KR101019458B1 - 확장된 일회용 암호 방법 및 장치 - Google Patents
확장된 일회용 암호 방법 및 장치 Download PDFInfo
- Publication number
- KR101019458B1 KR101019458B1 KR1020087005884A KR20087005884A KR101019458B1 KR 101019458 B1 KR101019458 B1 KR 101019458B1 KR 1020087005884 A KR1020087005884 A KR 1020087005884A KR 20087005884 A KR20087005884 A KR 20087005884A KR 101019458 B1 KR101019458 B1 KR 101019458B1
- Authority
- KR
- South Korea
- Prior art keywords
- server
- otp
- session
- data
- token
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
인터넷을 통해 서버와의 세션을 수행하는 클라이언트 워크스테이션의 인증을 보조하는 OTP 토큰이 개시된다. 적어도 부분적으로 서버를 식별하는 정보가 상기 OTP 토큰 및/또는 클라이언트 워크스테이션에 제공되고, 상기의 식별 정보를 이용하여, 상기 서버가 적법한 서버인지를 판정하는 것이 이루어진다. 상기 판정에 따라, OTP 토큰으로부터 클라이언트 워크스테이션으로 세션 OTP를 지시하는 데이터를 전송할지 여부를 결정한다. 일부 실시예에서, 상기 식별 정보가 적법한 서버임을 지시한다면, 상기 세션 OTP를 지시하는 데이터는 상기 OTP 토큰으로부터 클라이언트 워크스테이션으로 전송되고, 그렇지 않으면, 상기 세션 OTP를 지시하는 데이터는 상기 클라이언트 워크스테이션으로부터 보류된다. 세션 OTP를 지시하는 데이터는, 다양한 실시예에서, 사용자 인증 데이터로부터 도출된 멀티-팩터 인증 데이터, 또는 사용자 인증 데이터에 독립적인 세션 OTP 데이터 중 어느 하나를 포함한다.
서버, 광역 네트워크, 클라이언트 워크스테이션, 디바이스 인터페이스, OTP 토큰, 세션 OTP
Description
본 발명은 인터넷 인증에 관한 것으로, 보다 특정하게는 일회용 암호를 사용하는 인증에 관한 것이다.
많은 인터넷 사용자들은 자신들의 서비스 공급자, 회사 네트워크, 유료 서비스, 또는 자신들의 은행 또는 신용 계좌로의 특정한 액세스 권한을 가진다. 그들의 권한을 실행하기 위해, 이러한 사용자들은 자기 자신을 증명할 필요가 있다. 가장 잘 알려지고 일반적으로 사용되는 사용자 인증 방법은 사용자 이름과 암호를 입력하는 것이다.
인터넷 사기의 성장속도와 교묘함으로, 상기 데이터가 통신 네트워크를 통해 쉽게 인터셉트될 수 있고 그런다음 원래 사용자의 신원과 권한의 위조 대리를 위해 상기 공격자에 의해 재사용될 수 있기 때문에, 사용자 이름과 암호 인증은 안전하지 않은 것으로 인식된다.
일회용암호(이하 "OTP")는 사용자 이름 및 암호의 체계의 취약성을 극복하기위해 다양한 벤더에 의해 제공되는 일반적인 방법이다. 그것은 한번의 로그인 또는 트랜잭션을 위해서만 암호를 사용하고, 그런다음 상기 암호는 소용없게 되도록 하는 것에 기반을 둔다. 임의의 추가적인 로그인 또는 트랜잭션에는 상이한 암호를 요구하게 된다. 따라서, 어떠한 사람이 암호를 인터셉트한다고 하더라도, 차후의 트랜잭션에는 사용할 수 없게된다.
일회용 암호를 생성하고 관리하는 것에는 3 가지 기본적인 방법이 있다. 첫번째로는 종이 또는 전자 파일 상에 긴 리스트의 암호를 가지는 것이고; 둘째는 이러한 암호를 생성하기 위해 자신의 컴퓨터(데스크탑, 랩탑, 팜탑 또는 스마트폰)상에서 실행되는 소프트웨어를 사용하는 것이고; 세번째는 암호생성을 위한 전용 하드웨어 디바이스를 사용하는 것이다. 본 발명의 초점은 상기의 하드웨어 디바이스이다.
도 1A는 일회용 암호를 생성하는 전용 OTP 인증 디바이스(110)(일반적으로 OTP "토큰")를 사용하는 배경 기술의 시스템(100)을 기술한다. 컴퓨터(160)는 정보 또는 트랜잭션으로의 액세스와 같은 타겟 기능성을 얻기 위해, 서버(170) 상에서 실행되는 서버 애플리케이션(182)과 함께 클라이언트 애플리케이션(168)을 실행을 위한 처리용량(도시되지 않음)을 포함한다. 클라이언트 애플리케이션(168)은 전용 프로그램 또는 범용 웹브라우저가 될 수 있다. 서버 애플리케이션(182)은 타겟 기능성을 제공하기 위해 OTP 검증기(178)로부터의 승인을 필요로한다. OTP 검증기(178)는 서버 애플리케이션(182)으로부터 (일회용) 암호를 수신하고 체크하도록 고안되고, 그런다음 클라이언트 애플리케이션(168)으로부터의 암호를 수신하는소프트웨어 모듈이다. 고려되는 구성에서, 상기 암호는 인증 디바이스 인터페이스(164)를 통해 OTP 인증 디바이스(110)에 의해 생성되고 그로부터 수신된 데이터 로부터 도출된다. OTP 인증 디바이스(110)는 사용자에 의해 소지되고 복수의 컴퓨터(160)와 인터페이스하도록 적응된 보안 포터블 디바이스이다. OTP 인증 디바이스(110)의 핵심은 상기 OTP 인증 디바이스(110)에 기록된 트리거(120) 및 보안 사용자 키(132)에 기반을 둔 일회용암호를 생성하도록 고안된 마이크로프로세서기반 암호 소프트웨어 루틴인 OTP 생성기(130)이다. 일반적으로, 상기 OTP 디바이스(110)는 보안 사용자 키(132) 데이터로의 액세스 및/또는 상기 보안 사용자 키(132) 데이터를 변경하는 것을 방지하는 접근이 어렵고 조작이 방지되도록 구축된다.
트리거(120)는 OTP 생성기(130)에 의한 하나의 암호 생성 동작으로부터 다른 생성 세션으로 변하고, 그결과 암호의 "일회용" 측면을 제공하는 엘리먼트이다. 트리거(120) 생성을 위한 배경 기술에서의 3 개의 일반적인 접근 방식은 서버(170)로부터 수신된 랜덤 챌린지(120A), OTP 인증 디바이스(110)에 내장된 정확한 실시간 클록(120B)으로부터 수신된 풀 데이트 시간 스트링, 또는 각각의 연속적인 암호 생성에 대해 1 씩 증가하는 카운터(120C)이다.
이러한 개시를 통해, "세션 OTP 데이터"는 트리거(120) 및 보안 사용자 키(132)로부터 도출된 데이터라고 한다. 이러한 세션 OTP 데이터는 2 개의 팩터(또는 다수의 팩터) 인증 데이터를 제공하는 사용자 인증 데이터(즉, 암호, 생물학적 데이터 등)를 가지고 OTP 인증 디바이스(110) 및/또는 클라이언트 워크스테이션(160) 내에서 조합된다. 상기 조합이 상기 OTP 인증 디바이스(110)내에서 영향을 받는 특정한 경우, 상기 2 팩터 인증 데이터는 "세션 OTP 데이터"의 형태 그자 체이다. 그럼에도 불구하고, 상기 세션 OTP 데이터가 상기 사용자키(132) 및 트리거(120)로부터 도출되는 한, 상기 OTP 디바이스(110)로부터 클라이언트 워크스테이션(160)에 제공된 상기 "세션 OTP 데이터"는 사용자-제공 데이터(즉, 암호/PIN 데이터 또는 생물학 데이터)로부터 도출된 멀티-팩터 인증 데이터가 될 수 있다는 명백한 요구조건이 없다.
선택적으로 그리고 일반적으로, 사용자 식별자(또는 사용자 식별 모듈)(134)가 OTP 인증 디바이스(110)를 찾아내거나 훔치는 사람에 의해 오용되는 것을 방지하기 위해 상기 OTP 인증 디바이스(110)에 제공될 수 있다. 다수의 구현에서, OTP 생성기(130)는 사용자 식별자(134)가 포지티브 사용자 인증을 제공하지 못한다면, 세션 OTP 데이터를 생성하지 않을 것이다(또는 전송하지 않을 것이다).
사용자 식별을 위한 일반적인 방법은 개인 식별 번호(PIN)를 수신하는 작은 키패드, 생물학 센서, PIN 또는 컴퓨터/클라이언트 워크스테이션으로부터 수신된 기타 데이터(일반적으로, 클라이언트 워크스테이션(160)의 키보드에 의한 클라이언트 워크스테이션(160)으로의 입력)를 체크하는 비교기이다.
OTP 인터페이스(140)는 OTP 인증 디바이스(110)와 컴퓨터(160) 사이의 OTP 연관 데이터를 교환하기 위해 인증 디바이스 인터페이스(164)와 인터페이싱한다. 특히, OTP 생성기(130)가 세션 OTP를 생성할 때마다, OTP 전송기(도시되지 않음)가 상기 OTP 디바이스(110)으로부터 세션 OTP를 "전송"한다(즉, OTP 인터페이스(140)를 통해 세션 OTP 데이터를 컴퓨터(160)로 제공하도록 데이터 교환을 디스플레이하고 및/또는 데이터 교환을 실행한다).
OTP 인터페이스(140)에 대한 일반적인 구현은: 암호를 판독하고 동일한 것을 인증 디바이스 인터페이스(164)로 기능하는 키보드로 수동으로 입력하기 위해 사용자에 의해 사용되는 디스플레이(140A)(그런다음 선호하는 트리거(120)가 실시간 클록(120B) 또는 카운터(120C)가 된다.); 양방향 시리얼 통신을 구축하기 위해 인증 디바이스 인터페이스(164)로서 기능하는 매칭 USB 인터페이스와 인터페이싱하는 USB 인터페이스(140B)(또는 기타 "접촉" 인터페이스), 또는 인증 디바이스 인터페이스(164)로서 기능하는 호환가능한 적외선/무선주파수 트랜시버와 인터페이싱하는 IR/RF 인터페이스(140C)(또는 기타 "무선 인터페이스")이다. USB(140B) 및 IR/RF 인터페이스(140C)의 경우, 트리거(120)에 대한 3개의 모든 접근 방식이 유효하다.
OTP 인터페이스(140)가 디스플레이(140A)에 적용하는 경우는 OTP 인증 디바이스(110)와 컴퓨터(160) 사이에 직접적인 전자 통신링크를 필요로하지 않음을 유의하라. 다수의 예에서, 사용자는 사용자 인증 데이터(즉, 예를 들면 제 2의 "2-팩터" 인증을 위한 암호 및/또는 생물학적 데이터) 뿐만 아니라 상기 디스플레이(140B)로부터 판독된 세션 OTP 데이터(140) 모두를 상기 데이터가 2-팩터 인증 암호를 생성하기 위해(이것은 그 자체가 OTP 유형임) 조합되는 클라이언트 워크스테이션(160)으로 입력할 것이다.
서버(170)는 OTP 검증기(178)의 승인시에만 서버 애플리케이션(182)으로하여금 타겟 서비스를 클라이언트 애플리케이션(168)으로 제공하도록 한다. OTP 검증기(178)는 컴퓨터(160)를 통해 OTP 인증 디바이스(110)로부터 수신된 암호를 체크하고 사용자 키(132)와 트리거(120)를 고려하는 처리 및 암호 수단을 포함한다. 사용자 키(132)는 사용자 데이터베이스(176)로부터 검색되고, 이것은 자신들의 사용자 이름과 키를 포함하는 적합한 사용자의 기록을 포함한다. 트리거(120)의 값은 트리거 동기장치(174)로부터 OTP 검증기(178)에 의해 검색되고, 이는 챌린지 생성기, 실시간 클록 또는 카운터를 포함하며, 챌린지(120A), 실시간 클록(120B) 및카운터(120C) 각각으로부터 선택된 트리거(120)에 대한 방법에 대응한다.
