本发明涉及用于身份认证的方法和系统,并且更具体地,涉及如下的用于身份认证的方法和系统,其中通过移动终端的可变键区接收密码和签名信息,所接收到的密码和信号信息被发送到服务器并且在服务器中执行身份认证。
背景技术:
近来,随着包括使用诸如智能电话和平板个人计算机(平板pc)这样的移动终端的电子支付的金融交易的活跃,包括密码的安全问题引起了很大的兴趣。
这是因为,在智能电话的情况下,与现有的移动电话不同,任何人都能够开发应用并且结构对每个人都是已知的,因此类似于广泛使用的pc,具有易受黑客行为的脆弱性。
特别是,当使用固定键区输入密码或居民登记号码时,只要通过找出输入的触摸位置才可以容易地获得密码或居民登记号码,因此用户在输入时应该谨慎密码。
用于对使用固定键区的限制进行补偿的方法包括使用可变键区的认证方法。可变键区方法以这样的方式操作,即,每当用户使用可变键区时,键盘的输入按钮的布置发生改变,使得即使当第三方发现用户输入到键盘的密码等的位置时,第三方使用位置来找到密码也不容易。
然而,即使在使用可变键区的情况下,当观察输入密码的场景或者在认证请求时从移动终端到服务器的传输的中途非法侵入密码等时,密码本身易于被发现,因此针对个人信息泄露的安全性存在限制。
另外,也难以防止第三方通过使用如上所述获得的密码以及欺骗身份来执行身份认证。
技术实现要素:
技术问题
近来,随着包括使用诸如智能电话和平板个人计算机(平板pc)这样的移动终端的电子支付的金融交易的活跃,包括密码的安全问题引起了很大的兴趣。
这是因为,在智能电话的情况下,与现有的移动电话不同,任何人都能够开发应用并且结构对每个人都是已知的,因此类似于广泛使用的pc,具有易受黑客行为的脆弱性。
特别是,当使用固定键区输入密码或居民登记号码时,只要通过找出输入的触摸位置才可以容易地获得密码或居民登记号码,因此用户在输入时应该谨慎密码。
用于对使用固定键区的限制进行补偿的方法包括使用可变键区的认证方法。可变键区方法以这样的方式操作,即,每当用户使用可变键区时,键盘的输入按钮的布置发生改变,使得即使当第三方发现用户输入到键盘的密码等的位置时,第三方使用位置来找到密码也不容易。
然而,即使在使用可变键区的情况下,当观察输入密码的场景或者在认证请求时从移动终端到服务器的传输的中途非法侵入密码等时,密码本身易于被发现,因此针对个人信息泄露的安全性存在限制。
另外,也难以防止第三方通过使用如上所述获得的密码以及欺骗身份来执行身份认证。
技术解决方案
本发明的一个方面提供了一种结合密码和签名信息的身份认证服务器,该身份认证服务器包括:可变键区生成单元,该可变键区生成单元被配置为生成包括加密键的可变键区和接收用户的签名的输入的签名输入部,其中,每当生成所述可变键区时,所述加密键中的每一个的位置发生改变;认证信息存储单元,该认证信息存储单元被配置为存储移动电话的用户的认证信息;以及认证执行单元,该认证执行单元被配置为向远程区域处的移动终端提供关于所生成的可变键区的信息,接收根据所述用户输入所述加密键的顺序的所述加密键的位置信息和由所述用户输入到所述签名输入部的签名信息,并且通过使用所接收到的所述加密键的位置信息和所接收到的签名信息来执行身份认证。
本发明的另一方面提供了一种身份认证移动终端,该身份认证移动终端包括:显示单元,该显示单元包括加密键和签名输入部,并且被配置为显示可变键区,所述可变键区被生成为使得每当生成所述可变键区时,所述加密键中的每一个的位置发生改变;以及控制单元,该控制单元被配置为从身份认证服务器接收关于所述可变键区的信息,并且将所述加密键的位置信息、所述加密键的输入顺序以及通过所述可变键区获得的签名信息传送给所述身份认证服务器。
本发明的又一方面提供了一种结合密码和签名信息的身份认证方法,该身份认证方法包括以下步骤:生成包括加密键和签名输入部的可变键区,其中,每当生成所述可变键区时,所述加密键中的每一个的位置发生改变;将所生成的可变键区提供给移动终端;接收根据用户输入所述加密键的顺序的所述加密键的位置信息以及由所述用户输入到所述签名输入部的签名信息;以及根据所接收到的所述加密键的位置信息和所接收到的签名信息来执行身份认证。
有益效果
根据本发明,发送键区的位置信息而不是密码本身,因此不能够通过黑客行为来检测密码,并且签名信息与位置信息一起被发送,因此即使当密码被公开时,也可以使用签名信息来执行附加的身份认证,因此能够提高安全性。
附图说明
