本发明涉及用于安全传输用户认证信息的系统以及使用该系统的方法。更具体地,涉及请求用户期望的服务的用户设备的系统:如果接收到加密的用户认证信息,则用户的移动设备对加密的用户认证信息进行解密并输出用户认证信息;如果用户设备请求服务,则服务提供服务器对请求用户认证的用户认证信息进行加密,并将所加密的用户认证信息传输到移动设备;其中,所述用户设备向所述服务提供服务器传输在所述用户确认显示在所述移动设备上的所述用户认证信息之后由所述用户输入的所述用户认证信息,并且其中所述服务提供服务器确认所述用户认证信息并且允许将该服务提供给用户设备。
背景技术:
随着互联网通信技术的近期发展,正在提供利用诸如智能电话的移动通信设备的各种功能。
也就是说,随着基于无线通信的数据处理技术迅速发展,人们不仅可以使用语音通信,还可以使用短消息发送、视频通话、电子笔记本、娱乐、互联网连接和视频消息发送等服务。
近来,移动设备认证服务变得流行,其通过利用移动设备的各种服务中的移动通信网络执行由电信公司、金融机构服务器、门户网站等提供的身份认证。
在移动设备的认证服务中,当拥有移动设备的用户请求支付、信息确认、注册或信息变更都需要在网站上进行认证时,认证号码(authenticationnumber)被传输到具有用户预先注册的电话号码的移动设备,并且用户通过网站输入接收到的认证号码来认证。移动设备认证服务主要分为两种认证方式,一种是拥有认证,其中只需要电话号码来接收认证号码:输入电话号码,请求认证号码,然后将认证号码传输到具有电话号码的移动设备,另一种是需要电话号码以及ssn的所有权认证:输入电话号码和ssn,通过参考电话号码和ssn来使用电信公司的数据库进行认证,然后认证号码被传输到具有电话号码的移动设备。
然而,常规的移动设备认证服务存在问题,因为未授权的用户可能在从网站的服务器向用户的移动设备传输时通过移动通信网络获取认证号码,这会危及金融服务。
[现有技术]
被引专利文献:
引用的专利文献1:于2002年6月28日登记的韩国专利注册no.10-0344114。
技术实现要素:
本发明的目的是解决所有上述问题。
本发明的另一个目的是提供一种用于安全传输用户认证信息的系统和方法,该系统和方法通过从服务提供服务器向用户的移动设备传输利用用户的公钥加密的认证号码,防止加密的认证号码由于黑客行为泄露的情况下,未授权用户使用不能被解密的加密的认证号码而识别该认证号码。
根据本发明的一个方面,提供了一种用于安全传输用户认证信息的系统,包括:请求用户期望的服务的用户设备;所述用户的移动设备,如果接收到加密的用户认证信息,则对所述加密的用户认证信息解密并输出所述用户认证信息;和服务提供服务器,如果所述用户设备请求所述服务,则对请求用户认证的所述用户认证信息进行加密,并将所加密的用户认证信息传输到所述移动设备;其中,所述用户设备向所述服务提供服务器传输在所述用户确认显示在所述移动设备上的所述用户认证信息之后由所述用户输入的所述用户认证信息,并且其中,所述服务提供服务器确认所述用户认证信息,并且允许将所述服务提供给所述用户设备。
所述服务提供服务器包括:数据库部,所述数据库部具有存储所述移动设备的电话号码的客户信息数据库;用户认证信息生成器;加密引擎;和消息发送部,其中,所述移动设备包括解密引擎和存储器,所述存储器存储所述用户的私钥,其中,所述服务提供服务器指示(i)所述用户认证信息生成器生成所述用户认证信息,(ii)所述加密引擎通过利用所述用户的公钥对所述用户认证信息进行加密来获取加密的用户认证信息,和(iii)消息发送部通过参考存储在所述客户信息数据库中的所述电话号码将所述加密的用户认证信息传输到所述移动设备,并且其中,所述移动设备指示所述解密引擎通过利用存储在所述存储器中的所述私钥解密所述加密的用户认证信息来获取所述用户认证信息。