도 1B는 도 1A의 동일한 종래기술 시스템을 도시한다. 도 1B에서, OTP 인증 디바이스(110), 컴퓨터(160)(즉, 클라이언트 워크스테이션), 서버(170)의 배치가 명확하게 도시된다. 보다 특정하게, 도 1B에 도시된 바와 같이, 클라이언트 워크스테이션/컴퓨터(160)는 ISP에 의해 제공된 WAN 게이트웨이(22)(ISP 액세스 포인트)를 가진 인터넷 액세스 링크(예를 들면, 광대역 링크, 다이얼업 링크, 소호링크, 또는 기타 ISP(인터넷 서비스 공급자) 액세스 링크, 또는 이동 디바이스로 서핑을 하기 위한 이동전화 인터넷 액세스 링크)를 통해 광역 네트워크(20)로 연결된다. 상기 서버(170)는 클라이언트 워크스테이션(160)으로 광역 네트워크(20)(일반적으로, 패킷 스위칭된 프로토콜을 이용하여)를 통해 세션 OTP에 대해 요청을 전송한다. 클라이언트 워크스테이션(160)에 의해 이러한 요청을 수신할 때, 상기 OTP 인증 디바이스(110)는 세션 OTP를 클라이언트 워크스테이션(160)으로 전송한다(자동 또는 사용자가 클라이언트 워크스테이션의 키보드를 통해 입력함으로써). 이러한 세션 OTP 데이터는 서버(170)로 직접 포워딩되거나 또는 인증 데이터(즉, 암호, 핀, 생물학적)와 결합되고, 그런다음 광역 네트워크(즉 인터넷)(20)를 통해 서버(170)로 전송된다.
도 2는 종래 일부 배경기술에 따라 도 1A-1B의 시스템(100)의 동작을 기술한다. 단계(201)에서, 컴퓨터(!60)의 사용자는 클라이언트 애플리케이션(168)을 런칭한다. 클라이언트 애플리케이션(168)은, 사용자에게 데이터에 대한 액세스 또는 트랜잭션을 하는 것과 같은 원하는 타겟 기능성을 제공하기 위해 서버 애플리케이션(182)과 통신하고 상호작용할 필요가 있다. 단계(221)에서, 서버 애플리케이션(182)은 OTP에 의한 사용자 인증에 대한 요청으로 클라이언트 애플리케이션(168)에 응답한다. 이러한 요청은 OTP 인증 디바이스(110)로 전송되고, 여기서 OTP 생성기(130)는 단계(221)에서 OTP를 생성하기 위한 트리거를 트리거 유닛(120)으로부터 요청한다. 상기 트리거가 챌린지(120A)라면 서버(170)는 트리거 동기장치(174)에서 랜덤 챌린지 스트링을 생성하고 그것을 컴퓨터(160)를 통해 OTP 생성기(130)로 제공한다; 상기 트리거가 임의의 실시간 클록(120B) 또는 카운터(120C)라면, 그것은 OTP 인증 디바이스(110)내에서 스스로 생성된다. 단계(231)에서, OTP 생성기(130)는 OTP를 생성하기 위해 트리거(120)와 사용자 키(132)를 처리한다. 단계(241)에서, 단계(231)에서 생성된 OTP가, 상기 OTP로부터 서버(170)로 유도된 데이터를 포워딩하는 클라이언트 워크스테이션(160)으로 상기 OTP 디바이스(110)로부터 전송된다. 단계(251)에서, OTP 검증기(178)는 트리거 동기장치(174)로부터 검색된 트리거와 사용자 데이터 베이스(176)로부터 검색된 사용자 키에 기초하여 예측된 OTP를 연산하고, 그것을 컴퓨터(160)를 통해 OTP 인증 디바이스(110)로부터 수신된 OTP와 비교한다. 상기 검증이 포지티브하다면, 스텝(261)은 상기 프로세스를 스텝(271)로 라우팅하고, 여기서 클라이언트 서버 세션은 클라이언트 애플리케 이션(168)과 서버 애플리케이션(182) 사이의 협력을 통해 원하는 타겟 서비스를 제공하는 것을 시작하고; 상기 검증이 네거티브라면, 그런다음 단계(261)는 상기 프로시저를 단계(281)로 라우팅하고, 여기서 서버(170)는 컴퓨터(160)로부터 수신된 서비스 요청을 거절하고, 사용자는 컴퓨터(160)에 의해 통지된다.
배경기술의 일반적인 사용자 인증 방법을 사용하는 상술한 시스템은 서비스 공급자(서버(170)를 운영하는)에 의한 사용자의 인증(컴퓨터(160)를 사용하는)에 초점을 맞춘다. 새로운 모드의 사기, 코인드 "피싱"이 소개되고 주된 사기 방법이 될 때까지, 이러한 단방향 인증 방법은 상당히 보호된 서비스 공급자와 사용자를 사용자 신분을 훔치는자로부터 상당히 보호하여왔다. 피싱에서, 사용자는 자신의 은행 또는 적법하고, 평판이 높은 인터넷 상업 사이트로부터 보내진 것으로 가장한 이메일 메시지에 의해 어드레스된다. 상기 메시지는 사용자에게 자신의 상세사항을 업데이트하거나 또는 상업 트랜잭션을 처리하도록 요청한다. 이러한 프로세스동안, 사용자는 자기자신을 인증하도록 요청받고, 그가 제공하는 정보는 상기 사용자의 신원정보를 훔치는 범죄자에 의해 사용되고, 사용자 앞으로의 다른 거래를 제공한다. 사용자에 의해 제공된 사용자이름과 암호는 상기 범죄자에 의해 보다 많은 트랜잭션에 재사용되기 때문에, 사용자 이름과 암호의 조합은 피싱에 대해 매우 취약하다. OTP의 사용은 피싱의 효과를 드라마틱하게 감소시키지만, 소위 "맨인더미들(man-in-the-middle)"이라고하는 피싱의 변종에 대해서는 완전한 보호를 제공하지는 못한다. 맨인더미들 공격에서, 위장 사이트로부터의 메시지는 사용자에게 적법한 뱅킹 또는 상업적 트랜잭션으로 보이게 하는 것을 시작한다. 트랜잭션이 발생하는 동안, 범죄자는 실제 사이트로 자신의 트랜잭션을 처리한다. 상기 범죄자는 OTP 기반 인증 세션을 통과하고 그런다음 돈을 이체하거나 또는 상품을 자신 또는 자신의 파트너에 전송하게하는 트랜잭션을 처리한다.
맨-인-더-미들 공격의 위험에 있는 환경에서 보안성을 증가시키는 기술에 연관된 공개된 다수의 문서가 있다. 잠재적으로 연관된 특허 및 공개된 특허 출원은 모두가 그 전체가 참조로 통합된, US20010045451, US20060041759, US6141752, WO2005098630, WO06018647, WO06062838을 포함한다.
RSA Security, Inc.로부터의 백서 "Enhancing One-Time Passwords for Protection Against Real-Time Phishing Attacks"는 OTP 디바이스(즉, 전자 토큰)가 클라이언트 워크스테이션과 함께 사용되는 기술을 개시한다. 상기 OTP 디바이스는 클라이언트 워크스테이션(예를 들면 트리거-도출 데이터가 USB 인터페이스를 통해 제공된 USB 인터페이스를 통해 통신하는 "접촉" OTP 디바이스)과 통신하거나 또는 트라이거-도출 OTP-코드(즉, 트리거 도출 데이터)를 클라이언트 워크스테이션의 키보트로 타이핑하는 인간 사용자에 의해 사용된다. 상기 트리거-도출 OTP-코드(자동으로 제공되거나, 또는 OTP 토큰의 스크린으로부터 복사된)가 클라이언트 워크스테이션 상에서, "2-팩터" 암호를 제공하도록 클라이언트 워크스테이션으로 입력된 암호/PIN 데이터로 조합된다. 보다 특정하게, 이러한 암호/PIN 데이터를 브라우저로 입력하고 직접 상기 조합된 데이터 2-팩터 인증 데이터를 인터넷을 통해 전송하는 대신에, 상기 사용자 암호/PIN을 수신하기 위한 클라이언트 워크스테이션 상에 상주하는 소프트웨어 "암호 보호 모듈"(PPM)(일반적으로 상기 브라우저 와는 독립된)이 제공된다. 클라이언트 워크스테이션 상에서, 상기 PPM 모듈은 사용자 암호/PIN을 상기 OTP 디바이스 토큰에 의해 제공된 OTP 데이터와 조합한다. 상기 클라이언트 워크스테이션으로부터 서버로 전송하기전에, 상기 조합된 데이터는 요청 서버의 신원확인에 따라 상기 PPM에 의해 암호화/해시된다. 이것은 아마도 상기 해싱된 암호에 액세스하고, 상기 OTP 데이터 및/또는 2-팩터 인증 데이터 및/또는 사용자 인증 데이터를 알게되는 것을 상기 "맨-인-미들"이 어렵도록한다.
상기 PPM이 일반적으로 상기 공격하기 쉬운 브라우저로부터의 독립 애플리케이션이더라도, 이러한 종래기술의 하나의 단점은, 상기 OTP 인증을 요청하는 서버가 적법하지 않은 위험이 있음에도 불구하고, 상기 잠재적으로 안전하지않은 클라이언트 워크스테이션에 대한 일반적으로 접근이 어려운 OTP 디바이스로부터의 상기 세션 OTP 데이터가 항상 제공되는(사용자 또는 디바이스 인터페이스를 통해)것이다.
피싱과 맨-인-더-미들의 위험에 기인하여, 인증된 파티에 의한 액세스로부터의 OTP 데이터를 보호하기 위한 개선된 방법 및 장치에 대한 진행중이 요구가 있다.
본 발명은 지금 피싱 공격을 효과적으로 방지하기 위한 일회용 암호(OTP) 설비에 의해 제공되는 보호를 확장하는 시스템 및 기능을 기술한다. 특정하게, 본 발명자는, 지금 세션 OTP 요청하는 서버가 적법한 서버임을 지시하는 경우에만, 클라이언트 워크스테이션으로 세션 OTP 데이터를 제공하는 것이 유리하다는 것을 기술한다. 그렇지 않다면, 상기 세션 OTP 데이터를 요청하는 서버가 적법한 서버인 것을 나타내지 않는다면(또는 충분히 지시하지 못한다면), 상기 OTP 디바이스가 상기 클라이언트 워크스테이션/단말로부터의 세션 OTP 데이터를 보류하는 것이 유리하다.
명확한 요구조건이 없다면, 일 실시예에서, 요청 서버가 적법한지 아닌지 여부를 판정하는 것에 연관된 특정한 기능은 또한 상기 접근이 어렵고 OTP 디바이스 내에서 구현되고, 그에 의해 상기 서버의 신원확인을 검증하기 위한 메커니즘을 조작하는 것(예를 들면, 크랙커 및/또는 사기꾼 및/또는 맨-인-더-미들에 의해)에 대한 추가적인 보호를 제공한다. 대안으로, 또는 추가로, 이러한 기능성이 클라이언트 워크스테이션에서 구현된다.
먼저 세션 OTP 데이터의 전송을 핸들링하는 방법이 기술된다(예를 들면, 세션 OTP에 대한 서버-생성 요청에 따라). 상기 현재 기술된 방법은 서버, 광역 네트워크(예를 들면 인터넷)를 통해 서버와 통신하는 클라이언트 워크스테이션, 및 디바이스 인터페이스(즉, '접촉' 또는 '무선 인터페이스'를 통해)를 통해 클라이언트 워크스테이션과 인터페이스하는 OTP 토큰을 구비하는 시스템에서 구현된다. 본 기술된 방법은 (a) 적어도 부분적으로 서버를 식별하는 정보를 서버로부터 수신하는 단계(OTP 디바이스 및/또는 클라이언트 워크스테이션에 의해); (b) 상기 식별 정보가 적법한 서버를 지시하는 지를 판정하는 단계; 및 (c) 상기 판정에 따라, ⅰ) OTP 토큰으로부터 내부적으로 생성된 세션 OTP를 지시하는 데이터(즉, 클라이언트 워크스테이션 내에서가 아니라 OTP 토큰 내에서 생성된 세션 OTP로서, 트리거와 보안 사용자 키, 그리고 옵션으로 사용자 인증 데이터에 따라 생성된 세션데이터)를 전송하는 단계, 및 ⅱ) 상기 전송을 억제하는 단계;로 구성되는 그룹으로부터 선택된 하나의 동작을 수행하도록 결정하는(즉, 상기 OTP 트큰 및/또는 클라이언트 워크스테이션에 의해) 단계를 포함한다. 상기 결정이 포지티브한 결정(즉, 세션 OTP를 지시하는 데이터를 전송하는 결정)인 경우에만, 상기 OTP 토큰으로부터 상기 세션 OTP를 지시하는 데이터를 전송한다.