图1是例示根据本发明的实施方式的包括移动终端和认证服务器的认证系统的框图。
图2是示出根据本发明的实施方式的身份认证方法的顺序图。
图3是例示根据本发明的实施方式的每当生成时都改变的可变键区的图。
图4是例示根据本发明的实施方式的使用x-y平面上的坐标的可变键区的图。
图5是例示根据本发明的实施方式的通过从加密键提取密码来执行认证的过程的流程图。
图6是例示根据本发明的实施方式的显示可变键区和签名输入部的移动终端的显示单元的图。
图7是例示根据本发明的另一实施方式的具有添加了脸部识别部的可变键区的图。
图8是例示根据本发明的又一实施方式的使用可变键区的索引来执行认证的示例的图。
具体实施方式
在下文中,当结合附图考虑时,参照以下详细实施方式的描述,实现它们的优点、特征和方式将变得显而易见。然而,本发明的范围不限于这些实施方式,并且本发明可以以各种形式实现。下面将要描述的实施方式仅仅是为了使本发明的公开完整而提供的实施方式,并且帮助本领域技术人员完全理解本发明的范围。本发明仅由所附的权利要求的范围来限定。此外,本文中使用的术语被用于帮助解释并理解本发明,而不旨在限制本发明的范围和精神。应该理解的是,单数形式“一”、“一个”和“该”也包括复数形式,除非上下文另外明确规定。当在本文中使用时,术语“包括”、“包括有”、“包含”和/或“包含有”指明存在所述的特征、整体、步骤、操作、元件、组件和/或其组合,并且不排除存在或增加一个或更多个其它特征、整体、步骤、操作、元件、组件和/或其组合。
在下文中,将参照附图详细地描述本发明的示例性实施方式。
图1是例示根据本发明的实施方式的结合密码和签名信息的身份认证系统的框图。
参照图1,结合密码和签名信息的身份认证系统包括移动终端100和身份认证服务器200。
身份认证服务器200包括可变键区生成单元210、认证执行单元220和认证信息存储单元230。
可变键区生成单元210生成包括加密键和签名输入部的可变键区,使得每当生成可变键区,构成加密键的数字键和文本键中的每一个的位置都发生改变。另选地,可变键区生成单元210可以使得每当生成可变键区时签名输入部的位置都能够发生改变。
当认证执行单元220向远程站点处的移动终端100发送相应加密键的布置信息(即,关于所生成的可变键区的信息)时,移动终端100从使用关于所生成的可变键区的信息的用户接收认证信息(诸如密码、签名信息等)。
认证执行单元220可以使用预先生成多个可变键区的方法,将索引指派给相应可变键区,并且每当进行认证时,仅可变键区的索引被传送到移动终端100,同时与移动终端100共享索引,并不是每当须要时生成可变键区的方法。
认证执行单元220可以从移动终端100接收签名信息和根据用户输入加密键的顺序的加密键的位置信息,并且基于位置信息和签名信息来执行身份认证。当签名输入部的位置也发生改变时,认证执行单元220还接收签名输入部的位置信息,以便用于身份认证。
例如,认证执行单元220通过从诸如智能电话这样的移动终端100接收根据签名信息和用户输入加密键的顺序的加密键的位置信息来执行身份认证。也就是说,参照图4的(a),当用户连续地将4、3、1和2输入到键盘时,认证执行单元220接收签名信息以及与输入对应的加密键的位置坐标(0.5,2.5)、(3.5,3.5)、(1.5,3.5)和(2.5,3.5),并且基于所接收到的信息执行身份认证。
每当生成可变键区时,认证执行单元220存储与密码对应的加密键的位置信息和输入顺序以及签名输入部的位置信息,并且当从移动终端100接收到根据用户输入加密键的顺序的加密键的位置信息、签名输入部的位置信息和签名信息时,通过将所接收到的根据用户输入加密键的顺序的加密键的位置信息、签名输入部的位置信息和签名信息与预先存储的加密键的位置信息、签名输入部的位置信息以及签名信息进行比较来执行认证。
假设密码由如上面的示例中所描述的4、3、1和2组成,与密码对应的加密键的位置信息被设置为根据图4的(a)的(0.5,2.5)、(3.5,3.5)、(1.5,3.5)和(2.5,3.5),并且输入顺序与以上描述的输入顺序相同。另外,在每当生成可变键区时签名输入部的位置发生改变的情况下,签名输入部的位置信息被设置为(1.5,2.5)。
认证执行单元220从移动终端100接收根据用户输入加密键的顺序的与密码对应的加密键的位置信息、加密键的输入顺序、签名输入部的位置信息以及签名信息,并且通过将所接收到的加密键的位置信息、加密键的输入顺序、签名输入部的位置信息以及签名信息与包括预先存储在认证信息存储单元230中的加密键的位置信息、加密键的输入顺序、签名输入部的位置信息以及签名信息的认证信息进行比较来执行认证。
本发明可以采用一种识别用户的笔迹而不是签名信息并且使用该笔迹进行身份认证的方法。
由于签名具有固定图案,因此可以通过实践签名的副本来模仿签名。然而,当用户使用每次改变的字符而不是签名(例如,给定的句子“iloveyou(我爱你)”、“iconfirm(我确认)”、“onawonderfuldayinoctober(在十月的美好一天)”等)时,每次模仿所述字符是几乎不可能的,使得安全性得以提高。
为了检查用户的笔迹,将用户的预先存储的笔迹与输入句子的笔迹进行比较,例如,也使用分解字符并比较共同副本的分解识别方法,其中识别笔划的组成、笔划的形状、笔划顺序、字母的排列、笔压力、笔划、拼错或误用。
根据识别测试的综合确定,区分用户输入的句子是由同一人书写还是由不同的人书写。
认证执行单元220在每当生成可变键区时生成例句,并且将例句发送到移动终端100,用户将密码连同例句而不是签名一起输入到移动终端100的签名输入部。
移动终端100将根据用户输入加密键的顺序的与密码对应的加密键的位置信息、加密键的输入顺序和用户输入的句子发送到认证执行单元220。
认证执行单元220通过将与密码的位置信息和输入顺序一起接收的由用户输入的句子与预先存储在认证信息存储单元230中的用户的笔迹进行比较来执行身份认证。
认证信息存储单元230存储移动终端用户的密码、签名信息和笔迹信息。
另外,认证信息存储单元230存储认证信息,该认证信息包括由可变键区生成单元210生成的可变键区的加密键、加密键的位置信息、可变键区的签名输入部的位置信息以及签名信息。
移动终端100可以包括控制单元130和包含可变键区110的显示单元120,并且还可以包括摄像头单元140。
移动终端100不仅包括移动电话,而且包括智能电话、手机、平板pc、笔记本计算机、移动信用卡支付终端、银行自动取款机(atm)、安装在药房和政府办公室中的信息亭。
每当生成可变键区110时,各个加密键的位置和签名输入部的位置发生改变。可变键区110由身份认证服务器200的可变键区生成单元210生成,并且移动终端100上的可变键区110是从身份认证服务器200接收并显示的可变键区。
在每当用固定的签名输入部的位置或者用每当生成可变键区110时也改变的签名输入的位置生成可变键区110时改变包括在可变键区中的加密键的位置的同时,显示单元120显示可变键区110。
图6是例示显示可变键区110和签名输入部的显示单元120的图。图6的(a)例示了在用户输入密码和签名之前的显示单元,图6的(b)例示了在用户输入密码和签名之后的显示单元。出于安全目的,输入的密码用星号标出。
控制单元130从身份认证服务器200接收关于可变键区的信息,并且将用户输入的加密键的位置信息、加密键的输入顺序和签名输入部的位置信息以及签名信息发送到身份认证服务器200。
当上述笔迹识别方法被用于身份认证时,控制单元130向身份认证服务器200发送用户输入的句子而不是签名信息。
移动终端100可以附加地包括摄像头单元140。摄像头单元140在朝向用户的方向上捕获图像。因此,除了通过可变键区110的输入之外,输入认证信息的用户的脸部也被用作附加认证信息。
当可变键区110正在接收来自用户的输入时,摄像头单元140通过接收控制单元130的命令来捕获用户的脸部图像。用户可以通过根据脸部轮廓的引导线调整移动终端100的位置来捕获符合显示单元120上显示的脸部轮廓的引导线的脸部图像。
图7是例示识别用于脸部识别的用户的脸部连同可变键区110和签名输入部的处理的图。当如图7的(a)所示,呈现脸部轮廓并且用户使他的/她的脸部符合脸部轮廓时,如图7的(b)所示捕获用于脸部识别的脸部图像。
控制单元130将这样捕获的脸部图像发送到身份认证服务器200,并且身份认证服务器200可以使用脸部图像连同其它多条认证信息来执行附加认证。
图2是示出根据本发明的实施方式的结合密码和签名信息的身份认证方法的顺序图。
首先,生成包括加密键和签名输入的可变键区,使得每当生成可变键区时,各个加密键的位置和签名输入部都可以发生改变(s110)。
如上生成的可变键区与生成信息一起被发送到移动终端100(s120),并且用户向显示在移动终端100上的可变键区输入密码和签名。
身份认证服务器200从移动终端100接收根据用户输入加密键的顺序的加密键的位置信息、签名输入部的位置信息以及签名信息(s130),并且基于所接收到的加密键的位置信息、签名输入部的位置信息以及签名信息来执行身份认证(s140)。
根据本发明的另一实施方式,可以在执行身份认证中仅通过使用加密键中的一些的位置信息来执行身份认证。
例如,当密码是4312时,用户不输入密码的所有四个数字,而是输入密码中的一些,例如,密码的前两个数字43、后两个数字12、第一个数字和第三个数字41。
当输入前两个数字4和3时,如图4的(a)所示密码的位置是(0.5,2.5)和(3.5,3.5),并且在执行身份认证时,基于密码的位置和输入顺序、签名信息或笔迹信息等来执行身份认证。
应该理解,当移动终端100包括摄像头时,如上所述,用户的脸部识别信息可以被附加地用于认证。
当基于加密键中的一些的位置信息来执行身份认证时,用于执行认证的数据量小于当使用所有加密键的位置信息时所需的数据量,使得计算速度提高,并且要输入的加密键的数量小于当使用所有加密键的位置信息时所需的数量,使得用户便利性提高。
图3是例示根据本发明的实施方式的包括加密键和签名输入部的可变键区的图,其中每当生成可变键区时,加密键和签名输入部中的每一个的位置发生改变。图3的(a)例示了最初生成的可变键区,图3的(b)例示了当随后生成可变键区时加密键和签名输入部的位置发生改变。
图5是例示根据本发明的实施方式的通过从加密键的位置提取密码来执行身份认证的过程的流程图。
密码被预先存储在身份认证服务器中,并且当从移动终端接收到密码的位置信息时,从所接收到的位置信息和密码的输入顺序中提取密码,并且将所提取的密码与存储在认证存储单元中的密码进行比较,由此执行身份认证。
首先,认证执行单元从移动终端接收根据成员输入加密键的顺序的加密键的位置,并且提取由成员输入的密码(s510)。
然后,认证执行单元将所提取的密码和所接收到的签名与存储在认证信息存储单元中的密码和签名进行比较,由此执行认证(s520)。
图7是例示根据本发明的另一实施方式的捕获用户的脸部图像并且将所捕获的脸部图像发送到身份认证服务器200的过程的图。
移动终端100的控制单元130控制摄像头单元140捕获在移动终端100前面的用户的脸部,并且摄像头单元140根据控制单元130的命令来捕获用户的脸部图像。
当用户使他/她的脸部如图7的(a)所示符合屏幕上显示的脸部轮廓的引导线时,如图7的(b)所示脸部与可变键区的密码一起被识别,并且被发送到身份认证服务器200,使得身份认证得以执行。
当摄像头单元140捕获脸部图像之前使用移动终端100的手电筒来调整照明时,响应于调整后的照明而使人眼的瞳孔扩张或收缩。因此,当检查根据照明调整的瞳孔时,防止使用预先捕获的用户的脸部图片来制作认证信息,使得安全性提高。
图8是例示根据本发明的实施方式的使用与可变键区对应的索引来执行第一次认证的示例的图。图8的(a)例示了分别指派给存储在认证服务器中的可变键区的索引,图8的(b)例示了分别指派给存储在移动终端中的可变键区的索引。
参照图8,认证执行单元生成多个可变键区并且生成与所述多个可变键区对应的索引。也就是说,当身份认证服务器生成可变键区时,生成与可变键区1、2和3对应的索引1、2和3,并且将所生成的可变键区和索引发送到移动终端。
响应于接收到认证请求,认证服务器选择所存储的索引中的一个并且将所选择的索引提供给移动终端,移动终端在接收到所选择的索引之后可以选择与所接收到的索引对应的可变键区并且在屏幕上显示所选择的可变键区。
认证服务器通过将从移动终端接收到的加密键的位置信息、输入顺序和签名信息与预先存储的加密键的位置信息、输入顺序和签名信息进行比较来执行第二次认证。
根据该实施方式,可变键区布置不从认证服务器发送到移动终端,因此可变键区布置不会通过对发送分组的黑客行为被识别,因此安全性提高。
通过使用可变键区、签名信息和脸部识别的上述用户认证方法和设备,用户能够在具有提高的安全性的环境中执行金融交易,并且因此能够无需担心地使用移动终端和移动通信网络来执行金融交易。
虽然为了例示性目的而已经描述了本发明的示例性实施方式,但是本领域技术人员将领会的是,在不脱离本发明的范围和精神的情况下,各种修改、添加和替换是可能的。因此,本发明的范围不受上述实施方式的限制,并且由权利要求及其等同物限定。