如,以浏览器和主机名注册信息为基础来确认注册令牌是否被再次使用,或者利用时间戳来检查有效时间是否已过。如果确认了再次使用,则进行到步骤314而删除会话,并在步骤315中结束pin注册程序。
另外,服务器100在步骤316中再次确认pin号码策略,然后在步骤317中检查与pin号码相关的其他策略。例如,可以通过基干系统的注册信息来查询是否包括有出生年月日、手机号码。
如果与pin号码相关的其他策略的检查通过,则在步骤318中删除会话,并进行到步骤319和步骤320,存储pin用户密钥的注册令牌和pin号码。
然后,pin用户密钥、pin号码、认证策略传递到终端200,并且在步骤321中,根据网页存储器的支持与否,被存储于网页存储器(步骤322)或存储于cookie(步骤323),当存储完成时,在步骤324中,结束pin注册程序。另外,pin用户密钥可以通过加密算法而被加密,且pin号码可以被哈希加密。
如上所述,在pin号码注册完成之后,可以利用根据后述的图4或图5的实施例而注册的pin号码来执行认证。图4示出服务器100执行第一次认证并且终端200执行验证的方法,图5示出终端200执行第一次认证并且服务器100执行验证的方法。另外,对于本发明所属技术领域的技术人员显而易见的是,在后述的操作中的一部分简单认证程序可以利用区块链来实现。
图4是说明根据本发明而执行利用网页存储器的简单认证的一示例的顺序图。
参照图4,在步骤400中,开始pin认证程序。通过步骤401至步骤409,判断是否需要pin号码注册。首先,在步骤401中,服务器100查询认证策略并将认证策略传递到终端200,并且终端200查询用户密钥并在步骤403中判断pin是否注册。如果pin号码已注册在网页存储器中,则服务器100确认pin注册是否被解除(步骤404)或有效期是否到期(步骤405),据此,解除pin号码(步骤406),并存储解除日志(步骤407),然后最终在终端200解除pin(步骤408),并在步骤409中重新进行pin注册程序。
在步骤410中,当确认pin注册时,服务器100生成用于简单认证的认证令牌并存储在会话中,并传递给终端200。在此,认证令牌可以是主机名、ip、时间戳被结合的形态的数据。
当终端200接收到认证令牌时,在步骤411中,从用户接收pin号码,并在步骤412中请求公钥。
在步骤413中,服务器100以用户密钥为基础生成公钥和私钥,并且生成公钥和私钥并存储在会话中,并将与会话对应的会话密钥和公钥传递到终端200。
在步骤414中,终端200利用接收到的所述公钥,对用户输入的pin号码数据进行加密,并将加密的数据与接收到的所述会话密钥一起发送到服务器。
在步骤415中,服务器100利用与接收到的所述会话密钥对应的私钥对所述pin号码数据进行解密,在步骤416中,确认pin认证尝试次数是否超过。如果pin认证尝试次数已超过,则执行步骤417至步骤421来结束pin认证。
在步骤422中,增加pin认证尝试次数,在步骤423中,执行确认pin号码是否与存储在服务器100中的pin号码一致的第一次认证。可以在步骤425的终端200和/或服务器100中执行相同的操作。如果pin号码不一致,则在步骤424中存储认证失败日志,并再次重复步骤411的pin号码输入步骤。如果第一次认证通过,则终端200利用从服务器接收的公钥对认证令牌进行加密,并将加密的数据与已接收的会话密钥一起发送到服务器。
在步骤426中,服务器100检查认证令牌。例如,执行第二次认证以确定认证令牌是否被再次使用或认证有效时间是否已过。
如果检查未通过,则删除会话(步骤427),并存储认证失败日志(步骤428),然后结束pin认证(步骤429)。如果认证令牌检查通过,则服务器100删除会话(步骤430),并且单独存储认证令牌(步骤431),并初始化认证尝试次数(步骤432)。在步骤433中,最终完成通过pin号码简单认证的终端200的登录。
图5是说明根据本发明而执行利用网页存储器的简单认证的另一示例的顺序图。
当在步骤500中开始pin认证时,在步骤501中判断pin是否被注册,并且当pin未被注册时,进行步骤502以执行图示于图3的上述的注册步骤。
在步骤503中,当确认为pin被注册时,查询存储在网页存储器或cookie中的用户密钥并传递到服务器。服务器100在步骤504中检查pin注册是否被解除,并在步骤505中检查pin号码有效期。