일부 실시예에 따라, 상기 전송 단계는 상기 결정이 포지티브한 경우에만, 상기 인터페이스를 통해 상기 OTP 토큰으로부터 상기 클라이언트 워크스테이션으로 상기 지시 데이터의 디바이스 상호간의 데이터 전송을 유효화하는 단계를 포함한다.
일부 실시예에 따라, 상기 전송 단계는 상기 결정이 포지티브한 경우에만, 상기 OTP 토큰의 디스플레이 스크린 상에 상기 세션 OTP를 지시하는 데이터를 표시하는 단계를 포함한다.
일부 실시예에 따라, 상기 세션 OTP를 지시하는 데이터는 사용자 인증 데이터로부터 도출된 멀티-팩터 인증 데이터이다.
또는, 상기 세션 OTP를 지시하는 데이터는 사용자 인증 데이터에 독립적이다.
일부 실시예에 따라, 상기 방법은, d) 상기 결정이 네거티브한 결정이라면, 상기 OTP 토큰에 의해 상기 세션 OTP를 생성하는 것을 방지하는 단계를 더 포함한다.
일부 실시예에 따라, 상기 방법은 d) 상기 결정이 네거티브한 결정이라면,ⅰ) 내부적으로 상기 OTP 토큰내에서 상기 세션 OTP를 생성하는 단계; 및 ⅱ) 상기 세션 OTP가 상기 OTP 토큰내에 남아있는 상태를 유지하는 단계를 더 포함한다.
일부 실시예에 따라, 상기 방법은 (d) 상기 수신단계 전에, 상기 OTP 토큰 내에서 내장된 보안 브라우저를 사용하는 단계, 상기 OTP 토큰과 서버 사이에서 보안 세션을 오픈하는 단계를 더 포함한다.
일부 실시예에 따라, 상기 방법은 (e) 상기 세션의 오픈하는 단계 후에, 상기 OTP 토큰으로부터 클라이언트 워크스테이션으로 상기 세션의 클라이언트 엔드를 전송하고, 여기서 상기 수신 및 판정의 적어도 하나는 상기 클라이언트 워크스테이션에서 수행되는 단계를 더 포함한다.
일부 실시예에 따라, 클라이언트 말단 및/또는 세션의 엔드는 상기 식별 정보가 상기 서버로부터 상기 OTP 토큰에 의해 수신된 때에, 상기 내장된 브라우저에 유지된다(즉, 상기 클라이언트 워크스테이션은 ""데이터 관로"로 사용되고, 상기 통신은 상기 OTP 디바이스 내에서로부터 관리된다).
일부 실시예에서, 상기 수신단계는 상기 서버와 상기 OTP 토큰 사이의 통신 링크를 통해 상기 OTP 토큰(즉, 상기 OTP 토큰 내에 내장된 브라우저)에 의해 수행되고, 즉, 상기 OTP 토큰은 상기 세션의 클라이언트 엔드이고, 상기 클라이언트 워크스테이션은 "데이터 관로"로서만 사용되고, 상기 통신은 상기 OTP 디바이스내에서로부터 관리된다.
일부 실시예에서, 상기 판정단계는 상기 OTP 토큰 내에서 수행된다. 일부 실시예에 있어서, 이것은, 상기 OTP 토큰 내에서의 환경의 접근이 어렵고 및/또는 조작이 방지되는 속성에 따른 보안의 부가적 측정을 제공할 수 있다.
일부 실시예에서, 상기 판정단계는 상기 OTP 토큰 내에서 상주하는 데이터베이스로 쿼리(클라이언트 워크스테이션 및/또는 상기 OTP 토큰 내에 상주하는 데이터베이스 클라이언트 코드로부터)를 유효화하는 것을 포함한다.
일부 실시예에서, 상기 데이터베이스는 불변의 데이터베이스이다. 따라서, 일 실시예에 따라, 금융기관 또는 금융기관의 그룹은 디바이스 내에 내장된 적법한 서버(즉, 금융기관 또는 금융기관의 그룹에 연관된)의 "바람직한 리스트"를 가진 OTP 디바이스를 배포한다. 이러한 바람직한 리스트는 불변이고, 이것은 "포괄적인 해결안"을 제공하지 않지만, 배포 금융기관(및/또는 그들의 고객)에 대해 적절한 것이다. 서버에 대해 적법성을 인증하는 데이터베이스의 상기 불변의 속성은 또한 보안의 추가된 측정을 제공한다.
일부 실시예에 따라, 상기 데이터베이스는 수용가능한 URL의 미리 정해진 리스트, 수용가능한 IP 어드레스의 미리정해진 리스트, 및 공인인증 필드에 대한 수용가능한 값의 미리정해진 리스트를 포함한다.
일부 실시예에 따라, 상기 판정은 수신된 하나의 통신의 프로토콜 데이터(예를 들면, 서버의 IP 어드레스를 지시하는 전송된 패킷 데이터로부터 추출함으로써), 및 수신된 통신에서 전송된 공인인증 데이터, URL 데이터 및 IP 어드레스 데이터 중 적어도 하나에 따라 수행된다.
일부 실시예에 따라, 상기 판정은 상기 서버로부터 수신된 공인인증의 일부 속성에 따라서만 수행된다. 따라서, 일예에서, 공인인증은 다수의 필드를 가지지만, 일부이고 모든 공인인증 필드가 아닌 필드가 상기 서버의 적법성을 확인/판정하는 데에 사용된다. 이것은 다수의 예시적인 시나리오, 예를 들면, 서버의 "패밀리" 또는 서버 파라미터를 정의하는 것이 바람직한 경우(그에 의해 '부분적으로' 서버의 식별자를 정의)에 유용하다. 예를 들면, 발급자(예를 들면, 은행 또는 보안 서버의 기타 오퍼레이터)는 하나 이상의 공인인증 공급자와 작업하고, 그 결과 이러한 필드는 상기 공인인증을 검증할 것을 요청받지 않는다. 예를 들면, 은행은 특정한 그룹에 다수의 서버를 배치하고, 상기 그룹의 서버가 세션 OTP 요청을 발급하는 것을 지정하는 공인인증 필드 데이터는 사용되지 않는 반면, 다른 필드가 사용될 수 있다. 이것은 발급자(예를 들면 은행)가, 상기 OTP 디바이스가 발급되는 때에 서버 식별 파라미터(예를 들면, 불변의 데이터베이스를 포함하는)를 완벽하게 지정할 필요는 없는 유연성을 가지도록 한다.
상기 일부 상황에 보안을 제공하는 "불변의 데이터베이스"는 본 발명의 한정사항이 아님에 유의하라.
일실시예에서, 상기 전송된 데이터는 암호화 및/또는 해시된다.
먼저, 광역 네트워크를 통해 서버와 통신하는 클라이언트 워크스테이션으로 사용하는 OTP 토큰에 대해 개시된다. 본 개시된 OTP 디바이스는; (a) 적어도 부분적으로 서버를 식별하는 정보를 포함하는 데이터를 클라이언트 워크스테이션으로부터 수신하는 디바이스 포트(즉, USB 포트와 같은 것으로부터 연유한 '접촉' 및/또는 무선의 하나 이상의 디바이스 포트); (b) 상기 정보가 적법한 서버를 지시하는 지를 판정하는 서버 적법성 엔진; (c) 세션 OTP를 생성하도록 동작하는 OTP 생성기; 및 (d) 판정의 결과에 따라, ⅰ) OTP 토큰으로부터 세션 OTP를 지시하는 데이터를 전송하는 단계, 및 ⅱ) 상기 전송을 억제하는 단계;로 구성되는 그룹으로부터 선택된 하나의 동작을 수행하는 것을 결정하도록 동작하는 OTP 전송 결정 엔진을 포함한다.
일실시예에서, 상기 디바이스는 c) 세션 OTP를 지시하는 데이터를 전송하는 OTP 전송기를 더 포함하고, 여기서 상기 OPT 전송기는 다음과 같은 특징을 가진다.
일부 실시예에 따라, 상기 OTP 전송기는 상기 결정이 포지티브하다면, 데이터 포트를 통해 클라이언트 워크스테이션으로 상기 세션 OTP를 지시하는 데이터를 전송하도록 동작한다.
일부 실시예에 따라, 상기 OTP 토큰은, (d) 상기 엔진이 상기 식별정보가 상기 적법한 서버를 지시하는 것으로 판정하는 경우에만, 상기 OTP 전송기가 데이터 디스플레이로 세션 OTP를 지시하는 데이터를 전송하도록 동작하는, 데이터 디스플레이를 더 포함한다.
일부 실시예에 따라, 상기 OTP 토큰은 (d) 상기 내장된 브라우저가 상기 OTP 토큰과 상기 서버 사이의 보안 세션을 오픈하도록 동작하는, 상기 OTP 토큰 내에 내장된 보안 브라우저를 더 포함한다.
일부 실시예에 따라, 상기 내장된 보안 브라우저는 상기 보안 세션동안, 상기 식별 정보를 수신하도록 동작한다.
일부 실시예에 따라, 상기 서버 적법성 엔진은, (d) 상기 서버 적법성 엔진이 상기 데이터베이스의 컨텐츠에 따라 판정하는 것을 수행하도록 동작하는, 미리정해진 데이터의 데이터베이스를 포함한다.
일부 실시예에 따라, 데이터베이스는 불변의 데이터베이스이다. 이것은 예를 들면, 미리정의된 서버 그룹으로 동작하는 특별한 OTP 디바이스( 범용 OTP 디바이스가 아닌)가 배포되고, 사기꾼 및/또는 범죄자 및/또는 크래커가 서버를 추가하도록 데이터베이스를 변조하지 못하도록 추가된 보안을 제공하는 것이 바람직한 경우에, 유용하다.
일부 실시예에 따라, 상기 데이터베이스는 수용가능한 URL의 미리정해진 리스트, 수용가능한 IP 어드레스의 미리정해진 리스트, 및 공인인증 필드의 수용가능한 값의 미리정해진 리스트를 포함한다.
일부 실시예에 따라, 상기 서버 적법성 엔진은 상기 서버로부터의 통신의 프로토콜 데이터 및 상기 서버로부터의 통신에서 전송된 공인인증 데이터 중 적어도 하나에 다라 상기 판정을 수행하도록 동작한다.
일부 실시예에 따라, 상기 서버 적법성 엔진은 상기 서버로부터 수신된 공인인증의 일부 속성에 따라서만 판정을 수행하도록 동작된다.
일부 실시예에 따라, 상기 OTP 생성기는 사용자 인증 데이터에 따라 상기 세션 OTP를 생성하도록 동작하고, 그에 의해 멀티-팩터 인증 데이터로서 세션 OTP를 생성한다.
일부 실시예에 따라, 상기 디바이스는 (e) 상기 사용자 인증 데이터를 인증하는 사용자 식별 모듈을 더 포함한다.
일부 실시예에 따라, 상기 OTP 전송 결정 엔진은 상기 사용자 인증 데이터의 인증의 결과에 따라 결정을 수행하도록 동작한다.
세션 OTP 데이터의 전송을 핸들링하는 시스템을 먼저 개시한다. 본 기술된 시스템은, a) 광역 네트워크를 통해 서버와 통신하는 클라이언트 워크스테이션; b) 상기 클라이언트 워크스테이션과 인터페이싱하고, ⅰ) 상기 클라이언트 워크스테이션과 인터페이싱하는 디바이스 포트, 및 ⅱ) 세션 OTP를 생성하도록 동작하는 OTP 생성기를 포함하는 OTP 토큰을 포함하고; 상기 OTP 토큰과 클라이언트 워크스테이션 중 적어도 하나는 상기 서버를 식별하는 정보를 수신하도록 동작하는 시스템이고, 상기 시스템은, 또한 c) 상기 정보가 적법한 서버를 지시하는지 여부를 판정하며, 상기 OTP 토큰 및 클라이언트 워크스테이션 중 적어도 하나에 적어도 부분적으로 상주하는 서버 적법성 엔진; d) 상기 판정의 결과에 따라, ⅰ) 상기 OTP 토큰으로부터 상기 세션 OTP를 지시하는 데이터를 전송하고; ⅱ) 상기 전송을 억제하는 단계로 구성된 그룹으로부터 선택된 하나의 동작을 수행하는 것을 결정하도록 동작하며, 상기 OTP 토큰과 상기 클라이언트 워크스테이션 중 적어도 하나에 적어도 부분적으로 상주하는 OTP 전송 결정 엔진을 더 포함하는 시스템이다.