所述客户信息数据库存储用于识别所述用户的用户身份信息,其中,所述系统还包括:密钥服务器和区块链节点,其中所述密钥服务器包括:(i)数据库部,具有关键字数据库,所述关键字数据库存储一对(i)用户身份信息和(ii)用于注册的交易id,用于注册的交易id被用作利用所述客户信息数据库中的所述公钥搜索用于注册的交易信息的键值;以及(ii)交易处理引擎,其中,如果接收到用于加密货币支付的交易信息,则区块链节点通过验证用于加密货币支付的交易信息来授权加密货币支付,通过参考所述授权处理的结果将用于所述加密货币支付的所述交易信息存储在区块链中,并且在所述区块链中注册所述用于注册的交易信息,其中,如果所述用户设备请求所述服务,则所述服务提供服务器从所述客户信息数据库获取所述用户身份信息并将所述用户身份信息传输到所述密钥服务器,其中,所述密钥服务器通过参考所传输的用户身份信息从所述关键字数据库中检索所述用于注册的交易id,并将所述用于注册的交易id传输到所述区块链节点,其中,所述区块链节点通过参考所传输的用于注册的交易id从所述区块链中检索所述用于注册的交易信息,并将所述用于注册的交易信息传输到所述密钥服务器,并且其中,所述密钥服务器指示其交易处理引擎从所传输的用于注册的交易信息中获取所述公钥并将所述公钥传输给所述服务提供服务器。
所述移动设备包括密钥生成引擎,其中,所述移动设备指示其密钥生成引擎生成所述公钥和所述私钥,将所述私钥存储在所述存储器中,并将所述公钥传输到所述服务提供服务器,其中,所述服务提供服务器将所述私钥和所述用户身份信息传输到所述密钥服务器,其中,所述密钥服务器(i)从所述服务提供服务器接收所述私钥和所述用户身份信息,(ii)指示其交易处理引擎(ii-1)生成包括公钥的所述用于注册的交易信息,以及所述用于注册的交易id,所述用于注册的交易id被用作搜索所述用于注册的交易信息的键值,(ii-2)将所述用于注册的交易信息传输到所述区块链节点,并且(ii-3)在所述关键字数据库中存储所述用于注册的交易id和所述用户身份信息,并且其中,所述区块链节点将所传输的用于注册的交易信息存储在所述区块链中。
根据本发明的另一方面,一种用于安全传输用户认证信息的方法,包括:步骤s100,用户设备连接到服务提供服务器并传输服务请求以请求用户期望的服务;步骤s110,如果所述用户设备接收到所述服务请求,则所述服务提供服务器确定请求所述服务的所述用户是否在所述服务请求之前提供了所述用户的公钥;步骤s120,如果所述用户已提供所述公钥,则所述服务提供服务器指示其用户认证信息生成器创建所述用户认证信息;步骤s130,所述服务提供服务器指示其加密引擎通过利用所述公钥对所述用户认证信息加密来获取加密的用户认证信息;步骤s140,所述服务提供服务器指示其消息发送部通过参考存储在客户信息数据库中的所述用户的电话号码将所加密的用户认证信息传输到移动设备;步骤s150,移动设备指示其解密引擎通过利用存储在存储器中的所述用户的私钥将所加密的所述用户认证信息解密来获取所述用户认证信息,并输出所述用户认证信息;步骤s160,在所述用户设备确认显示在所述移动设备上的所述用户认证信息之后,所述用户设备向所述服务提供服务器传输由所述用户输入的所述用户认证信息,以及步骤s170,所述服务提供服务器确认所述用户认证信息,并允许将所述服务提供给所述用户设备。
如果在步骤s110确定所述用户未提供所述公钥,则所述方法还包括:步骤s111,所述服务提供服务器通过参考存储在所述客户信息数据库中的所述电话号码,将用于生成所述公钥和所述私钥的生成请求传输到所述移动设备;步骤s112,所述移动设备指示密钥生成引擎生成所述公钥和所述私钥,将所述私钥存储在所述存储器中,并将所述公钥传输到所述服务提供服务器;步骤s113,所述服务提供服务器将所述私钥和关于所述用户的用户身份信息传输到所述密钥服务器;步骤s114,所述密钥服务器(i)从所述服务提供服务器接收所述私钥和所述用户身份信息,(ii)指示其交易处理引擎生成(ii-1)包括所述公钥的用于注册的交易信息和(ii-2)用于注册的交易id,所述用于注册的交易id被用作搜索所述用于注册的交易信息的键值;步骤s115,所述密钥服务器将所述用于注册的交易信息传输到区块链节点,并将所述用于注册的交易id和所述用户身份信息存储在关键字数据库中;并且其中,所述区块链节点将所传输的用于注册的交易信息存储在区块链中。