如果pin注册被解除或解除,则通过步骤506至509执行pin注册程序。
在步骤510中,当确认到pin注册时,服务器100生成用于简单认证的认证令牌并存储在会话中,并传递给终端200。在此,认证令牌可以是主机名、ip、时间戳被结合的形态的数据。
当接收到认证令牌时,终端200在步骤511中从用户接收pin号码,并且在步骤512中请求公钥。
在步骤513中,服务器100以用户密钥为基础生成公钥和私钥,并且生成公钥和私钥并存储在会话中,并将与会话对应的会话密钥和公钥传递到终端200。
在步骤514中,终端200利用接收到的所述公钥,对用户输入的pin号码数据进行加密,并将加密的数据与接收到的所述会话密钥一起发送到服务器。
在步骤515中,服务器100利用与接收到的所述会话密钥对应的私钥对所述pin号码数据进行解密,在步骤516中,确认pin认证尝试次数是否超过。如果pin认证尝试次数已超过,则执行步骤517至步骤522来结束pin认证。
在步骤523中,服务器100对解密的pin号码进行哈希加密,并将其发送到终端200。在步骤524中,终端200检查接收到的pin号码与存储的pin号码是否一致。如果pin号码不一致,则在步骤532中存储认证失败日志,并再次重复步骤511的pin号码输入步骤。如果第一次认证通过,则终端200利用公钥对从服务器已接收的用户密钥、pin号码和认证令牌进行加密,并将加密的数据与已接收的会话密钥一起发送到服务器。
在操作526中,服务器100利用与会话密钥对应的私钥来对认证令牌、用户密钥和pin号码进行解密,在操作527中,服务器100检查认证令牌。例如,执行第二次认证以确定认证令牌是否被再次使用或认证有效时间是否已过。
如果检查不通过,则删除会话(步骤528),并存储认证失败日志(步骤529),然后结束pin认证(步骤530)。如果认证令牌检查通过,则服务器100执行pin号码检查(步骤531),如果检查不通过,则存储认证失败日志(步骤532),如果检查通过,则删除会话(步骤533)。服务器100单独存储认证令牌(步骤534),并初始化认证尝试次数(步骤535)。在步骤536中,最终完成通过pin号码简单认证的终端200的登录。
图6是示意性地示出根据本发明的执行利用网页存储器的简单认证过程的服务器100的内部构成的框图,图7是示意性地示出根据本发明的执行利用网页存储器的简单认证过程的终端200的内部构成的框图。
图6和图7仅示出了说明本发明所需的构成,但是还可以包括诸如显示装置等的多样的构成。并且,对于本发明所属技术领域的技术人员显而易见的是,即使在针对图6和图7的说明中省略,也可以进一步包括执行图1至图5所述的方法所需的构成。
参照图6,根据本发明的服务器100可以包括处理器130、存储器140和通信部150。执行简单认证的服务器100的操作可以以通过处理器130运行存储于存储器140的程序的方式来执行。
在根据本发明的处理器130中执行的运算可以包括如下步骤:以接收到的用户密钥为基础生成认证令牌、公钥和私钥并存储在会话中;将与所述会话对应的会话密钥、所述认证令牌和所述公钥发送到终端;当从所述终端接收到加密的数据和会话密钥时,利用与接收到的会话密钥对应的私钥对pin号数据进行解密,从而执行简单认证。
并且,处理器130还可以以通过接收到的会话密钥而呼叫的私钥为基础来恢复加密的pin号码数据以进行第一次认证。
并且,处理器130可以执行如下操作:通过将以私钥为基础恢复的认证令牌与存储在所述会话中的认证令牌进行比较来执行第二次认证,然后删除会话。
并且,处理器130可以在每当恢复的所述pin号码不匹配时更新认证尝试次数,并且当所述认证尝试次数增加预定数量以上时删除存储在所述服务器和/或终端中的pin号码数据。
在本发明中,通信部150可以执行终端200与另一服务器或另一外部装置之间的无线或有线通信。例如,通信部150可以以ssl方式与终端200执行加密通信,并且可以发送公钥和加密数据。
参照图7,根据本发明的终端200可以包括处理器230、存储器240、通信部250和输入部260。简单认证终端200的操作可以以通过处理器230运行存储在存储器240的程序的方式来执行。