먼저, 컴퓨터 판독가능 저장 매체에 내장된 컴퓨터 판독가능 코드를 가진 컴퓨터 판독가능 저장 매체로서, 상기 컴퓨터 판독가능 코드는, a) 광역 네트워크를 통해 서버와 통신하는 클라이언트 워크스테이션과 상기 서버와 인터페이싱하는 OTP 토큰 중 적어도 하나에 의해 상기 서버를 적어도 부분적으로 식별하는 정보를 수신하고; b) 상기 식별 정보가 적법한 서버를 지시하는지를 판정하고; c) 상기 판정에 따라, ⅰ) 상기 OTP 토큰으로부터 내부적으로 생성된 세션 OTP를 지시하는 데이터를 전송하는 단계, 및 ⅱ) 상기 전송을 억제하는 단계로 구성되는 그룹으로부터 선택된 하나의 동작을 수행하는 것을 결정하는; 명령을 포함하는 컴퓨터 판독가능 저장 매체가 개시된다.
이러한 그리고 추가적인 실시예는 하기의 상세한 설명과 예시에 의해 명확하게 될 것이다.
도 1A-1B(종래 기술)는 세션 OTP 요청 서버(170), 인터넷(20)을 통해 상기 서버(170)와 통신하는 컴퓨터/클라이언트 워크스테이션(160), 및 상기 클라이언트 워크스테이션(160)으로 사용하는 OTP 디바이스/토큰(110)을 포함하는 예시적인 시스템의 각각의 블록도를 제공한다.
도 2는 OTP 디바이스(110)에 의해 생성된 OTP로 클라이언트-서버 세션을 시작하는 종래 기술의 루틴의 플로우 도를 제공한다.
도 3A-3B는 본 발명의 실시예에 따라 세션 OTP 요청 서버(170), 인터넷(20)을 통해 상기 서버(170)와 통신하는 컴퓨터/클라이언트 워크스테이션(360), 및 상기 클라이언트 워크스테이션(160)으로 사용하는 OTP 디바이스/토큰(310)을 포함하는 예시적인 시스템(300)의 각각의 블록도를 제공한다.
도 3C는 예시적인 OTP 인증 디바이스/토큰(310)의 블록도를 제공한다.
도 3D는 예시적인 서버 적법성 엔진(340)의 블록도를 제공한다.
도 3E는 예시적인 클라이언트 워크스테이션/컴퓨터(360)의 블록도를 제공한 다.
도 4A는 본 발명의 일실시예에 따라 OTP 디바이스(110)에 의해 생성된 OTP로 클라이언트-서버 세션을 시작하는 루틴의 플로우 도를 제공한다.
도 4B는 OTP 토큰으로부터의 세션 OTP 전송을 핸들링하는 루틴의 플로우도를 제공한다.
본 발명이 다수의 실시예와 예시적인 도면으로 본문에서 예시의 방식에 의해 기술되었지만, 당업자는 본 발명이 기술된 실시예 또는 도면에 한정되지 않음을 이해할 것이다. 그에 대한 도면과 상세한 설명은 기술된 특정한 형태로 본 발명을 한정하는 것을 의도하지 않고, 본 발명은 본 발명의 취지와 범위 내에서 모든 변형, 등가물, 및 대안을 포함한다는 것을 이해해야한다. 본 출원서 전체에서 사용되는, "할수있다"는 단어는 허용의 의미(즉, "~을 할 가능성이 있다")로 사용되고, 강제적인 의미(즉, "~해야한다")로 사용되는 것은 아니다.
본 발명은 특정한 예시적인 실시예로 기술될 것이다. 본 발명이 기술된 예시적 실시예에 한정되는 것이 아니라는 것이 이해될 것이다. 또한 본 개시된 세션 데이터를 핸들링하는 장치, 디바이스, 및 컴퓨터 판독가능한 코드의 모든 특징이 첨부된 청구범위 중 특정한 하나에서 주장되는 본 발명을 구현하기 위해 필요한 것은 아니라는 것이 이해되어야한다. 디바이스의 다양한 엘리먼트 및 특징이 본 발명을 완전히 이네이블하게 하기 위해 기술된다. 하나의 단계가 먼저 실시된 다른 단계에 따른다는 것이 문맥에서 명확하지 않다면, 프로세스 또는 방법이 도시되거 나 기술된 본 설명을 통해, 상기 방법의 단계들은 임의의 순서로 또는 동시에 수행될 수도 있다는 것이 또한 이해되어야한다. 명확한 반대의 문구가 없다면, 클라이언트 워크스테이션, 서버, 또는 OTP 토큰의 임의의 개시된 컴포넌트는 하드웨어 및/또는 소프트웨어 및/또는 펌웨어의 임의의 조합으로 구현될 수 있다.
도 3A-3E를 참조하면, 이는 본 발명의 바람직한 실시예에 따라 구축된 시스템(300)을 기술한다. 상기 시스템(300)의 특정한 블록 및 기능이 도 1A-1B의 시스템(100)의 상당하는 블록 및 기능과 유사 또는 동일하다는 것에 유의하라. 따라서, 도 3A-3D의 OTP 인증 디바이스(310)는 사용자 키 리포지토리(132)의 컨텐츠 및 트리거(120)의 출력에 따라 세션 OTP 데이터를 생성하는 OTP 생성기(330) 및 트리거(120)를 포함한다. 선택적으로, 상기 세션 OTP 데이터는 또한 사용자 인증 데이터(예를 들면, 사용자 식별자(134)에 의해 핸들링되는)에 따라 생성된다. 또는, 상기 세션 OTP 데이터는 사용자 인증 데이터에 독립적이며, 트리거(120)의 출력과 사용자 키 리포지토리(132)(일반적으로, 사용자 키 데이터가 상주하는 접근이 어렵고 조작이 방지되는 비휘발성 메모리)의 컨텐츠에만 의존한다.
OTP 세션 데이터는 인터페이스(140)를 통해 OTP 전송기(342)에 의해, 상기 OTP 토큰 디바이스(310)로부터 상기 디스플레이 인터페이스(140A)의 일부로서 제공된 디스플레이 스크린으로, 또는 접촉 인터페이스(140B) 또는 무선 디바이스 인터페이스(140C)를 통해 클라이언트 워크스테이션(360)으로 전송된다.
상기 OTP 세션 데이터는 OTP 세션에 대한 요청이 수신될 때마다 상기 OTP 토큰(310)으로부터 무조건적으로 전송되는 것은 아니다. 오히려, 상기 전송은 OTP 전송 결정 엔진(344)에 의해 유효화되는 "진행/진행준비가 안됨" 결정에 따라 수행된다. 도 3A-3E에서, 특정한 컴포넌트(예를 들면, OTP 전송 결정 엔진(344), 사용자 식별자(134), 브라우저(350), 및 서버 적법성 엔진(340))가, 상기 컴포넌트 중 하나 이상이 OTP 토큰의 외부에 일부 또는 그 전체가 상주하는 실시예가 또한 본 발명자에 의해 고려되었음에도 불구하고, 상기 OTP 토큰(310) 내에 상주하는 것으로 도시된다.
상기 전송 결정 엔진(344)은 하나 이상의 팩터에 따라 상술한 "진행/진행준비가 안됨" 전송 결정을 수행한다. 일반적으로, 상기 OTP 토큰(310)은, 서버 적법성 엔진(340)이 세션 OTP에 대한 요청에 연관된 서버 식별자가 상기 요청 서버(170)가 적법한 것 같다고(사기꾼 또는 피셔 또는 "맨-인-더-미들"일 가능성이 더 적다고) 지시하는 것으로 판정할 때에만, 상기 안전한 OTP 토큰으로부터(덜 안전한 클라이언트 워크스테이션(360) 또는 디스플레이 스크린으로) 세션 OTP를 전송한다.
따라서, 도 3D를 참조하면, 예시적인 실시예에서, 서버 적법성 엔진(340)은 데이터베이스(362)와, 예를 들면 상기 데이터베이스(검색할 정도로 간단할 수 있는)에 "쿼리"하도록 동작하는 로직(360)을 포함한다는 것에 유의하라. 상기 데이터베이스는 "신뢰할 수 있는 서버"를 지시하는 미리정해진 데이터를 포함한다. 상기 서버 적법성 엔진(340)은 따라서 본 세션 OTP가 적법한 서버로 이루어지고, 전형적인 피싱에서와 같이 적법한 서버로 가장하는 위장 서버로 이루어지는 것은 아니라는 것을 검증하도록 동작한다. 상기 신뢰할 수 있는 서버의 데이터베이 스(360)는, 각각의 신뢰할 수 있는 서버에 대해, 예를 들면, IP(인터넷 프로토콜) 어드레스, URL(고유 리소스 로케이터) 또는 공인인증 데이터(예를 들면, 상세한 설명에서 논의된 것과 같은 '부분적' 공인인증 데이터) 중 적어도 하나를 포함하는 기록으로부터 형성된다.
예시적인 실시예에서, 상기 데이터베이스는 OTP 인증 디바이스(310)의 공급자(예를 들면, 자신의 고객들에게 그에 연관된 보안 세션을 위한 디바이스를 제공하는 은행)에 의하거나, 또는 상기 사용자에 의해 만들어진 엔트리를 통해, 또는 신뢰할 수 있는 파티로부터 상기 신뢰할 수 있는 서버의 파일을 수신하는 것 중 어느 하나에 의해 점유된다. 일부 실시예에서, 상기 데이터베이스는 불변이고, 상기 OTP 인증 토큰(310)의 "시핑" 전에 구성된다.
도 3E를 참조하면, 컴퓨터(360)(즉, 클라이언트 "워크스테이션")는 도 1A-1B의 컴퓨터(160)의 인증 디바이스 인터페이스와 동일한 인증 디바이스 인터페이스(164)를 가지고, 클라이언트 애플리케이션(368)은 자신의 신원을 검색(연결된 파티의 IP, URL, 및/또는 공인인증을 식별하기 위한 당업자에 공지된 표준 식별 서비스를 이용하여)하고 그 서버 신원을 입력으로서 OTP 인증 디바이스(310)의 서버 ID 검사기(334)로 전송하기 위한 문의 서버(170)의 추가적인 기능성을 가지며, 도 1A-1B의 클라이언트 애플리케이션(168)과 유사하다. 본 발명은 컴퓨터(360) 또는 서버(170)에 대한 변형을 필수적으로 요구하지는 않는다. 컴퓨터("클라이언트 워크스테이션")(360)는 서버(170)와 통신하는 데에 사용되는 임의의 컴퓨터화된 사용자 디바이스가 될 수 있음에 유의하라. 예를 들면, 컴퓨터(360)는 개인용 데스크탑, 랩탑, 또는 팜탑 컴퓨터, 휴대 전화 또는 양방향 페이저가 될 수 있다. OTP 인증 디바이스(310)는, 하나 이상의 컴퓨터(360)에 연결될 수 있는 자율적인 포터블 디바이스(전자 "토큰")이고, 디스플레이, USB 토큰, 토큰 기능을 가진 USB 디스크, 착탈가능 카드(예를들면 보안디지털(SD), 멀티미디어카드(MMC), 메모리스틱, 또는 SIM 카드) 등을 가진 키 팝과 같은 다양한 폼 팩터를 가질 수 있고; 또는 그것은 개인용 컴퓨터와 같은 다른 컴퓨터와 함께 사용된다면, 휴대전화가 될 수도 있다.
서버(170)가 본 발명을 "인지"할 필요는 없다는 것에 또한 유의하라. 이것은 기존 서버(170)를 공격하는 피싱의 위험을 감소시키기 위해 본 개시된 방법 및 장치 사이의 호환성을 제공한다.