在步骤s100之后,通过以下方式将所述公钥传输到所述服务提供服务器:步骤s131,如果所述用户设备请求所述服务,则所述服务提供服务器从所述客户信息数据库获取关于请求所述服务的所述用户的用户身份信息并将所述用户身份信息传输到密钥服务器,步骤s132,所述密钥服务器通过参考所传输的用户身份信息从所述关键字数据库中检索用于注册的交易id,并将所述用于注册的交易id传输到区块链节点,步骤s133,所述区块链节点通过参考所传输的用于注册的交易id从区块链中检索用于注册的交易信息,并且将所述用于注册的交易信息传输到所述密钥服务器;以及步骤s134,所述密钥服务器指示其交易处理引擎从所传输的用于注册的交易信息中获取所述公钥并将所述公钥传输到所述服务提供服务器。
技术效果
本发明具有如下效果:通过将利用用户的公钥加密的认证号码从服务提供服务器传输到用户的移动设备,防止在加密的认证号码由于黑客行为被泄露的情况下,未授权用户使用不能被解密的加密认证号码来识别该认证号码。
本发明具有另一种效果:通过将用于对认证号码加密所需的公钥存储在防伪造和篡改的区块链中而不是在私人服务器中,防止在公钥被保留在私人服务器中的情况下用户的公钥由于黑客行为被泄露或篡改,并且只在需要时才提供公钥。
附图说明
通过以下结合附图给出的优选实施例的描述,本发明的上述和其它目的以及特征将变得明白易懂,其中:
图1是示出根据本发明的用于安全传输用户认证信息的系统的框图;
图2是示出根据本发明的用于安全传输用户认证信息的系统的配置中的移动设备的框图;
图3是示出根据本发明的用于安全传输用户认证信息的系统的配置中的服务提供服务器的框图;
图4是示出根据本发明的用于安全传输用户认证信息的系统的配置中的密钥服务器的框图;
图5到图7是流程图,示出根据本发明的用于安全传输用户认证信息的系统中用户认证信息的加密和传输过程。
具体实施方式
下面将通过参考关于实施例的配置和效果的附图来充分详细地描述本发明的下面的实施例。
如所图示,根据本发明的用于用户认证信息的安全传输的系统可以包括用户设备100、移动设备200、服务提供服务器300、密钥服务器400和区块链节点500。
首先,用户设备100可以是利用登录到下文将描述的服务提供服务器300的用户设备请求服务(例如,由服务提供服务器300传送的各种服务之中的支付服务、信息查询服务、购买服务等)的设备,并且可以通过包括因特网的网络与服务提供服务器300连接。
移动设备200可以由用户所有,并且如果从下文将描述的服务提供服务器300的消息发送部340接收到加密的用户认证信息,则移动设备200可以是解密并输出该加密的用户认证信息的设备,并且移动设备200可以通过包括电信网络的网络与服务提供服务器300连接。在此,包括电信网络的网络可以包括wifi、无线lan网络和wcdma网络中的至少一个。
执行这种功能的移动设备200可以包括:密钥生成引擎230,其生成用户的公钥和用户的私钥;存储器220,其存储在密钥生成引擎230处生成的私钥;解密引擎210;以及控制部240,控制密钥生成引擎230、存储器220和解密引擎210。
在此,密钥生成引擎230和解密引擎210可以以下文将描述的服务提供服务器300提供的移动专用应用(app)的形式安装在移动设备200上。
如果密钥生成引擎230和解密引擎210被安装在移动设备200上,则控制部240可以指示密钥生成引擎230生成公钥和私钥,其中移动设备200的控制部240可以允许公钥和私钥在网络断开连接时被生成,以防止密钥可能被泄露。
此后,控制部240可以将私钥存储在存储器220中,并且可以将公钥传输到下文将描述的服务提供服务器300。
之后,服务提供服务器300可以将从移动设备200传输的公钥存储在数据库部310的客户信息数据库311中。
同时,当公钥被存储在客户信息数据库311中时,它可能由于黑客行为被泄露或伪造。
为了防止这种情况,本发明可以在区块链中而不是在私人服务器中存储用于加密认证号码所需的公钥,并且可以在任何需要的时候提供公钥的服务功能。为此,可以需要密钥服务器400和区块链节点500。
首先,如果从移动设备200接收到公钥,则下文将描述的服务提供服务器300可以从客户信息数据库311检索关于用户的用户身份信息,并且可以将检索到的用户身份信息和私钥传输到密钥服务器400。在此,接收到的公钥不存储在客户信息数据库311中。
密钥服务器400可以包括具有关键字数据库411的数据库部410和事务处理引擎420。
如果从服务提供服务器300接收到私钥和用户身份信息,则密钥服务器400可以指示其交易处理引擎420生成:(i)包括用于注册接收到的公钥的交易信息,以及(ii)用于注册的交易id,被用作搜索用于注册的交易信息的键值。
之后,交易处理引擎420可以将用于注册的交易信息传输到区块链节点500以便在区块链中注册,并且可以将用于注册的交易id和用户身份信息存储在关键字数据库411中。
区块链节点500可以是组成加密货币网络的设备,其通过验证和记录交易来执行加密货币交易,例如比特币交易。
在此,简要地解释比特币。比特币是在2009年由中本聪(satoshinakamoto)制造的一种能够进行实物支付的数字货币,并且具有去中心结构,没有发行和管理货币的中央设备。相反,比特币的交易由基于对等(即,p2p)网络和公钥加密的区块链网络处理。
具有这种付款方法,比特币的优点在于可以在不使用信用卡交易所需的信息(诸如卡号、有效期和ccv号码)的情况下进行支付并且费用便宜。此外,比特币被存储在作为电子文件的数字钱包中,并且唯一地址,即公共地址被分配给该数字钱包,并且比特币交易基于该地址来处理。
为了使用具有这种交易特征的比特币,首先,比特币用户可以登录比特币交易所(例如www.coinplug.com),并且制造数字钱包随后以kwr(即韩元)来加载它。
此后,比特币用户在确认交易所中比特币的当前兑换率之后,可以发出包括比特币的数量和单价的购买订单。如果存在与购买订单相匹配的销售订单,则发生交易并购买到比特币,并且比特币用户可以用比特币支付产品。
这样的区块链节点500可以包括由比特币交易所管理的服务器,并且还可以包括由比特币挖矿机操作的服务器或终端,或者能够用于比特币支付的互联网通信的用户终端,例如pc或智能电话。
为此目的,各个区块链节点500可以包括数字钱包,并且如果接收到数字钱包根据典型的比特币支付创建的交易信息,则区块链节点500可以验证所接收到的用于比特币支付的交易信息来授权比特币支付,然后可以记录交易用于比特币支付的交易信息并将该交易信息广播到指定的区块链节点500。
即,用于比特币支付的交易信息的广播由协议定义,并且如果用于比特币支付的交易信息产生,则区块链节点中的一个节点将用于比特币支付的初始交易信息广播到八个指定节点,然后接收到信息的八个指定节点的每一个以金字塔形式再次广播到另外八个指定节点,并且当信息被传输到比特币支付所需的所有区块链节点500时,完成广播。
因此,包括用于公钥注册的上述交易信息以及用于比特币支付的交易信息的任意交易信息都不能被篡改,因为它们存储在由超过100,000个区块链节点500组成的区块链中。
此外,区块链节点500的区块链可以包括用于比特币支付的私人信息以及交易信息,并且描述如下,这将解释包括公钥(使用所请求的服务时认证用户的所需的公钥)的用于注册的交易信息作为私人信息也可以存储在区块链中的原因。
如果传输附带op_return信息(即,操作代码return)的用于比特币支付的交易信息,则每个区块链节点500将交易信息作为私人信息而不是表示比特币支付的信息来广播,并且将op_return信息纳入用于注册的交易信息在用于用户认证的认证信息的加密中起着主要作用。
在此,如果区块链节点500在授权比特币支付时在用于比特币支付的交易信息中检测到op_return信息,则区块链节点500可以发送通知,该通知中具有op_return的信息被用于表示任意数据而不是用于比特币支付的交易信息。
服务提供服务器300可以是这样的设备:如果用户设备100传输服务请求,则对请求用户认证的用户认证信息进行加密,并且将加密的用户认证信息传输到用户的移动设备200。
在此,用户必须是登录到服务提供服务器300以请求服务的会员。
为此目的,如果用户通过用户设备100和包括登录时使用的会员id和密码的个人注册信息以及移动设备200的电话号码来连接到服务提供服务器300,则服务提供服务器300可以将注册信息存储到客户信息数据库311中,由此允许用户使用会员id和密码登录到服务提供服务器300。
为此,服务提供服务器300可以包括:数据库部310,其具有存储用户的移动设备的电话号码的客户信息数据库311;用户认证信息生成器320;加密引擎330;及消息发送部340。
通过这些处理,服务提供服务器300可以指示其用户认证信息生成器320来创建用户认证信息,该用户认证信息为随机值。在此,用户认证信息包括数字、字符、符号或它们的任何其他组合。
之后,服务提供服务器300可以指示其加密引擎330通过利用用户的公钥对用户认证信息进行加密来获取加密的用户认证信息。
此后,服务提供服务器300可以指示其消息发送部340通过参考存储在客户信息数据库311中的用户所有或拥有的移动设备200的电话号码来将加密的用户认证信息传输到移动设备200。
在此,如果消息发送部340是sms模块,则它可以以短消息(即,sms消息)的形式传输加密的用户认证信息,而如果它是推送消息的模块,则它可以以推送消息的形式来发送。在此,如果加密的用户认证信息将要作为推送消息来发送,则移动设备200必须具有推送应用程序(pushapplication)。
同时,推送应用程序可以是提供用于向用户发送通知或事件通告的推送服务的应用程序,并且可以包括googleandroid推送消息客户端、appleios推送消息客户端、kakaotalk、skype和nateon等。通过这些处理,移动设备200的推送应用程序可以与服务提供服务器300建立tcp/ip(传输控制协议/因特网协议)连接,并且可以将从服务提供服务器300接收的加密的用户认证信息作为推送消息。
之后,移动设备200可以指示其解密引擎210通过使用存储在存储器220中的私钥对加密的用户认证信息进行解密来获取并输出用户认证信息,并且可以允许用户确认所输出的用户认证信息。
如果用户通过用户设备100输入所确认的用户认证信息,则用户设备100可以将所输入的用户认证信息传输到服务提供服务器300。
之后,服务提供服务器300可以确认所传输的用户认证信息,并且可以允许所请求的服务被提供给用户设备100。
在此,在一种情况下,如果公钥存储在客户信息数据库311中,则服务提供服务器300可以从客户信息数据库311中检索公钥,而在另一种情况下,如果公钥被存储在区块链中以防止其由于黑客行为被泄露或伪造,则可以通过如下过程在任何需要的时候检索公钥。
也就是说,如果从用户设备100接收到服务请求,则服务提供服务器300可以从客户信息数据库311获取关于请求服务的用户的用户身份信息并将其传输到密钥服务器400。
密钥服务器400可以通过参考所传输的用户身份信息来从关键字数据库411检索用于注册的交易id,并且可以将用于注册的交易id传输到区块链节点500。
在此,可以预先指定用于注册的交易id要被传输到的区块链节点500。
之后,该区块链节点500可以通过参考所传输的用于注册的交易id来从区块链中检索用于注册的交易信息,并且可以将用于注册的交易信息传输到密钥服务器400。
密钥服务器400可以指示其交易处理引擎420从所传输的用于注册的交易信息中获取公钥并将该公钥传输给服务提供服务器300。
通过使用如此配置的用于安全传输用户认证信息的系统来加密和传输用户认证信息的过程如下。
首先,在步骤s100,用户可以通过用户设备100使用会员id和密码的登录过程而连接到服务提供服务器300来传输服务请求。
在此,在步骤s110,如果从用户设备100接收到服务请求,则服务提供服务器300可以确定用户是否在服务请求之前提供了该用户的公钥。在此,可以通过确认在客户信息数据库311中是否存在用于用户的公钥的注册的交易id来确定是否提供了公钥。
在步骤s111,如果确定没有预先提供公钥,则服务提供服务器300可以通过参考存储在客户信息数据库311中的电话号码将用于生成公钥和私钥的生成请求传输到移动设备200。在此,服务提供服务器300可以允许包括密钥生成引擎230和解密引擎210的移动专用应用程序被传输并安装在移动设备200上,从而执行生成请求。
之后,在步骤s112,移动设备200可以指示密钥生成引擎230生成公钥和私钥,将私钥存储在存储器220中,并且将公钥传输到服务提供服务器300。
在步骤s113,服务提供服务器300可以将私钥和关于用户的用户身份信息传输到密钥服务器400。
在步骤s114,如果从服务提供服务器300接收到私钥和用户身份信息,则密钥服务器400可以指示其交易处理引擎420生成(i)包括接收到的公钥的用于注册的交易信息和(ii)用于注册的交易id,该用于注册的交易id被用作搜索用于注册的交易信息的键值。
之后,在步骤s115,密钥服务器400可以将用于注册的交易信息传输到区块链节点500以便在区块链中注册,并且将用于注册的交易id和用户身份信息存储在关键字数据库411中。
之后,在步骤s116,区块链节点500可以将所传输的用于注册的交易信息存储在区块链中。
然后,在步骤s120,如果确定用户已经提供了该用户的公钥,则服务提供服务器300可以指示其用户认证信息生成器320创建用户认证信息,该用户认证信息是随机值。
之后,在步骤s130,服务提供服务器300可以指示其加密引擎330通过利用用户的公钥对用户认证信息进行加密来获取加密的用户认证信息。
在此,公钥的获取按如下步骤进行。
在步骤s131,如果从用户设备100接收到服务请求,则服务提供服务器300可以从客户信息数据库311获取关于请求服务的用户的用户身份信息并将其传输到密钥服务器400。
在步骤s132,密钥服务器400可以通过参考所传输的用户身份信息从关键字数据库411检索用于注册的交易id,并且可以将用于注册的交易id传输到区块链节点500。
在步骤s133,区块链节点500可以通过参考所传输的用于注册的交易id来从区块链中检索用于注册的交易信息,并且可以将用于注册的交易信息传输到密钥服务器400。
在步骤s134,密钥服务器400可以指示其交易处理引擎420从所传输的用于注册的交易信息中获取公钥,并且将公钥传输到服务提供服务器300。
之后,在步骤s140,服务提供服务器300可以指示其消息发送部340通过参考存储在客户信息数据库311中的用户的电话号码来将加密的用户认证信息传输到移动设备200。
在步骤s150,如果从服务提供服务器300接收到加密的用户认证信息,则移动设备200可以指示其解密引擎210通过利用存储在存储器220中的用户的私钥对加密的用户认证信息进行解密来获取用户认证信息,并输出用户认证信息。
在步骤s160,如果用户操作用户设备100以确认显示在移动设备200上的用户认证信息并且输入所确认的用户认证信息,则用户设备100可以将所输入的用户认证信息传输到服务提供服务器300。
在步骤s170,服务提供服务器300可以确认所传输的用户认证信息,并且可以允许所请求的服务被提供给用户设备100。
[附图标记说明]
100:用户设备200:移动设备
210:解密引擎220:存储器
230:密钥生成引擎240:控制部
300:服务提供服务器310,410:数据库部
311:客户信息数据库320:用户认证信息生成器
330:加密引擎340:消息发送部
400:密钥服务器411:关键字数据库
420:交易处理引擎500:区块链节点