根据本发明的处理器230中执行的运算可以包括如下步骤:以用户密钥为基础请求发布公钥;利用从服务器接收的公钥对用户输入的pin号码数据进行加密;将加密的数据与接收到的所述会话密钥一起发送到服务器。所述用户密钥和pin号码可以存储在终端的网页存储器中,并且可以按设备或浏览器而不同地设置。
作为另一示例,处理器230可以利用公钥对认证令牌进行加密,并将加密的数据与从服务器100接收的会话密钥一起发送到服务器。
作为又一示例,基于公钥而加密的认证数据(用户密钥和pin号码)可以存储在区块链中。因此,处理器230可以通过基于区块链执行用户输入的pin号码的认证和验证来降低篡改可能性,从而提高可靠性。
作为又一示例,处理器230可以利用存储在区块链中的公钥来对用户输入的pin号码数据进行加密。
另外,上述服务器100和终端200可以包括一个以上的处理器130、230和/或一个以上的存储器140、240。并且,存储器140、240可以包括易失性和/或非易失性存储器。一个以上的存储器140、240可以存储用于在由一个以上的处理器130、230执行操作时使一个以上的处理器130、230执行运算的指令。在本发明中,程序或指令是存储在存储器140、240中的软件,并且可以包括用于控制服务器100的资源的操作系统、应用和/或向应用提供多样的功能而使应用可以利用装置的资源的中间件等。
一个以上的处理器130、230可以驱动软件(例如,程序或指令)以控制与处理器130、230连接的服务器100和终端200中的至少一个构成要素。并且,处理器130、230可以执行与本公开相关的多样的运算、处理、数据生成、加工等的操作。并且,处理器130、230可以从存储器140、240加载数据等,或者将数据等存储在存储器140、240中。
在本发明中,可以省略服务器100和终端200的构成要素中的至少一个,或者可以添加其他构成要素。并且,附加地(additionally)或大致地(alternatively),一部分构成要素可以整合而体现,或者可以体现为单个或多个个体。
上述的通信部150、250可以根据增强移动宽带(embb:enhancedmobilebroadband)、超可靠低延迟通信(urllc:ultrareliablelow-latencycommunications)、大规模机器类通信(mmtc:massivemachinetypecommunications)、长期演进(lte:long-termevolution)、高级lte(lte-a:lteadvance)、通用移动通信系统(umts:universalmobiletelecommunicationssystem)、全球移动通信系统(gsm:globalsystemformobilecommunications)、码分多址(cdma:codedivisionmultipleaccess)、宽带码分多址(wcdma:widebandcdma)、无线宽带(wibro:wirelessbroadband)、wifi(wirelessfidelity)、蓝牙(bluetooth)、近场通信(nfc:nearfieldcommunication)、全球定位系统(gps:globalpositioningsystem)或全球导航卫星系统(gnss:globalnavigationsatellitesystem)等方式来执行无线通信。
上述的输入部260可以包括键盘、鼠标、触摸板、相机模块等将用户的简单认证信息(pin号码)输入到终端200的手段。
另外,与本发明相关地说明的方法或者算法的步骤可以直接由硬件来实现,或者借由通过硬件执行的软件模块来实现,或者借由这些的结合来实现。软件模块可以驻留在ram(randomaccessmemory)、rom(readonlymemory)、可擦除可编程只读存储器(eprom:erasableprogrammablerom)、电可擦除可编程只读存储器(eeprom:electricallyerasableprogrammablerom)、闪存(flashmemory)、硬盘、可移动盘、cd-rom或者本发明所属技术领域中公知的任意形态的计算机可读记录介质中。
并且,本发明可以提供一种为了在移动网络或pc网络上进行简单认证,基于公钥生成一次性密钥,使用后立即放弃一次性密钥的简单认证方法,尤其,可以利用网页存储器发放按使用设备及浏览器的私钥。