도 4A는 본 발명의 일부 실시예에 따른 도 3A-3E의 시스템(300)의 운영을 기술한다. 대부분의 단계는 도 2의 것과 동일하며, 단계(401, 411, 421, 431)가 추가되었다. 따라서, 클라이언트 애플리케이션(368)이 단계(201)에서 런칭된 후에, 단계(401)에서 클라이언트 애플리케이션(368)하에서, 서버(170)의 ID는 컴퓨터(360)에 의해 검색되고, 서버 ID 검사기(334)의 일부를 형성하는 적법한 서버의 데이터베이스에 대해 서버 ID 검사기(334)에 의해 단계(411)에서 검증되도록 OTP 인증 디바이스(310)로 전송된다. 서버가 포지티브하게 검증된다면, 단계(421)는 상기 프로세스를 도 2에서 처럼 단계(211, 221, 231, 241, 251, 261, 271, 281)로 라우팅하고, 여기서 OTP는 OTP 인증 디바이스(310)의 OTP 생성기(330)에 의해 생성되고, 클라이언트-서버 세션을 실행하는 전제조건으로서 서버(170)에 의해 검증된다. 단계(411)에서 상기 검증이 네거티브하게 종료하면, 단계(421)는 상기 프로세 스를 단계(431)에서의 거절로 라우팅하고, 여기서 OTP 인증 디바이스(310)의 OTP 생성기(330)는 유효한 OTP를 생성하지 못하고, 프로시저는 클라이언트 애플리케이션(368) 또는 서버 애플리케이션(182)에 의해 종료될 것이다.
도 3 및 4의 구성은 OTP 인증 디바이스(310)와 양방향 통신을 요구하기 때문에, USB(140B) 또는 IR/RF 인터페이스(140C)의 사용이 바람직하다는 것에 유의하라. 그러나, OTP 인터페이스(140)가 OTP 인증 디바이스(310)와 컴퓨터(360) 사이에 통신 링크가 없는 디스플레이(140A)를 사용한다면, 상기 서버 ID의 엔트리는 키패드(사용자 식별자(134)에 대한 PIN 엔트리에 대해 사용할 수도 있는)와 같은 수동 입력 디바이스를 OTP 인증 디바이스(310)에서 필수적이 되도록 할 것이다. 따라서, 이경우에, 사용자는 OTP 인증 디바이스(310)로 메시지에 표시된 서버 ID를 타이핑하도록 컴퓨터(360)의 디스플레이 상의 메시지에 의해 프롬프트되고, 그런다음 디스플레이(140A) 상에 도시된 OTP를 컴퓨터(360)로 타이핑한다.
도 4B는 도 4A에 기술된 예시적인 인증 루틴의 서브-루틴을 기술한다. 따라서, 루틴(4B)은 도 4B에 기술된 것인 아닌 인증 루틴에 따라 수행된다.
도 4B를 참조하면, 먼저 적어도 국부적으로 서버를 식별하는 정보가 수신된다(385)(OTP 디바이스(110) 및/또는 클라이언트 워크스테이션에서). 그런다음, 식별 정보가 적법한 서버(387)를 지시하는지(즉, 서버(170)가 적법한/신뢰할 수 있는/진짜인지) 여부를 판정하는 것이 이루어진다(387)(예를 들면 서버 적법성 엔진(340)에 의해). 상기의 판정의 결과에 따라, "진행/진행준비가 안됨" 전송 결정(389)(덜 안전한 클라이언트 워크스테이션으로 OTP 세션 데이터를 전송하기 위한 - 광역 네트워크를 통해 서버(170)로 OTP 세션 데이터를 전송하는 것에 관한 결정이 필수적인 것은 아님)이 이루어진다(예를 들면 OTP 전송 결정 엔진(344)에 의해). 포지티브 결정(즉, 전송)의 이벤트(391)에서, OTP 세션을 지시하는 데이터가 "전송된다"(즉, 디바이스 인터페이스 또는 디스플레이 스크린 중 어느 하나를 통해). 그렇지않다면, 이것들은 상기 OTP 토큰(310)의 "외부"의 보다 덜 안전한 환경으로 상기 OTP 세션 데이터를 전송하는 것을 억제(431)한다.
본 출원서의 상세한 설명 및 청구범위에서, 동사 "구비한다", "포함한다", "갖는다", 및 그의 활용형 각각은, 상기 동사의 목적어 또는 목적어들이 상기 동사의 주어 또는 주어들의 멤버, 컴포넌트, 엘리먼트 또는 부분들의 완전한 목록을 제시하는 것이 필수적인 것이 아니라는 것을 지시하도록 사용된다.
본문에 인용된 모든 참조문헌은 그 전체가 참조에 의해 통합되었다. 참조문헌의 인용은 상기 참조문헌이 종래기술이라는 것을 자인하는 것은 아니다.
관사인 "a" 및 "an"은 상기 관사의 하나 이상(즉, 적어도 하나)의 문법적인 목적어를 지시하도록 본문에서 사용된다. 예시의 방식에 의해, "엘리먼트"는 하나의 엘리먼트 또는 하나 이상의 엘리먼트를 의미한다.
"포함하는"이라는 단어는 본문에서 "포함하지만 한정되는 것은 아님"이라는 어구를 의미하고, 그와 상호교환가능하게 사용된다.
"또는"이라는 단어는 본문에서 명확하게 달리 지시하지 않으면, "및/또는"이라는 단어를 의미하고 그와 상호교환가능하게 사용된다.
"~와 같은"이라는 단어는 본문에서 "~와 같지만 그에 한정되는 것은 아님"이 라는 의미의 어구를 의미하고, 그와 상호교환가능하게 사용된다.
본 발명은 예시의 방식으로 제공되고, 본 발명의 범위를 한정하지 않도록 의도된 그의 실시예의 상세한 설명을 이용하여 기술되었다. 상기 기술된 실시예는 상이한 특징을 구비하지만, 그의 모두가 본 발명의 모든 실시예에서 필수적인 것은 아니다. 본 발명의 일부 실시예는 상기 특징 중 일부 또는 그 특징들의 가능한 조합을 활용한다. 기술된 본 발명의 실시예의 변형과 기술된 실시예의 상술한 특징의 상이한 조합을 구비하는 본 발명의 실시예가 당업자에게는 자명할 것이다.
Claims (53)
- 네트워크를 통해 서버 및 클라이언트 워크스테이션과 통신하는 OTP(one-time-password) 토큰을 가지고 세션 OTP 전송을 핸들링하는 방법에 있어서,상기 OTP 토큰에 있는 내장 보안 브라우저를 사용하여 상기 OTP 토큰과 상기 서버 사이의 보안 세션을 오픈하는 OTP 토큰 오픈 단계;보안 세션을 오픈하는 단계 후에, 상기 서버를 적어도 부분적으로 식별하는 서버 정보를 OTP 토큰에서 서버로부터 수신하는 단계;수신된 서버 정보를 기초로 서버가 적법한 서버인지 여부를 서버 적법성 엔진에서 판정하는 단계;서버가 적법한 서버라고 판정한 것에 응답하여, OTP 전송 결정 엔진에서,OTP 토큰으로부터 클라이언트 워크스테이션으로, 내부적으로 생성된 세션 OTP의 데이터를 전송하는 단계; 및 OTP 토큰으로 서버와 클라이언트-서버 세션을 시작하는 단계; 및서버가 적법한 서버가 아니라고 판정한 것에 응답하여, OTP 전송 결정 엔진에서,OTP 토큰으로부터 클라이언트 워크스테이션으로, 내부적으로 생성된 세션 OTP의 데이터를 전송하는 것을 억제하는 단계;를 포함하는 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 삭제
- 제 1 항에 있어서,내부적으로 생성된 세션 OTP의 데이터는 세션 OTP의 데이터이고, OTP 토큰으로부터 클라이언트 워크스테이션으로 내부적으로 생성된 세션 OTP의 데이터를 전송하는 단계는 디바이스 인터페이스를 통해 이루어지는 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 제 1 항에 있어서,상기 내부적으로 생성된 세션 OPT의 데이터를 전송하는 단계는 상기 OTP 토큰의 디스플레이 스크린 상에 상기 세션 OTP의 데이터를 표시하는 단계를 포함하는 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 제 1 항에 있어서,내부적으로 생성된 세션 OTP의 데이터는 사용자 인증 데이터에 적어도 부분적으로 기초하여 도출된 멀티-팩터 인증 데이터를 포함하는 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 제 1 항에 있어서,내부적으로 생성된 세션 OTP의 데이터는 사용자 인증 데이터로부터 도출되지 않은 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 삭제
- 제 1 항에 있어서,상기 서버가 적법한 서버가 아니라고 판정한 것에 응답하여, OTP 전송 결정 엔진에서, OTP 토큰으로부터 클라이언트 워크스테이션으로, 내부적으로 생성된 세션 OTP의 데이터를 전송하는 것을 억제하는 단계는,OTP 토큰 내에서 세션 OTP를 내부적으로 생성하는 단계; 및상기 세션 OTP가 상기 OTP 토큰 내에 남아있는 상태를 유지하는 단계;를 포함하는 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 삭제
- 제 1 항에 있어서,상기 보안 세션을 오픈하는 단계 후에, 상기 OTP 토큰으로부터 클라이언트 워크스테이션으로 상기 보안 세션의 클라이언트 엔드를 전송하는 단계를 더 포함하고,클라이언트 워크스테이션은 서버를 적어도 부분적으로 식별하는 서버 정보를 수신하는 단계 및 수신된 서버 정보에 기초하여 서버가 적법한 서버인지 여부를 판정하는 단계 중 적어도 하나를 수행하는 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 제 1 항에 있어서,서버를 적어도 부분적으로 식별하는 서버 정보는 OTP 토큰에서 수신되고, 상기 보안 세션의 클라이언트 엔드는 서버 정보가 서버로부터 OTP 토큰에 의해 수신되는 때 내장 보안 브라우저에 남아있는 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 제 1 항에 있어서,상기 수신단계는 상기 서버와 상기 OTP 토큰 사이의 통신 링크를 통해 상기 OTP 토큰에 의해 수행되는 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 제 1 항에 있어서,서버가 적법한 서버인지 여부를 판정하는 단계는 상기 OTP 토큰 내에서 수행되는 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 제 1 항에 있어서,서버가 적법한 서버인지 여부를 판정하는 단계는 상기 OTP 토큰 내에 상주하는 데이터베이스를 쿼리하는 단계를 포함하는 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 제 14 항에 있어서,상기 클라이언트 워크스테이션은 상기 데이터베이스를 쿼리하는 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 제 14 항에 있어서,상기 OTP 토큰은 서버가 적법한 서버인지 여부를 판정하고, 상기 OTP 토큰 내에 상주하는 클라이언트 코드는 OTP 토큰이 데이터베이스를 쿼리하도록 야기하는 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 제 14 항에 있어서,상기 데이터베이스는 불변의 데이터베이스인 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 제 14 항에 있어서,상기 데이터베이스는 수용가능한 URL의 미리 정해진 리스트, 수용가능한 IP 어드레스의 미리 정해진 리스트, 또는 공인인증 필드에 대한 수용가능한 값의 미리 정해진 리스트 중 하나를 포함하는 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 네트워크를 통해 서버 및 클라이언트 워크스테이션과 통신하는 OTP(one-time-password) 토큰을 가지고 세션 OTP 전송을 핸들링하는 방법에 있어서,상기 서버를 적어도 부분적으로 식별하는 서버 정보를 OTP 토큰에서 서버로부터 수신하는 단계;수신된 서버 정보를 기초로 서버가 적법한 서버인지 여부를 서버 적법성 엔진에서 판정하는 단계;서버가 적법한 서버라고 판정한 것에 응답하여, OTP 전송 결정 엔진에서,OTP 토큰으로부터 클라이언트 워크스테이션으로, 내부적으로 생성된 세션 OTP의 데이터를 전송하는 단계; 및 OTP 토큰으로 서버와 클라이언트-서버 세션을 시작하는 단계; 및서버가 적법한 서버가 아니라고 판정한 것에 응답하여, OTP 전송 결정 엔진에서,OTP 토큰으로부터 클라이언트 워크스테이션으로, 내부적으로 생성된 세션 OTP의 데이터를 전송하는 것을 억제하는 단계;를 포함하고,서버가 적법한 서버인지 여부를 판정하는 단계는 수신 통신의 프로토콜 데이터, 수신 통신에서 전송된 공인인증 데이터, IP 어드레스 데이터, 또는 URL 데이터 중 적어도 하나에 따라 수행되는 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 제 19 항에 있어서,서버가 적법한 서버인지 여부를 판정하는 단계는 상기 서버로부터 수신된 공인인증의 단지 일부 속성에 따라 수행되는 것을 특징으로 하는 세션 OTP 전송을 핸들링하는 방법.
- 네트워크를 통해 서버와 통신하는 클라이언트 워크스테이션에 사용하는 OTP 토큰에 있어서,서버를 적어도 부분적으로 식별하는 정보를 입력하는 수동 입력 디바이스;상기 정보를 기초로 서버가 적법한 서버인지 여부를 판정하는 서버 적법성 엔진;세션 OTP를 생성하도록 동작하는 OTP 생성기;서버가 적법한 서버라고 판정한 것에 응답하여 세션 OTP의 데이터를 OTP 토큰으로부터 클라이언트 워크스테이션으로 전송할 지를 결정하고, 서버가 적법한 서버가 아니라고 판정한 것에 응답하여 세션 OTP의 데이터를 클라이언트 워크스테이션으로 전송하는 것을 억제할 지를 결정하도록 동작하는 OTP 전송 결정 엔진; 및상기 OTP 토큰과 상기 서버 사이의 보안 세션을 오픈하도록 동작하는, OTP 토큰 내에 내장된 내장 보안 브라우저;를 포함하는 것을 특징으로 하는 OTP 토큰.
- 제 21 항에 있어서,OTP 전송 결정 엔진의 결정에 따라 상기 OTP 토큰으로부터 세션 OTP의 데이터를 전송하는 OTP 전송기를 더 포함하는 것을 특징으로 하는 OTP 토큰.
- 제 22 항에 있어서,디바이스 포트를 더 포함하고, 상기 OTP 전송기는 상기 서버가 적법하다는 판정인 경우에만 디바이스 포트를 통해 상기 세션 OTP의 데이터의 디바이스 상호간의 데이터 전송을 야기하도록 동작하는 것을 특징으로 하는 OTP 토큰.
- 제 22 항에 있어서,데이터 디스플레이를 더 포함하고, 상기 OTP 전송기는 상기 서버가 적법하다는 판정인 경우에만 세션 OTP의 데이터를 상기 데이터 디스플레이로 전송하도록 동작하는 것을 특징으로 하는 OTP 토큰.
- 삭제
- 제 21 항에 있어서,상기 내장 보안 브라우저는, 상기 보안 세션동안, 서버를 적어도 부분적으로 식별하는 정보를 수신하도록 동작하는 것을 특징으로 하는 OTP 토큰.
- 제 21 항에 있어서, 상기 서버 적법성 엔진은 미리정해진 데이터의 데이터베이스를 포함하고, 상기 서버 적법성 엔진은 상기 데이터베이스의 컨텐츠에 기초하여 서버가 적법한 서버인지 여부를 판정하도록 동작하는 것을 특징으로 하는 OTP 토큰.
- 제 27 항에 있어서,상기 데이터베이스는 불변의 데이터베이스인 것을 특징으로 하는 OTP 토큰.
- 제 27 항에 있어서,상기 데이터베이스는 수용가능한 URL의 미리정해진 리스트, 수용가능한 IP 어드레스의 미리정해진 리스트, 또는 공인인증 필드의 수용가능한 값의 미리정해진 리스트 중 하나를 포함하는 것을 특징으로 하는 OTP 토큰.
- 네트워크를 통해 서버와 통신하는 클라이언트 워크스테이션에 사용하는 OTP 토큰에 있어서,서버를 적어도 부분적으로 식별하는 정보를 입력하는 수동 입력 디바이스;상기 정보를 기초로 서버가 적법한 서버인지 여부를 판정하는 서버 적법성 엔진;세션 OTP를 생성하도록 동작하는 OTP 생성기; 및서버가 적법한 서버라고 판정한 것에 응답하여 세션 OTP의 데이터를 OTP 토큰으로부터 클라이언트 워크스테이션으로 전송할 지를 결정하고, 서버가 적법한 서버가 아니라고 판정한 것에 응답하여 세션 OTP의 데이터를 클라이언트 워크스테이션으로 전송하는 것을 억제할 지를 결정하도록 동작하는 OTP 전송 결정 엔진;을 포함하고,상기 서버 적법성 엔진은 상기 서버로부터의 통신에서 전송된 서버 공인인증 데이터로부터의 통신의 프로토콜 데이터, IP 어드레스 데이터, 또는 URL 데이터 중 적어도 하나에 기초하여 서버가 적법한 서버인지 여부를 판정하도록 동작하는 것을 특징으로 하는 OTP 토큰.
- 제 30 항에 있어서,상기 서버 적법성 엔진은 상기 서버로부터 수신된 공인인증의 단지 일부 속성에 따라 서버가 적법한 서버인지 여부를 판정하도록 동작하는 것을 특징으로 하는 OTP 토큰.
- 네트워크를 통해 서버와 통신하는 클라이언트 워크스테이션에 사용하는 OTP 토큰에 있어서,서버를 적어도 부분적으로 식별하는 정보를 입력하는 수동 입력 디바이스;상기 정보를 기초로 서버가 적법한 서버인지 여부를 판정하는 서버 적법성 엔진;세션 OTP를 생성하도록 동작하는 OTP 생성기; 및서버가 적법한 서버라고 판정한 것에 응답하여 세션 OTP의 데이터를 OTP 토큰으로부터 클라이언트 워크스테이션으로 전송할 지를 결정하고, 서버가 적법한 서버가 아니라고 판정한 것에 응답하여 세션 OTP의 데이터를 클라이언트 워크스테이션으로 전송하는 것을 억제할 지를 결정하도록 동작하는 OTP 전송 결정 엔진;을 포함하고,상기 OTP 생성기는 사용자 인증 데이터에 따라 상기 세션 OTP를 생성하도록 동작하고, 그에 의해 멀티-팩터 인증 데이터로서 상기 세션 OTP를 생성하는 것을 특징으로 하는 OTP 토큰.
- 제 32 항에 있어서,사용자 인증 데이터를 인증하는 사용자 식별 모듈을 더 포함하는 것을 특징으로 하는 OTP 토큰.
- 제 33 항에 있어서,상기 OTP 전송 결정 엔진은 상기 사용자 인증 데이터의 인증에 기초하여 세션 OTP의 데이터를 전송할지 또는 전송을 억제할지 결정하도록 동작하는 것을 특징으로 하는 OTP 토큰.
- 세션 OTP 데이터의 전송을 핸들링하는 시스템에 있어서,네트워크를 통해 서버와 통신하는 클라이언트 워크스테이션;상기 클라이언트 워크스테이션과 인터페이싱하고,상기 클라이언트 워크스테이션과 인터페이싱하는 디바이스 포트 및세션 OTP를 생성하도록 동작하는 OTP 생성기를 구비하는 OTP 토큰; 이 때, 상기 OTP 토큰과 상기 클라이언트 워크스테이션 중 적어도 하나는 상기 서버를 식별하는 정보를 서버로부터 수신하도록 동작하고,수신된 정보에 기초하여 서버가 적법한 서버인지 여부를 판정하며, 상기 OTP 토큰 또는 클라이언트 워크스테이션 중 적어도 하나에 적어도 부분적으로 상주하는 서버 적법성 엔진;상기 OTP 토큰 또는 상기 클라이언트 워크스테이션 중 적어도 하나에 적어도 부분적으로 상주하며, 서버가 적법한 서버라고 판정한 것에 응답하여 상기 OTP 토큰으로부터 상기 클라이언트 워크스테이션으로 세션 OTP의 데이터를 전송할지를 그리고 서버와 클라이어트-서버 세션을 시작할지를 결정하고, 서버가 적법한 서버가 아니라고 판정한 것에 응답하여 세션 OTP의 데이터를 상기 클라이언트 워크스테이션으로 전송하는 것을 억제할지를 결정하는 OTP 전송 결정 엔진;을 포함하는 것을 특징으로 하는 시스템.
- 컴퓨터 판독가능 저장 매체에 내장된 컴퓨터 판독가능 코드를 가진 컴퓨터 판독가능 저장 매체로서, 상기 컴퓨터 판독가능 코드는 프로세서로 하여금,서버를 적어도 부분적으로 식별하는 서버 정보를 클라이언트 워크스테이션 또는 OTP 토큰에서 서버로부터 수신하고,수신된 서버 정보에 기초하여 서버가 적법한 서버인지 여부를 판정하고,서버가 적법한 서버라고 판정하는 것에 응답하여,OTP 토큰으로부터 클라이언트 워크스테이션으로, 내부적으로 생성된 세션 OTP의 데이터를 전송하고, OTP 토큰으로 서버와 클라이언트-서버 세션을 시작하며,서버가 적법한 서버가 아니라고 판정하는 것에 응답하여,OTP 토큰으로부터 클라이언트 워크스테이션으로, 내부적으로 생성된 세션 OTP의 데이터를 전송하는 것을 억제하는 동작들을 수행하도록 하는 명령을 포함하는 것을 특징으로 하는 컴퓨터 판독가능 저장 매체.
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US70720305P | 2005-08-11 | 2005-08-11 | |
US60/707,203 | 2005-08-11 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080033541A KR20080033541A (ko) | 2008-04-16 |
KR101019458B1 true KR101019458B1 (ko) | 2011-03-07 |
Family
ID=37727710
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020087005884A KR101019458B1 (ko) | 2005-08-11 | 2006-08-10 | 확장된 일회용 암호 방법 및 장치 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8132243B2 (ko) |
EP (1) | EP1922632B1 (ko) |
JP (1) | JP4861417B2 (ko) |
KR (1) | KR101019458B1 (ko) |
CN (1) | CN101495956B (ko) |
WO (1) | WO2007017878A2 (ko) |
Families Citing this family (154)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8131026B2 (en) | 2004-04-16 | 2012-03-06 | Validity Sensors, Inc. | Method and apparatus for fingerprint image reconstruction |
US8165355B2 (en) * | 2006-09-11 | 2012-04-24 | Validity Sensors, Inc. | Method and apparatus for fingerprint motion tracking using an in-line array for use in navigation applications |
US8358815B2 (en) * | 2004-04-16 | 2013-01-22 | Validity Sensors, Inc. | Method and apparatus for two-dimensional finger motion tracking and control |
US8447077B2 (en) * | 2006-09-11 | 2013-05-21 | Validity Sensors, Inc. | Method and apparatus for fingerprint motion tracking using an in-line array |
US8229184B2 (en) * | 2004-04-16 | 2012-07-24 | Validity Sensors, Inc. | Method and algorithm for accurate finger motion tracking |
US8175345B2 (en) | 2004-04-16 | 2012-05-08 | Validity Sensors, Inc. | Unitized ergonomic two-dimensional fingerprint motion tracking device and method |
EP1747525A2 (en) | 2004-04-23 | 2007-01-31 | Validity Sensors Inc. | Methods and apparatus for acquiring a swiped fingerprint image |
DE602005022900D1 (de) | 2004-10-04 | 2010-09-23 | Validity Sensors Inc | Fingerabdruckerfassende konstruktionen mit einem substrat |
US7743409B2 (en) | 2005-07-08 | 2010-06-22 | Sandisk Corporation | Methods used in a mass storage device with automated credentials loading |
US8583926B1 (en) * | 2005-09-19 | 2013-11-12 | Jpmorgan Chase Bank, N.A. | System and method for anti-phishing authentication |
US8468361B2 (en) * | 2005-09-21 | 2013-06-18 | Broadcom Corporation | System and method for securely provisioning and generating one-time-passwords in a remote device |
US8234696B2 (en) * | 2006-02-10 | 2012-07-31 | Emc Corporation | Method and system for providing a one time password to work in conjunction with a browser |
WO2008028287A1 (en) * | 2006-09-08 | 2008-03-13 | Memory Experts International Inc. | Automated security privilege setting for remote system users |
US9118665B2 (en) | 2007-04-18 | 2015-08-25 | Imation Corp. | Authentication system and method |
US8107212B2 (en) * | 2007-04-30 | 2012-01-31 | Validity Sensors, Inc. | Apparatus and method for protecting fingerprint sensing circuitry from electrostatic discharge |
US20110002461A1 (en) * | 2007-05-11 | 2011-01-06 | Validity Sensors, Inc. | Method and System for Electronically Securing an Electronic Biometric Device Using Physically Unclonable Functions |
US8290150B2 (en) * | 2007-05-11 | 2012-10-16 | Validity Sensors, Inc. | Method and system for electronically securing an electronic device using physically unclonable functions |
US8533821B2 (en) * | 2007-05-25 | 2013-09-10 | International Business Machines Corporation | Detecting and defending against man-in-the-middle attacks |
US8869251B2 (en) * | 2007-06-01 | 2014-10-21 | Bank Of America Corporation | Remote provision of consistent one-time password functionality for disparate on-line resources |
EP2001202A1 (en) * | 2007-06-06 | 2008-12-10 | Axalto SA | Method of managing communication between an electronic token and a remote web server |
EP2165499B1 (en) * | 2007-06-22 | 2013-01-30 | Gemalto SA | A method of preventing web browser extensions from hijacking user information |
CN101106455B (zh) * | 2007-08-20 | 2010-10-13 | 北京飞天诚信科技有限公司 | 身份认证的方法和智能密钥装置 |
US8204281B2 (en) * | 2007-12-14 | 2012-06-19 | Validity Sensors, Inc. | System and method to remove artifacts from fingerprint sensor scans |
US8276816B2 (en) * | 2007-12-14 | 2012-10-02 | Validity Sensors, Inc. | Smart card system with ergonomic fingerprint sensor and method of using |
US8424057B2 (en) * | 2007-12-28 | 2013-04-16 | Ebay, Inc. | Mobile anti-phishing |
US9083680B2 (en) * | 2008-01-18 | 2015-07-14 | Tekelec, Inc. | Systems, methods, and computer readable media for application-level authentication of messages in a telecommunications network |
CN101227284B (zh) * | 2008-01-29 | 2010-10-13 | 北京飞天诚信科技有限公司 | 动态口令查询方法及带查询功能的动态令牌 |
US8005276B2 (en) | 2008-04-04 | 2011-08-23 | Validity Sensors, Inc. | Apparatus and method for reducing parasitic capacitive coupling and noise in fingerprint sensing circuits |
US8116540B2 (en) | 2008-04-04 | 2012-02-14 | Validity Sensors, Inc. | Apparatus and method for reducing noise in fingerprint sensing circuits |
WO2010036445A1 (en) * | 2008-07-22 | 2010-04-01 | Validity Sensors, Inc. | System, device and method for securing a device component |
US20100083000A1 (en) * | 2008-09-16 | 2010-04-01 | Validity Sensors, Inc. | Fingerprint Sensor Device and System with Verification Token and Methods of Using |
US8391568B2 (en) * | 2008-11-10 | 2013-03-05 | Validity Sensors, Inc. | System and method for improved scanning of fingerprint edges |
US20100180136A1 (en) * | 2009-01-15 | 2010-07-15 | Validity Sensors, Inc. | Ultra Low Power Wake-On-Event Mode For Biometric Systems |
US8600122B2 (en) * | 2009-01-15 | 2013-12-03 | Validity Sensors, Inc. | Apparatus and method for culling substantially redundant data in fingerprint sensing circuits |
US8278946B2 (en) * | 2009-01-15 | 2012-10-02 | Validity Sensors, Inc. | Apparatus and method for detecting finger activity on a fingerprint sensor |
US20100176892A1 (en) * | 2009-01-15 | 2010-07-15 | Validity Sensors, Inc. | Ultra Low Power Oscillator |
US20100186074A1 (en) * | 2009-01-16 | 2010-07-22 | Angelos Stavrou | Authentication Using Graphical Passwords |
US8374407B2 (en) | 2009-01-28 | 2013-02-12 | Validity Sensors, Inc. | Live finger detection |