并且,本发明可以通过将公钥(publickey)及私钥(privatekey)要素的分布式存储于终端及服务器的方法来强化个人信息和安全性。
并且,本发明利用被分布式存储的公钥(publickey)及私钥(privatekey)要素来支持一次性密钥的生成,从而在简单认证方式中能够提供更强的安全性。即,可以不存储密钥值而在需要时生成并废弃密钥值,从而防止密钥值的泄漏。并且,可以利用网页存储器在一个平台发放并存储按使用设备及浏览器的私钥,因此,可以效率化实现费用及管理费用。
进而,由于可以利用存储在浏览器存储库及服务器的要素来使用安全性增强的公钥和私钥,因此可以提供具有足够高的可靠性且简单的认证方法以替代数字证书。
以下,参照图8至图14,对本发明的通过分布式存储公钥及私钥要素的简单认证过程进行详细说明。
图8是用于说明根据本发明的通过公钥及私钥的构成要素的分布式存储的简单认证系统的示意图。
参照图8,根据本发明的简单认证系统可以包括服务器1000和终端2000。具体而言,在简单认证系统中,终端2000基于私钥对数据(用于通过互联网利用政府机关、教育机关、医疗机关、通信公司、金融公司、旅客公司、资产管理、信用信息、门户网站、社交网络服务(sns:socialnetworkservice)、游戏、购物、售票、快递、电子投票等诸多在线服务的用户认证所需的数据)进行加密并发送到服务器1000,则服务器1000可以基于公钥对数据进行解密并对用户进行认证。相反,服务器1000可以将基于公钥的加密数据发送到终端,并且终端2000可以基于私钥对加密数据进行解密。另外,为了上述的简单认证而通过私钥加密的数据可以包括pin用户密钥及pin号码。
但是,这种用户认证方式所需的公钥和私钥使用明文存储方式存储于浏览器存储库(localstorage)的情况较多,因此容易发生安全性问题。当然,作为安全对策采用着加密方式,虽然如此,但这种方法仍然存在个人信息泄露或安全性问题。
因此,根据本发明的简单认证系统在服务器1000生成的公钥及私钥中提取系数(modulus)1100、私人指数(privateexponent)2100及公开指数(publicexponent)1200后,将所述私人指数2100存储于终端2000,并将所述系数1100及公开指数1200存储于服务器1000,从而能够强化安全性。
即,简单认证系统在进行简单认证时,利用存储于终端2000的私人指数2100和存储于服务器1000的系数1100来生成私钥,或者利用存储于服务器1000的公开指数1200和系数1100来生成公钥。
另外,根据本发明的简单认证系统可以利用区块链分布式存储用于生成这种私钥及公钥的系数1100、公开指数1200,从而即使没有中央服务器1000也能够实现上述的简单认证系统。
因此,上述的简单认证系统利用被分布式存储的公钥(publickey)及私钥(privatekey)要素来支持一次性密钥的生成,从而在简单认证方式中能够提供更强的安全性。即,可以不存储密钥值而在需要时生成并废弃密钥值,从而防止密钥值的泄漏。并且,若利用网页存储器存储私钥要素,则可以在一个平台发放并存储按使用设备及浏览器的私钥,因此,可以效率化实现费用及管理费用。
进而,由于可以利用存储在浏览器存储库及服务器的要素来使用安全性增强的公钥和私钥,因此可以提供具有足够高的可靠性且简单的认证方法以替代数字证书。
以下,参照图9至图14,对通过分布式存储公钥及私钥的构成要素的简单认证方法及装置进行更详细的说明。
图9是说明根据本发明的通过公钥及私钥的构成要素的分布式存储的简单认证方法的顺序图。
参照图9,在步骤s900中,根据本发明的简单认证系统为了执行用户简单认证而在服务器1000生成公钥及私钥。在此,所述公钥可以是与用户识别数据关联而以rsa方式生成的。
接着,在步骤s910中,简单认证系统从生成的公钥及私钥中提取系数(modulus)、私人指数(privateexponent)及公开指数(publicexponent)。在此,公开指数可以转换为十六进制数而进行编译,因此,当以后生成公钥时,也可以使用编译状态的数据。
在步骤s920中,简单认证系统将私人指数存储在终端2000,并将系数和公开指数存储在服务器1000。
在步骤s930中,简单认证系统使用利用存储于终端2000的私人指数和存储于服务器1000的系数而生成的私钥及利用存储于服务器1000的公开指数和系数而生成的公钥来执行简单认证。
另外,利用存储在终端2000中的私人指数和存储在服务器1000中的系数生成的私钥和利用存储在服务器中的公开指数和系数生成的公钥可以在加密或解密中被使用一次之后被废弃。
以下,参照图10至图12,对上述的简单认证系统中服务器1000及终端2000的操作进行更详细的说明。
图10是说明根据本发明的执行公钥及私钥的构成要素的分布式存储的方法的一示例的图。
参照图10,在步骤s1010中,服务器1000生成公钥和私钥。在此生成的公钥可以与用户识别数据关联而以rsa方式生成。
接着,在步骤s1020中,服务器1000从所生成的公钥和私钥中提取系数、私人指数和公开指数。所述公开指数可以转换为十六进制数而进行编译,因此,以后生成公钥时,也可以使用编译状态的数据。
在步骤s1030中,服务器1000将所提取的私人指数发送到终端2000,并且进行步骤s1040以将系数和公开指数存储在服务器1000中。在此,公开指数可以被转换成十六进制数而进行编译。
另外,在步骤s1050中,终端2000将接收到的私人指数存储在浏览器存储库中。
图11是说明根据本发明的在终端生成私钥的一示例的顺序图。
参照图11,在步骤s1110中,当从终端2000接收到要执行简单认证的请求时,服务器1000将在图10的步骤s1040中存储的系数发送到终端2000(步骤s1120)。
在步骤s1130中,终端2000利用接收到的系数及存储的私人指数2100来生成私钥。
在步骤s1140中,终端2000利用生成的私钥执行数据加密及电子签名。然后,进行步骤s1150,终端将加密的数据和电子签名发送到服务器1000。另外,私钥在使用过一次之后立即被废弃(步骤s1160)。
在步骤s1170中,利用公钥对如上所述地发送到服务器1000的加密的数据和电子签名进行解密,并且利用发送的电子签名对解密的数据进行验证。
例如,图12是说明根据本发明的在服务器生成公钥的一示例的顺序图。
参照图12,在步骤s1171中,服务器1000利用存储的系数1100和编译的公开指数1200来生成公钥。
在步骤s1172中,服务器1000利用所生成的公钥来执行解密和验证,并且使用过一次的公钥被废弃(步骤s1173)。
因此,根据本发明,通过利用分布式存储的公钥(publickey)及私钥(privatekey)要素来支持一次性密钥生成,从而能够在简单认证方式中提供更强的安全性。
图13是示意性地示出根据本发明的通过公钥及私钥执行构成要素的分布式存储的简单认证过程的服务器1000的内部构成的框图,图14是示意性地示出根据本发明的通过公钥及私钥执行构成要素的分布式存储的简单认证过程的终端2000的内部构成的框图。
虽然图13和图14仅示出了说明本发明所需的构成,但是还可以包括诸如显示装置等的多样的构成。并且,对于本发明所属领域的技术人员显而易见的是,即使在图13和图14的说明中省略,也可以进一步包括执行图8至图12所述的方法所需的构成。
参照图13,根据本发明的服务器1000可以包括处理器1300、存储器1400和通信部1500。简单认证服务器1000的动作可以通过处理器1300运行存储于存储器1400的程序来执行。
对根据本发明的处理器1300中执行的运算而言,可以执行如下的运算:从为了执行用户简单认证而生成的公钥及私钥中提取系数(modulus)、所述私人指数及公开指数(publicexponent),将所述私人指数发送到终端,存储所述系数及公开指数,并利用公开指数和系数生成公钥。在此,一个以上的存储器1400可以存储系数和公开指数。
根据本发明的处理器1300还可以执行如下的运算:利用存储的系数和公开指数来生成公钥,利用生成的公钥对从终端接收的加密的数据进行解密,然后再次废弃公钥。
在此,公开指数转换为十六进制数并被编译,所述公钥可以与用户识别数据关联而以rsa方式生成。
并且,通信部1500可以在终端2000与另一服务器或另一外部装置之间执行无线或有线通信。例如,通信部1500可以将私人指数或系数传递给终端2000。
参照图14,根据本发明的终端2000可以包括处理器2300、存储器2400、通信部2500和输入部2600。简单认证终端2000的操作可以通过处理器2300运行存储在存储器2400的程序来执行。
在根据本发明的处理器2300中执行的运算可以包括如下运算:存储私人指数(privateexponent),在执行用户简单认证时,接收存储于服务器的系数来生成私钥。
例如,为了对通过输入部2600输入的用户的简单认证信息(例如,pin号码)进行加密,处理器2300在服务器1000接收系数,并与私人指数结合而生成私钥。
并且,处理器2300可以将利用私钥加密的数据和电子签名信息传递到服务器1000以执行简单认证。
另外,上述服务器1000和终端2000可以包括一个以上的处理器1300、2300和/或一个以上的存储器1400、2400。并且,存储器1400、2400可以包括易失性和/或非易失性存储器。一个以上的存储器1400、2400可以存储用于在由一个以上的处理器1300、2300执行操作时使一个以上的处理器1300、2300执行运算的指令。在本发明中,程序或指令是存储在存储器1400、2400中的软件,并且可以包括用于控制服务器1000的资源的操作系统、应用和/或向应用提供多样的功能而使应用可以利用装置的资源的中间件等。
一个以上的处理器1300、2300可以驱动软件(例如,程序或指令)以控制与处理器1300、2300连接的服务器1000和终端2000中的至少一个构成要素。并且,处理器1300、2300可以执行与本公开相关的多样的运算、处理、数据生成、加工等的操作。并且,处理器1300、2300可以从存储器1400、2400加载数据等,或者将数据等存储在存储器1400、2400中。
在本发明中,可以省略服务器1000和终端2000的构成要素中的至少一个,或者可以添加其他构成要素。并且,附加地(additionally)或大致地(alternatively),一部分构成要素可以整合而体现,或者可以体现为单个或多个个体。
上述的通信部1500、2500可以根据增强移动宽带(embb:enhancedmobilebroadband)、超可靠低延迟通信(urllc:ultrareliablelow-latencycommunications)、大规模机器类通信(mmtc:massivemachinetypecommunications)、长期演进(lte:long-termevolution)、高级lte(lte-a:lteadvance)、通用移动通信系统(umts:universalmobiletelecommunicationssystem)、全球移动通信系统(gsm:globalsystemformobilecommunications)、码分多址(cdma:codedivisionmultipleaccess)、宽带码分多址(wcdma:widebandcdma)、无线宽带(wibro:wirelessbroadband)、wifi(wirelessfidelity)、蓝牙(bluetooth)、近场通信(nfc:nearfieldcommunication)、全球定位系统(gps:globalpositioningsystem)或全球导航卫星系统(gnss:globalnavigationsatellitesystem)等方式来执行无线通信。
上述的输入部2600可以包括键盘、鼠标、触摸板、相机模块等将用户的简单认证信息(pin号码)输入到终端2000的手段。
另外,与本发明相关地说明的方法或者算法的步骤可以直接由硬件来实现,或者借由通过硬件执行的软件模块来实现,或者借由这些的结合来实现。软件模块可以驻留在ram(randomaccessmemory)、rom(readonlymemory)、可擦除可编程只读存储器(eprom:erasableprogrammablerom)、电可擦除可编程只读存储器(eeprom:electricallyerasableprogrammablerom)、闪存(flashmemory)、硬盘、可移动盘、cd-rom或者本发明所属技术领域中公知的任意形态的计算机可读记录介质中。
以上参照附图说明了本发明的实施例,但本领域技术人员可以理解的是,可以在不改变本发明的其技术思想或者必要特征的情况下以其他具体形态实施。因此,以上记载的实施例应当理解为在所有方面均为示例性的,而不是局限性的。
- 还没有人留言评论。精彩留言会获得点赞!