JP6061122B2 (ja) * | 2009-02-04 | 2017-01-18 | データ セキュリティー システムズ ソリューションズ プライヴェート リミテッド | 静的パスワードシステムの2ファクタ認証になる変換 |
US20100208953A1 (en) * | 2009-02-17 | 2010-08-19 | Validity Sensors, Inc. | Illuminated Fingerprint Sensor and Method |
US20100241865A1 (en) * | 2009-03-19 | 2010-09-23 | Chunghwa Telecom Co., Ltd | One-Time Password System Capable of Defending Against Phishing Attacks |
US20100269162A1 (en) * | 2009-04-15 | 2010-10-21 | Jose Bravo | Website authentication |
WO2011017099A2 (en) * | 2009-07-27 | 2011-02-10 | Suridx, Inc. | Secure communication using asymmetric cryptography and light-weight certificates |
US20110083018A1 (en) * | 2009-10-06 | 2011-04-07 | Validity Sensors, Inc. | Secure User Authentication |
US8365264B2 (en) * | 2009-10-12 | 2013-01-29 | Microsoft Corporation | Protecting password from attack |
US9400911B2 (en) | 2009-10-30 | 2016-07-26 | Synaptics Incorporated | Fingerprint sensor and integratable electronic display |
US9274553B2 (en) | 2009-10-30 | 2016-03-01 | Synaptics Incorporated | Fingerprint sensor and integratable electronic display |
US9336428B2 (en) | 2009-10-30 | 2016-05-10 | Synaptics Incorporated | Integrated fingerprint sensor and display |
US10581834B2 (en) | 2009-11-02 | 2020-03-03 | Early Warning Services, Llc | Enhancing transaction authentication with privacy and security enhanced internet geolocation and proximity |
US8713325B2 (en) | 2011-04-19 | 2014-04-29 | Authentify Inc. | Key management using quasi out of band authentication architecture |
US8789153B2 (en) * | 2010-01-27 | 2014-07-22 | Authentify, Inc. | Method for secure user and transaction authentication and risk management |
US8458774B2 (en) | 2009-11-02 | 2013-06-04 | Authentify Inc. | Method for secure site and user authentication |
US8745699B2 (en) | 2010-05-14 | 2014-06-03 | Authentify Inc. | Flexible quasi out of band authentication architecture |
US8719905B2 (en) | 2010-04-26 | 2014-05-06 | Authentify Inc. | Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices |
US8806592B2 (en) | 2011-01-21 | 2014-08-12 | Authentify, Inc. | Method for secure user and transaction authentication and risk management |
US8769784B2 (en) | 2009-11-02 | 2014-07-08 | Authentify, Inc. | Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones |
US8549601B2 (en) * | 2009-11-02 | 2013-10-01 | Authentify Inc. | Method for secure user and site authentication |
US8683609B2 (en) * | 2009-12-04 | 2014-03-25 | International Business Machines Corporation | Mobile phone and IP address correlation service |
US8791792B2 (en) * | 2010-01-15 | 2014-07-29 | Idex Asa | Electronic imager using an impedance sensor grid array mounted on or about a switch and method of making |
US8421890B2 (en) | 2010-01-15 | 2013-04-16 | Picofield Technologies, Inc. | Electronic imager using an impedance sensor grid array and method of making |
US8866347B2 (en) | 2010-01-15 | 2014-10-21 | Idex Asa | Biometric image sensing |
US9666635B2 (en) | 2010-02-19 | 2017-05-30 | Synaptics Incorporated | Fingerprint sensing circuit |
US8716613B2 (en) * | 2010-03-02 | 2014-05-06 | Synaptics Incoporated | Apparatus and method for electrostatic discharge protection |
US8799649B2 (en) * | 2010-05-13 | 2014-08-05 | Microsoft Corporation | One time passwords with IPsec and IKE version 1 authentication |
US9001040B2 (en) | 2010-06-02 | 2015-04-07 | Synaptics Incorporated | Integrated fingerprint sensor and navigation device |
US8683148B2 (en) | 2010-06-30 | 2014-03-25 | Sandisk Il Ltd. | Status indication when a maintenance operation is to be performed at a memory device |
US8331096B2 (en) | 2010-08-20 | 2012-12-11 | Validity Sensors, Inc. | Fingerprint acquisition expansion card apparatus |
US8855300B2 (en) * | 2010-09-30 | 2014-10-07 | Google Inc. | Image-based key exchange |
US8538097B2 (en) | 2011-01-26 | 2013-09-17 | Validity Sensors, Inc. | User input utilizing dual line scanner apparatus and method |
US8594393B2 (en) | 2011-01-26 | 2013-11-26 | Validity Sensors | System for and method of image reconstruction with dual line scanner using line counts |
JP5728240B2 (ja) * | 2011-02-08 | 2015-06-03 | キヤノン株式会社 | 情報処理装置、その制御方法、及びプログラム |
US8640214B2 (en) * | 2011-03-07 | 2014-01-28 | Gemalto Sa | Key distribution for unconnected one-time password tokens |
US9406580B2 (en) | 2011-03-16 | 2016-08-02 | Synaptics Incorporated | Packaging for fingerprint sensors and methods of manufacture |
US8838988B2 (en) | 2011-04-12 | 2014-09-16 | International Business Machines Corporation | Verification of transactional integrity |
US9832183B2 (en) | 2011-04-19 | 2017-11-28 | Early Warning Services, Llc | Key management using quasi out of band authentication architecture |
US8752172B1 (en) | 2011-06-27 | 2014-06-10 | Emc Corporation | Processing email messages based on authenticity analysis |
US9292668B1 (en) * | 2011-09-01 | 2016-03-22 | Google Inc. | Systems and methods for device authentication |
US8627438B1 (en) | 2011-09-08 | 2014-01-07 | Amazon Technologies, Inc. | Passwordless strong authentication using trusted devices |
TW201314579A (zh) * | 2011-09-26 | 2013-04-01 | Anica Corp | 智慧卡及其通訊方法 |
US9118661B1 (en) * | 2012-02-24 | 2015-08-25 | Emc Corporation | Methods and apparatus for authenticating a user using multi-server one-time passcode verification |
US10043052B2 (en) | 2011-10-27 | 2018-08-07 | Synaptics Incorporated | Electronic device packages and methods |
US9195877B2 (en) | 2011-12-23 | 2015-11-24 | Synaptics Incorporated | Methods and devices for capacitive image sensing |
US9785299B2 (en) | 2012-01-03 | 2017-10-10 | Synaptics Incorporated | Structures and manufacturing methods for glass covered electronic devices |
DE102012020817A1 (de) * | 2012-03-13 | 2013-09-19 | Hannes Bonhoff | Verfahren zum Eingeben eines Passworts und Computerprogrammprodukt |
US9137438B2 (en) | 2012-03-27 | 2015-09-15 | Synaptics Incorporated | Biometric object sensor and method |
US9268991B2 (en) | 2012-03-27 | 2016-02-23 | Synaptics Incorporated | Method of and system for enrolling and matching biometric data |
US9251329B2 (en) | 2012-03-27 | 2016-02-02 | Synaptics Incorporated | Button depress wakeup and wakeup strategy |
US9600709B2 (en) | 2012-03-28 | 2017-03-21 | Synaptics Incorporated | Methods and systems for enrolling biometric data |
US9152838B2 (en) | 2012-03-29 | 2015-10-06 | Synaptics Incorporated | Fingerprint sensor packagings and methods |
US9572029B2 (en) * | 2012-04-10 | 2017-02-14 | Imprivata, Inc. | Quorum-based secure authentication |
EP2958053A1 (en) | 2012-04-10 | 2015-12-23 | Idex Asa | Biometric sensing |
US10025920B2 (en) * | 2012-06-07 | 2018-07-17 | Early Warning Services, Llc | Enterprise triggered 2CHK association |
US9716691B2 (en) | 2012-06-07 | 2017-07-25 | Early Warning Services, Llc | Enhanced 2CHK authentication security with query transactions |
US8806599B2 (en) * | 2012-06-11 | 2014-08-12 | Symantec Corporation | Systems and methods for implementing multi-factor authentication |
US9589399B2 (en) | 2012-07-02 | 2017-03-07 | Synaptics Incorporated | Credential quality assessment engine systems and methods |
US8917826B2 (en) | 2012-07-31 | 2014-12-23 | International Business Machines Corporation | Detecting man-in-the-middle attacks in electronic transactions using prompts |
JP6068942B2 (ja) * | 2012-11-16 | 2017-01-25 | 任天堂株式会社 | 情報処理システム、情報処理装置、情報処理プログラムおよび情報処理方法 |
US9172687B2 (en) | 2012-12-28 | 2015-10-27 | Nok Nok Labs, Inc. | Query system and method to determine authentication capabilities |
JP6391101B2 (ja) * | 2012-12-28 | 2018-09-19 | ノック ノック ラブズ, インコーポレイテッドNok Nok Labs, Inc. | 認証能力を決定するためのクエリシステム及び方法 |
US9665762B2 (en) | 2013-01-11 | 2017-05-30 | Synaptics Incorporated | Tiered wakeup strategy |
US9367676B2 (en) | 2013-03-22 | 2016-06-14 | Nok Nok Labs, Inc. | System and method for confirming location using supplemental sensor and/or location data |
US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
US9887983B2 (en) | 2013-10-29 | 2018-02-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
SG2013038278A (en) * | 2013-05-16 | 2014-12-30 | Fast And Safe Technology Private Ltd | Authentication device and method |
EP2849448A1 (fr) * | 2013-09-13 | 2015-03-18 | Nagravision S.A. | Méthode pour contrôler l'accès à du contenu diffusé |
US9654469B1 (en) | 2014-05-02 | 2017-05-16 | Nok Nok Labs, Inc. | Web-based user authentication techniques and applications |
US9104889B1 (en) * | 2014-05-07 | 2015-08-11 | Data Guard Solutions, Inc. | Encryption on computing device |
KR101593171B1 (ko) * | 2014-05-30 | 2016-02-15 | 한국전자통신연구원 | 차량 정보 유출 방지 장치 및 그 방법 |
US9767065B2 (en) * | 2014-08-21 | 2017-09-19 | GM Global Technology Operations LLC | Dynamic vehicle bus subscription |
CN104468119B (zh) * | 2014-11-21 | 2017-06-27 | 上海瀚之友信息技术服务有限公司 | 一种一次性密码认证系统及认证方法 |
US10594484B2 (en) | 2015-02-13 | 2020-03-17 | Yoti Holding Limited | Digital identity system |
US9852285B2 (en) | 2015-02-13 | 2017-12-26 | Yoti Holding Limited | Digital identity |
US10853592B2 (en) | 2015-02-13 | 2020-12-01 | Yoti Holding Limited | Digital identity system |
US9785764B2 (en) | 2015-02-13 | 2017-10-10 | Yoti Ltd | Digital identity |
US9858408B2 (en) | 2015-02-13 | 2018-01-02 | Yoti Holding Limited | Digital identity system |
US10692085B2 (en) | 2015-02-13 | 2020-06-23 | Yoti Holding Limited | Secure electronic payment |
US9648496B2 (en) * | 2015-02-13 | 2017-05-09 | Yoti Ltd | Authentication of web content |
US10250594B2 (en) * | 2015-03-27 | 2019-04-02 | Oracle International Corporation | Declarative techniques for transaction-specific authentication |
US9614845B2 (en) | 2015-04-15 | 2017-04-04 | Early Warning Services, Llc | Anonymous authentication and remote wireless token access |
CN106341372A (zh) * | 2015-07-08 | 2017-01-18 | 阿里巴巴集团控股有限公司 | 终端的认证处理、认证方法及装置、系统 |
US10084782B2 (en) | 2015-09-21 | 2018-09-25 | Early Warning Services, Llc | Authenticator centralization and protection |
US10164971B2 (en) | 2015-10-22 | 2018-12-25 | Oracle International Corporation | End user initiated access server authenticity check |
CN108351927B (zh) | 2015-10-23 | 2021-11-09 | 甲骨文国际公司 | 用于访问管理的无密码认证 |
US10009340B2 (en) * | 2016-03-25 | 2018-06-26 | Fortinet, Inc. | Secure, automatic second factor user authentication using push services |
US10552823B1 (en) | 2016-03-25 | 2020-02-04 | Early Warning Services, Llc | System and method for authentication of a mobile device |
US10277561B2 (en) | 2016-07-22 | 2019-04-30 | International Business Machines Corporation | Database management system shared ledger support |
US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
US10637853B2 (en) | 2016-08-05 | 2020-04-28 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
US10237070B2 (en) | 2016-12-31 | 2019-03-19 | Nok Nok Labs, Inc. | System and method for sharing keys across authenticators |
US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
KR102459974B1 (ko) | 2018-03-28 | 2022-10-28 | 삼성에스디에스 주식회사 | 인증 시스템 및 방법 |
US10542036B1 (en) | 2018-10-02 | 2020-01-21 | Capital One Services, Llc | Systems and methods for signaling an attack on contactless cards |
US11283793B2 (en) | 2018-10-18 | 2022-03-22 | Oracle International Corporation | Securing user sessions |
US10951609B2 (en) * | 2018-11-05 | 2021-03-16 | International Business Machines Corporation | System to effectively validate the authentication of OTP usage |
US11120452B2 (en) * | 2018-11-08 | 2021-09-14 | Capital One Services, Llc | Multi-factor authentication (MFA) arrangements for dynamic virtual transaction token generation via browser extension |
US10826912B2 (en) * | 2018-12-14 | 2020-11-03 | Daniel Chien | Timestamp-based authentication |
CN109858235B (zh) * | 2019-02-13 | 2021-08-13 | 广东小天才科技有限公司 | 一种便携式设备及其暗码获取方法和装置 |
US12041039B2 (en) | 2019-02-28 | 2024-07-16 | Nok Nok Labs, Inc. | System and method for endorsing a new authenticator |
US11082229B2 (en) * | 2019-03-18 | 2021-08-03 | Capital One Services, Llc | System and method for pre-authentication of customer support calls |
US10523708B1 (en) | 2019-03-18 | 2019-12-31 | Capital One Services, Llc | System and method for second factor authentication of customer support calls |
US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
US20210073359A1 (en) * | 2019-09-10 | 2021-03-11 | Michael Boodaei | Secure one-time password (otp) authentication |
US11677754B2 (en) | 2019-12-09 | 2023-06-13 | Daniel Chien | Access control systems and methods |
US20210204116A1 (en) | 2019-12-31 | 2021-07-01 | Payfone, Inc. | Identity verification platform |
US11178138B2 (en) | 2020-01-09 | 2021-11-16 | Bank Of America Corporation | Client side OTP generation method |
US11115407B2 (en) | 2020-01-09 | 2021-09-07 | Bank Of America Corporation | Client side OTP generation method |
US11030299B1 (en) * | 2020-01-27 | 2021-06-08 | Capital One Services, Llc | Systems and methods for password managers |
US11244525B2 (en) | 2020-03-02 | 2022-02-08 | International Business Machines Corporation | Authentication security |
US20210288805A1 (en) * | 2020-03-15 | 2021-09-16 | Nec Corporation Of America | Authentication devices and methods for industrial control devices |
US12058528B2 (en) | 2020-12-31 | 2024-08-06 | Prove Identity, Inc. | Identity network representation of communications device subscriber in a digital domain |
US11341796B1 (en) | 2021-01-04 | 2022-05-24 | Bank Of America Corporation | System for secure access and initiation using a remote terminal |
US11356481B1 (en) * | 2021-10-14 | 2022-06-07 | Citrix Systems, Inc. | Preventing phishing attempts of one-time passwords |
JP7402286B1 (ja) | 2022-08-29 | 2023-12-20 | 株式会社Nttドコモ | 認証システム |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6161182A (en) * | 1998-03-06 | 2000-12-12 | Lucent Technologies Inc. | Method and apparatus for restricting outbound access to remote equipment |
US6438539B1 (en) * | 2000-02-25 | 2002-08-20 | Agents-4All.Com, Inc. | Method for retrieving data from an information network through linking search criteria to search strategy |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6754820B1 (en) * | 2001-01-30 | 2004-06-22 | Tecsec, Inc. | Multiple level access system |
US6141752A (en) | 1998-05-05 | 2000-10-31 | Liberate Technologies | Mechanism for facilitating secure storage and retrieval of information on a smart card by an internet service provider using various network computer client devices |
US20010045451A1 (en) | 2000-02-28 | 2001-11-29 | Tan Warren Yung-Hang | Method and system for token-based authentication |
JP2001312477A (ja) * | 2000-04-28 | 2001-11-09 | Nippon Yunishisu Kk | 認証システム、並びに、認証装置およびその方法 |
US6694235B2 (en) * | 2001-07-06 | 2004-02-17 | Denso Corporation | Vehicular relay device, in-vehicle communication system, failure diagnostic system, vehicle management device, server device and detection and diagnostic program |
US20030046340A1 (en) * | 2001-08-28 | 2003-03-06 | Kung Tien Mei | Method and system for linking Web sites |
US20050044385A1 (en) * | 2002-09-09 | 2005-02-24 | John Holdsworth | Systems and methods for secure authentication of electronic transactions |
WO2004055632A2 (en) * | 2002-12-13 | 2004-07-01 | Wholesecurity, Inc. | Method, system, and computer program product for security within a global computer network |
AU2004100268B9 (en) | 2004-04-09 | 2004-07-15 | Lockstep Consulting Pty Ltd | Means and method of using cryptographic devices to combat online institution identity theft |
US7886345B2 (en) * | 2004-07-02 | 2011-02-08 | Emc Corporation | Password-protection module |
WO2006018647A1 (en) | 2004-08-20 | 2006-02-23 | Rhoderick John Kennedy Pugh | Server authentication |
US7270276B2 (en) * | 2004-09-29 | 2007-09-18 | Sap Ag | Multi-application smartcard |
WO2006062838A1 (en) | 2004-12-04 | 2006-06-15 | Indiana University Research And Technology Corporation | Anti-phising logon authentication object oriented system and method |
US20060294023A1 (en) * | 2005-06-25 | 2006-12-28 | Lu Hongqian K | System and method for secure online transactions using portable secure network devices |
-
2006
- 2006-08-10 EP EP06780388.2A patent/EP1922632B1/en not_active Not-in-force
- 2006-08-10 CN CN2006800334665A patent/CN101495956B/zh not_active Expired - Fee Related
- 2006-08-10 WO PCT/IL2006/000928 patent/WO2007017878A2/en active Application Filing
- 2006-08-10 KR KR1020087005884A patent/KR101019458B1/ko not_active IP Right Cessation
- 2006-08-10 JP JP2008525722A patent/JP4861417B2/ja not_active Expired - Fee Related
- 2006-08-11 US US11/502,466 patent/US8132243B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6161182A (en) * | 1998-03-06 | 2000-12-12 | Lucent Technologies Inc. | Method and apparatus for restricting outbound access to remote equipment |
US6438539B1 (en) * | 2000-02-25 | 2002-08-20 | Agents-4All.Com, Inc. | Method for retrieving data from an information network through linking search criteria to search strategy |
Also Published As
Publication number | Publication date |
---|---|
WO2007017878A4 (en) | 2013-12-27 |
JP4861417B2 (ja) | 2012-01-25 |
WO2007017878A3 (en) | 2008-07-24 |
US20070067828A1 (en) | 2007-03-22 |
EP1922632A2 (en) | 2008-05-21 |
KR20080033541A (ko) | 2008-04-16 |
US8132243B2 (en) | 2012-03-06 |
JP2009508189A (ja) | 2009-02-26 |
EP1922632B1 (en) | 2014-05-07 |
WO2007017878A2 (en) | 2007-02-15 |
CN101495956B (zh) | 2012-03-07 |
EP1922632A4 (en) | 2011-07-20 |
CN101495956A (zh) | 2009-07-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101019458B1 (ko) | 확장된 일회용 암호 방법 및 장치 | |
US8041954B2 (en) | Method and system for providing a secure login solution using one-time passwords | |
US20190281028A1 (en) | System and method for decentralized authentication using a distributed transaction-based state machine | |
US8528076B2 (en) | Method and apparatus for authenticating online transactions using a browser and a secure channel with an authentication server | |
JP5719871B2 (ja) | フィッシング攻撃を防ぐ方法および装置 | |
US8869238B2 (en) | Authentication using a turing test to block automated attacks | |
US7730308B2 (en) | System and method for providing an user's security when setting-up a connection over insecure networks | |
US11403633B2 (en) | Method for sending digital information | |
KR20220116483A (ko) | 악성 프로그램 코드 주입으로부터의 보호를 위한 시스템 및 방법 | |
JP5186648B2 (ja) | 安全なオンライン取引を容易にするシステム及び方法 | |
KR20150104667A (ko) | 인증 방법 | |
KR20070076576A (ko) | 결제승인처리방법 | |
KR20070076575A (ko) | 고객 인증처리 방법 | |
WO2010070456A2 (en) | Method and apparatus for authenticating online transactions using a browser | |
Kyrillidis | Using the Smart Card Web Server to Enhance the Security of Web Applications and the Web of Things | |
KR20090006815A (ko) | 고객 인증처리 방법 | |
KR20070077481A (ko) | 고객 인증 중계처리 서버 | |
Dinne et al. | Two Way Mobile Authentication System | |
KR20060112167A (ko) | 고객 인증중계 방법 및 시스템과 이를 위한 서버와기록매체 | |
Mandava et al. | Two Way Mobile Authentication System | |
Hosseini et al. | A Semiautomatic Authentication Method with Virtual Function for Internet Banking Environment | |
KR20070077480A (ko) | 고객 인증처리 서버 | |
KR20070076578A (ko) | 기록매체 | |
KR20070076577A (ko) | 기록매체 | |
KR20070077485A (ko) | 기록매체 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E90F | Notification of reason for final refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |