KR101851686B1

KR101851686B1 - 거래 인증을 위하여 추출된 무작위 일회용 패스워드

Info

Publication number: KR101851686B1
Application number: KR1020147032390A
Authority: KR
Inventors: 안토니 스메일스
Original assignee: 포티코드 리미티드
Priority date: 2010-11-30
Filing date: 2012-04-20
Publication date: 2018-04-24
Anticipated expiration: 2032-04-20
Also published as: CA2871049A1; EP2839603A4; AU2012328082A1; CN104541475B; CL2014002816A1; US8869255B2; US9519764B2; ZA201408457B; AP2014008057A0; EA034474B1; TW201238315A; CN104541475A; BR112014026065A2; CA2871049C; NZ702130A; JP2015515218A; WO2013061171A1; MY172709A; PH12014502304B1; HK1207758A1

Abstract

시스템으로의 사용자 접속을 인증하기 위한 보안 장치 및 방법에 개시된다. 보안 장치는 사용자로부터 인증 요청을 수신하고 이전에 저장된 사용자 키워드 및 사용자 선호 데이터에 기초하여 보안 매트릭스를 생성하도록 응답하여, 보안 매트릭스는 각 인증 요청마다 다르다. 보안 장치는 사용자에게 보안 매트릭스를 전송하고 보안 매트릭스에 응답하는 일회용 코드를 기다린다. 사용자는 사용자 키워드, 사용자 선호 및 보안 매트릭스에 기초하여 일회용 코드를 형성한다. 보안 시스템은 보안 매트릭스, 키워드 및 사용자 선호에 대하여 일회용 코드를 검증하고 시스템으로의 접근을 허용하거나 거절한다는 인증 결과를 사용자에게 전송하는 것에 의하여 응답한다. 추가로, 보안 시스템은 시스템의로의 접속에 대한 성공 또는 실패 메시지를 전송한다.

Description

거래 인증을 위하여 추출된 무작위 일회용 패스워드{ABSTRACTED AND RANDOMIZED ONE-TIME PASSWORDS FOR TRANSACTIONAL AUTHENTICATION}

본 발명은 일반적으로 인증 시스템 및 방법에 관한 것으로, 좀 더 구체적으로 매우 안전한 인증 시스템에 관한 것이다.

개인 식별과 관련된 보안은 보안 및 인증 방법에 적용되고 있는 높은 투자 수준, 그를 지지하는 기술 및 해킹과 함께 현대 전자 세계의 모든 거래의 초석이 되고 있다. 대부분의 은행계는 시스템에 사용자를 인증하기 위하여 사용자와 시스템 사이에 공유된 비밀 번호 패스워드인 예정된 개인 식별 번호(PIN)에 의존하는 반면, 풀-텍스트 인터페이스를 가지는 대부분의 전자 시스템들은 패스워드들에 의존한다.

암호화 해시 함수(CHF)를 깊이 신뢰하는 것이 공통된 관행이다. 이런 결정론적인 방법은 임의의 데이터를 취하여 그 데이터에 유일한 수학적으로 계산된 해시값을 리턴한다. 문서에 의해 충분히 입증된 CHF의 예는 MD5 알고리즘이다. 클라이언트와 서버 사이의 해시 함수 및 스마트 보안 방법들은 데이터 사본으로부터 개인 패스워드 또는 PIN을 역조작하는 것을 어렵게 한다. 그러나, 피싱 기술과 함께 시각 관찰(visual observation)을 사용하면, 대부분의 패스워드 또는 PIN이 위태로워질 수 있으며, 그에 의하여 부정 거래가 처리될 수 있다. 따라서, 인증이 위태로워질 수 있는 가능성을 감소시키는 보안 기술을 갖는 것이 바람직하다.

본 명세서 내용 중에 포함되어 있음

본 발명의 일 실시예는 사용자가 보안 시스템에 대하여 인증하기 원할 때마다, 무작위 키워드와 매칭되는 PIN을 결정하기 위하여 사용자가 기정의된 키워드를 사용할 수 있는 형태로 보안 장치가 사용자에게 일회용의 무작위 문자 및 숫자 세트를 제시하도록 클라이언트 인터페이스와의 상호작용을 추출하는 방법이다.

좀 더 구체적으로, 본 발명의 실시예는 보안 시스템에 접속하기 위한 사용자 인증을 검증하는 방법이다. 이 방법은 사용자로부터 인증 요청을 수신하는 단계, 사용자 ID 및 사용자 선호 데이터에 기초하여 보안 매트릭스를 생성하여 상기 매트릭스를 사용자에게 송신하는 단계, 보안 매트릭스에 응답하여 사용자로부터 일회용 코드를 수신하는 단계, 보안 매트릭스, 사용자 ID, 적어도 하나의 사용자 키워드 및 사용자 선호 데이터에 기초하여 일회용 코드를 검증하는 단계, 일회용 코드를 검증하는 단계 후에, 일회용 코드, 보안 매트릭스, 사용자 ID, 사용자 키워드 및 사용자 선호에 기초한 인증 결과를 사용자에게 송신하는 단계; 및 인증 결과와 별개로, 인증 결과에 기초하여 보안 장치로 성공 또는 실패 메시지를 송신하는 단계를 포함한다.

본 발명의 또 다른 실시예는 보안 시스템에 접속하기 위한 사용자 인증을 검증하기 위한 보안 장치이다. 보안 장치는 보안 컴퓨터와 클라이언트 인터페이스를 포함한다. 보안 컴퓨터는 사용자 키워드 및 사용자 선호 데이터를 저장하며, 보안 장치에 접속하기 위하여 사용자로부터 사용자 ID를 포함하는 인증 요청을 수신하고, 저장된 사용자 선호 데이터 및 사용자 ID에 기초하여 상기 인증 요청에 응답하여 보안 매트릭스를 생성하며, 사용자에게 보안 매트릭스를 송신하고 사용자로부터 일회용 코드를 수신하며, 생성된 보안 매트릭스, 사용자 키워드 및 사용자 선호 데이터를 사용하여 일회용 코드를 검증하고 사용자에게 검증에 기초한 인증 결과를 송신하며, 인증 결과와는 별개로 인증 결과에 기초하여 보안 장치로 성공 또는 실패 메시지를 송신하도록 프로그램된다. 클라이언트 인터페이스는 사용자가 보안 시스템에 접속하기 위한 인증 요청을 보안 장치로 전송할 수 있게 하고, 보안 매트릭스를 수신 및 디스플레이하며, 사용자가 보안 장치로 일회용 코드를 송신할 수 있게 한다.

본 방법 하에서는, 사용자의 키워드와 검증을 위하여 사용자에게 제공된 보안 매트릭스 사이에 상관관계가 없다. 보안 장치는 보안 매트릭스를 무작위로 구성하며 사용자는 사용자 및 보안 매트릭스에 대하여 유효한 일회용 코드를 결정하기 위하여 보안 매트릭스를 채용한다. 각 인증 요청의 결과 키워드를 결정할 확률을 최소화하도록 새로운 보안 매트릭스를 계산한다.

본 발명은 사용자가 추후 개인 참조를 위하여 사용될 하나 이상의 키워드를 정의할 수 있게 하여, 사용자가 무작위의 시스템-생성 보안 매트릭스로부터 일회용 코드를 생성할 수 있게 하는 인증 보안에 대한 새로운 접근법이다. 키워드는 인증 프로세스 동안 임의 단계에서 직접 입력되지 않으며, 공개되거나 공유되지 않는다.

인증 프로세스를 (ⅰ) 인증 요청, (ⅱ) 자격 검증, 및 (ⅲ) 인증 상세사항 전송과 같은 세 구간으로 분리하는 것에 의하여, 사용자 키워드가 거의 식별될 수 없게 유지되면서도, 모든 거래 인증 요청이 관찰되고, 기록되며, 사용자, 클라이언트 인터페이스 및 보안 장치 사이에서 분석될 수 있는 보안 방법이 생성된다.

보안 매트릭스의 강도는 결정을 좀 더 간단하거나 좀 더 복잡하게 만들기 위하여 사용자가 인증하는 시스템이 아닌 사용자에 의해 변경될 수 있다.

본 발명의 방법은 보안 시스템 또는 사용자 경험에 최소한의 변화를 갖는 사용자 인증을 요청하는 임의의 시스템에 적용될 수 있다. 보안 매트릭스 및 일회용 코드가 키워드로부터 완전히 추출되기 때문에 어느 한 방향으로의 전송을 위하여 그들을 인코딩하기 위한 긴급한 보안 요구사항이 없다. 따라서, 본 발명의 방법은 클라이언트 인터페이스와 보안 장치 사이의 연결이 쉽게 감시되거나 관찰될 수 있는 임의의 시스템에 매우 적절한다.

본 방법은 단일 시스템, 다중 시스템 또는 통일된 공공 검증 시스템을 위하여 구현될 수 있으며, 사용자가 그의 신원을 검증할 필요가 있는 임의의 거래에 대하여 작용한다.

본 명세서 내용 중에 포함되어 있음

본 발명의 이러한 및 다른 특징들, 태양들 및 장점들은 이하의 상세한 설명, 첨부된 청구범위 및 첨부되는 도면을 참조하여 더 잘 이해될 것이다.
도 1은 인증 요청을 나타낸다.
도 2는 검증 요청을 나타낸다.
도 3은 오프셋이 사용되는 일회용 코드의 제1 예를 나타낸다.
도 4는 오프셋 및 크롤이 사용되는 일회용 코드의 제2 예를 나타낸다.
도 5는 크롤이 사용되는 일회용 코드의 제3 예를 나타낸다.
도 6은 점프가 사용되는 일회용 코드의 제4 예를 나타낸다.
도 7a는 로컬 인증을 위한 내부 보안 서버의 예시적은 구조를 나타낸다.
도 7b는 인증 프로세스 동안 클라이언트 인터페이스 부분을 나타낸다.
도 8은 원격 웹 인증을 위한 내부 보안 서버의 예시적은 구조를 나타낸다.
도 9는 원격 웹 인증을 위한 외부 보안 서버의 예시적인 구조를 나타낸다.
도 10은 내부 및 외부 웹 인증 및 내부 시스템 인증을 위한 내부 보안 서버의 예시적인 구조를 나타낸다.
도 11은 메시지 구조 정의를 나타낸다.
도 12는 사용자 선호를 나타낸다.
도 13은 보안 시스템 선호를 나타낸다.
도 14는 본 발명의 실시예의 흐름도를 나타낸다.
도 15는 일회용 코드의 생성 및 전송을 위한 실시예의 흐름도를 나타낸다.

이하의 설명에서는 다음 정의가 사용된다.

보안 시스템(20)은 거래 또는 정보 요청을 처리하기 위한 전제 조건으로 사용자 인증이 필요한 시스템이다.

보안 장치(30)는 사용자 키워드 및 선호, 보안 장치 선호가 저장되고 보안 장치의 인터페이스를 위한 프로세싱이 수행되는 시스템이다.

- 인증 요청(11)

- 보안 매트릭스(31)

- 일회용 코드(12)

- 인증 결과(32)

- 성공 메시지(33)

사용자 선호(40)는 표 3에 정의되고 보안 장치(30)에 의해 내부적으로 저장된다.

키워드(41)는 사용자(10)에 의해 정의된 알파벳 문자의 선형 스트링이다. 주어진 예에서, 키워드는 오직 알파벳 문자(A부터 Z)로 제한되지만, 본 방법 및 시스템은 알파벳(대소문자 구별 또는 대소분자 구별없이), 숫자, 부호 또는 이들의 조합을 지원한다.

보안 시스템 선호(50)는 테이블 4에 정의되고 보안 장치(30)에 의해 내부적으로 저장된다.

클라이언트 인터페이스(60)는 예컨대 자동 현금 입출금기 또는 인터넷 서비스로의 로그인 화면과 같이 키보드, 터치스크린, 핀 패드 또는 사용자가 인증 상세 사항을 제공하기 위한 다른 입력 장치와 상화작용하기 위하여 필요한 HMI(Human Machine Interface)이다.

도 1에서, 사용자(10)는 보안 장치(30)에 사용자 선호(40)와 키워드(41)를 미리 제공한다. 키워드(41)는 보안 장치(30) 상에 암호화된 형태로 저장되며, 어떤 함수로도 전송되지 않는다.

도 1에서, 사용자(10)는 클라이언트 인터페이스(60)에서 인증을 요청하며, 클라이언트 인터페이스(60)는 보안 시스템(20)에 인증 요청(11)을 전송하고, 이 인증 요청(11)은 보안 장치(30)로 전달된다.

도 2에서, 보안 시스템 선호 데이터(50)는 클라이언트 인터페이스(60)의 제한 및 요구 포맷을 결정하기 위하여 사용된다. 사용자 선호 데이터(40)는 사용자(10)가 선호하는 보안 매트릭스(11)의 복잡도를 결정하기 위하여 사용된다. 보안 장치(30)는 보안 매트릭스(31)를 생성하고 그것을 보안 시스템(20)으로 다시 전송하며, 보안 시스템(20)은 보안 매트릭스(31)를 클라이언트 인터페이스(60)로 직접 전달하거나 보안 매트릭스(31)의 주문 표현(custom representation)을 만들기 위하여 보안 매트릭스(31) 내의 정보를 사용하며, 그 후 보안 매트릭스(31)는 사용자(10)에게 제시된다. 사용자 ID의 포맷은 시스템 독립적이며 보안 서버에 의해 지원되는 모든 시스템들에 거쳐 임의의 고유 ID일 수 있다. 사용자 ID의 예는 고객 ID이거나 이메일 주소일 수 있다.

도 2에서, 사용자(10)는 키워드(41)와 연관된 사용자 선호(40)를 적용하는 것에 의해 일회용 코드 번호(12)를 결정하기 위하여 제시된 보안 매트릭스(31)를 사용하여 인증한다. 이 일회용 코드 번호(12)는 클라이언트 인터페이스(60)로 입력되고, 그 후 보안 시스템(20)으로, 그리고 보안 장치(30)로 전송되며, 일회용 코드 번호(12)는 일회용 코드(12), 사용자(10)의 저장된 키워드(41) 및 사용자 선호(40)와 관련된 보안 매트릭스(31)를 사용하는 것에 의해 보안 장치(30)에 의해 검증된다. 그 요청에 응답하여, 보안 장치(30)는 보안 시스템(20)으로 다시 인증 결과(32)를 리턴하며, 그 후 인증 결과(32)는 클라이언트 인터페이스(60)로 전송된다. 두 번째 상호작용은 병렬로 일어나며, 보안 장치(30)는 성공적인 인증시, 보안 시스템 선호(50)에서 상세히 설명되는 바와 같이 보안 시스템(20)의 성공 통지점으로 성공 메시지(33)의 전송을 시작한다.

모든 인증 결과(11) 및 모든 일회용 코드(12) 검증은 재사용을 예방하기 위하여 보안 매트릭스(31)가 다시 무작위화되는 결과를 가져온다. 인증 결과(11) 및 일회용 코드(12) 요청의 로그는 브루터 포스 어택(brute force attacks)을 예방하고 감사 가능 추적(auditable trace)을 제공하기 위하여 주어진 타임프레임에서 시도의 최대 횟수를 제한하기 위하여 유지된다.

도 3의 예는 보안 매트릭스(31), 사용자 선호 데이터(40) 및 사용자 키워드(41)를 나타낸다. 사용자(10)는 일회용 코드(12)를 생성하기 위하여 그의 키워드 및 사용자 선호 데이터(40)를 사용한다.

이 예에서, 사용자(10)는:

(a) 보안 매트릭스(31)가 알파벳 순으로 디스플레이될 것; 및

(b) 키워드 문자에 대응하는 디스플레이된 숫자에 1을 더할 것을 선호한다.

키워드의 각 문자에 대한 매트릭스 값을 획득하면 17572가 된다. 매트릭스 결과에 +1의 오프셋을 더하면 일회용 코드(12)로서 28683이 주어진다.

도 4의 예는 보안 매트릭스(31), 사용자 선호(40) 및 사용자 키워드(41)를 나타낸다. 사용자(10)는 일회용 코드(12)를 생성하기 위하여 그의 키워드 및 사용자 선호(40)를 사용한다.

이 예에서, 사용자(10)는:

(a) 보안 매트릭스(31)가 무작위 순서로 디스플레이될 것;

(b) 키워드 문자에 대하여 디스플레이되는 숫자에 1을 더할 것; 및

(c) 첫 번째 키워드 문자에 추가 3을, 그리고 두 번째 키워드 문자에 추가 6을 더할 것 등을 선호한다.

키워드의 각 문자에 대한 매트릭스 값을 획득하면 28672가 된다. +1 오프셋을 더하면 39783이 된다. +3 크롤을 더하면 65608이 되며, 이것이 일회용 코드이다. 이 예에서, 덧셈은 10진법(modulo 10)이나 임의의 진법 덧셈(modulo addition)이 사용될 수 있음에 유의하라.

도 5의 예는 보안 매트릭스(31), 사용자 선호(40) 및 사용자 키워드(41)를 나타낸다. 사용자(10)는 일회용 코드(12)를 생성하기 위하여 그의 키워드 및 사용자 선호(40)를 사용한다.

이 예에서, 사용자(10)는:

(a) 보안 매트릭스(31)가 무작위 순서로 디스플레이될 것;

(b) 첫 번째 키워드 문자에 2를, 두 번째 키워드 문자에 4를 더할 것 등; 및

(c) 이 예에서 두 번째, 네 번째 숫자들은 사용자가 원하는 임의의 숫자일 것을 선호하며, 이에 따른 유효한 일회용 코드 응답은 다음과 같다.

a. 41215

b. 42225

c. 43235

d. 41235

e. 49285

f. 기타- 첫 번째, 세 번째 및 다섯 번째 숫자들만이 관련있음.

키워드의 각 문자에 대한 매트릭스 값을 획득하면 2#8#9가 된다. +2 크롤을 더하면 4#2#5가 되며, 이것이 일회용 코드이다. 덧셈은 10진법임을 다시 한 번 유의하라.

도 6의 예는 보안 매트릭스(31), 사용자 선호(40) 및 사용자 키워드(41)를 나타낸다. 사용자(10)는 일회용 코드(12)를 생성하기 위하여 그의 키워드 및 사용자 선호(40)를 사용한다.

이 예에서, 사용자(10)는:

(a) 보안 매트릭스(31)는 무작위 순서로 디스플레이될 것;

(b) 첫 번째 키워드 문자에 1을 더할 것, 두 번째 키워드 문자에서 1을 뺄 것, 세 번째 키워드 문자에서 1을 더할 것 등을 선호한다.

키워드의 각 문자에 대한 매트릭스 값을 획득하면 98428이 된다. +1 점프를 더하면 07519가 주어지며 이것인 일회용 코드이다. 다시 한번, 덧셈 및 뺄셈은 10진법이다.

도 7a에서, 내부적으로 호스트되는 보안 장치(30)가, 사용자가 무선 트랜시버(72)를 통하여 무선 또는 유선으로 연결되는 로컬 네트워크(70)를 통하여 로그인하는 사용자들(60)을 검증하기 위하여 보안 시스템(20)에 의하여 이용된다.

단계 1: 사용자는 도 7b의 82 및 84에 따라 이메일 주소일 수 있는 사용자 ID만을 제공하도록 요구되는 보안 시스템 로그온 포탈에 접속한다.

단계 2: 사용자는 도 7b의 84에서와 같이 사용자 ID를 입력한다.

단계 3: 보안 시스템은 사용자 ID 및 시스템 ID를 보안 장치로 전송하고, 보안 장치는 검증을 수행하여 도 7b의 86에서와 같이 보안 매트릭스(31)를 리턴하며, 그 후 보안 매트릭스(31)는 보안 시스템(20)에 의해 사용자(60)에게 다시 디스플레이된다.

단계 4: 사용자는 일회용 코드(12)를 입력하고 도 7b의 86에서와 같이 평소와 같이 로그인한다. 보안 시스템(20)은 일회용 코드(12), 사용자 ID 및 시스템 ID를 보안 장치(30)로 전송하고, 보안 장치(30)는 코드를 검증하고 그것이 유효하다면 보안 시스템(20)으로 세션 ID를 제공한다.

도 8에서, 내부적으로 호스트된 보안 장치(30)가 모뎀(96)을 통한 인터넷(90)을 통하여 로그인하고 있는 사용자들(60)을 검증하기 위하여 보안 시스템(20)에 의하여 이용된다.

단계 1: 원격 사용자는 도 7b의 82 및 84에 따라 이메일 주소일 수 있는 사용자 ID만을 제공하도록 요구되는 보안 시스템 로그온 포탈에 접속한다.

단계 3: 보안 시스템은 사용자 ID 및 시스템 ID를 보안 장치(30)로 전송하고, 보안 장치(30)는 검증을 수행하여 보안 매트릭스(31)를 리턴하며, 그 후 보안 매트릭스(31)는 보안 시스템(20)에 의해 사용자(60)에게 다시 디스플레이된다.

도 9에서, 공개적으로 호스트되는 보안 장치(30)가 인터넷(90)을 통하여 로그인하고 있는 사용자들(60)을 검증하기 위하여 보안 시스템(20)에 의하여 이용된다. 이 구성에서, 단일 보안 장치(30)가 다중 보안 시스템들(20)을 서비스할 수 있으며, 이는 사용자들(60)이 모든 등록된 시스템들에 대하여 하나의 키워드를 가질 수 있게 한다. 상술한 바와 같이, 원격 사용자들(60)은 모뎀(96)을 통하여 인터넷(90)에 연결된다.

단계 1: 원격 사용자(60)는 도 7b의 82 및 84에 따라 이메일 주소일 수 있는 사용자 ID만을 제공하도록 요구되는 보안 시스템(20) 로그온 포탈에 접속한다.

단계 3: 보안 시스템(20)은 사용자 ID 및 시스템 ID를 보안 장치(30)로 전송하고, 보안 장치(30)는 검증을 수행하여 보안 매트릭스(31)를 리턴하며, 그 후 보안 매트릭스(31)는 보안 시스템(20)에 의해 사용자(60)에게 다시 디스플레이된다.

단계 4: 사용자는 일회용 코드(12)를 입력하고 평상시와 같이 로그인한다. 보안 시스템(20)은 일회용 코드, 사용자 ID 및 시스템 ID를 보안 장치(30)로 전송하고, 보안 장치(30)는 코드를 검증하고 그것이 유효하다면 보안 시스템(20)으로 세션 ID를 제공한다.

도 10에서, 내부 보안 장치(30)는 카운터, ATM(Automated Teller Machine), 상업적 판매 또는 인터넷에서 청구 및 신용 시스템을 위한 패스워드 및 PIN 번호와 같은 표준 인증 시스템을 효과적으로 대체하여 전체 사업에 걸쳐 금융 기관을 서비스하도록 구성된다. 상술한 예는:

(a) 인터넷을 통한 인터넷 뱅킹

(b) 주식 또는 외환과 같은 다른 인터넷 서비스

(c) ATM들

(d) 매장

(e) 고객 서비스 PC

(e) 오피스 PC들을 나타낸다.

상술한 시스템들은 이하에서 설명된다.

인터넷을 통한 인터넷 뱅킹

사용자가 평상시와 같이 은행의 인터넷 포털(90)에 접속하면, 로그온 프로세스는 도 7b의 82, 84에 따라 사용자의 사용자 ID 제출만을 요구한다. 사용자 ID를 수신하면, 은행 컴퓨터(20)는 사용자 ID 및 은행의 시스템 ID를 가지고 보안 장치(30)에 접속한다. 사용자 ID 및 시스템 ID가 검증되면, 보안 장치(30)는 보안 매트릭스를 생성하고 그것을 은행 컴퓨터(20)로 리턴하며, 다음으로 은행 컴퓨터는 사용자(110)에게 보안 매트릭스를 디스플레이함과 함께 도 7b의 86에서와 같이 일회용 코드의 입력을 요청한다. 보안 매트릭스를 사용하여 사용자는 일회용 코드를 계산하고 그것을 시스템에 입력한다. 일회용 코드는 은행 컴퓨터(20)로 리턴되고, 그 후 은행 컴퓨터(20)는 일회용 코드, 사용자 ID 및 은행 시스템 ID를 보안 장치(30)로 다시 전달하고, 보안 장치(30)에서 일회용 코드가 검증된다. 일회용 코드가 유효하다면, 세션 ID가 생성되어 은행 컴퓨터(20)로 전달되고, 은행 컴퓨터(20)는 그것을 은행 컴퓨터(20)에 대하여 이루어진 모든 순차적인 요청들의 일부를 형성하도록 인터넷 애플리케이션(110)으로 다시 전달한다.

주식 또는 외환과 같은 다른 인터넷 서비스

사용자가 평상시와 같이 은행의 인터넷 포털에 접속하면, 로그온 프로세스는 도 7b의 82, 84에 따라 사용자의 사용자 ID 제출만을 요구한다. 사용자 ID를 수신하면, 은행 컴퓨터(20)는 사용자 ID 및 은행의 시스템 ID를 가지고 보안 장치(30)에 접속한다. 사용자 ID 및 시스템 ID가 검증되면, 보안 장치(30)는 보안 매트릭스를 생성하고 그것을 은행 컴퓨터(20)로 리턴하며, 다음으로 은행 컴퓨터(20)는 사용자(112)에게 보안 매트릭스를 디스플레이함과 함께 일회용 코드의 입력을 요청한다. 보안 매트릭스를 사용하여, 사용자(112)는 일회용 코드를 계산하고 그것을 시스템에 입력한다. 일회용 코드는 은행 컴퓨터(20)로 리턴되고, 그 후 은행 컴퓨터(20)는 일회용 코드, 사용자 ID 및 은행 시스템 ID를 보안 장치(30)로 다시 전달하며, 보안 장치(30)에서 일회용 코드가 검증된다. 일회용 코드가 유효하다면, 세션 ID가 생성되어 은행 컴퓨터(20)로 전달되고, 그것은 인터넷 애플리케이션(112)으로 다시 전달되어 은행 컴퓨터(20)에 대하여 이루어진 모든 순차적인 요청들의 일부를 형성한다.

ATM들

사용자는 평상시와 같이 은행의 ATM(102a, 102b)으로 ATM 또는 신용카드를 삽입하며, 이 때 ATM은 은행 ATM 네트워크(116)를 통하여 은행 컴퓨터(20)로 사용자 ID 및 임의의 다른 적절한 정보를 전송한다. 다음으로 은행 컴퓨터(20)는 사용자 ID 및 은행의 시스템 ID를 가지고 보안 장치(30)에 접속한다. 사용자 ID 및 시스템 ID가 검증되면, 보안 장치(30)는 보안 매트릭스를 생성하고 그것을 은행 컴퓨터(20)로 리턴하며, 그 후 은행 컴퓨터(20)는 사용자에게 디스플레이되도록 그 매트릭스를 ATM(102a, 102b)으로 리턴한다. 보안 매트릭스를 사용하여, 사용자(102a, 102b)는 일회용 코드를 계산하고 그것을 ATM 키패드에 입력한다. 일회용 코드는 은행 ATM 네트워크(116)를 통하여 은행 컴퓨터(20)로 리턴되고, 다음으로 일회용 코드, 사용자 ID 및 은행 시스템 ID가 보안 장치(30)로 다시 전달되며, 보안 장치(30)에서 일회용 코드가 검증된다. 일회용 코드가 유효하다면, 세션 ID가 생성되어 은행 컴퓨터(20)에 대하여 이루어진 모든 순차적인 요청들의 일부를 형성하도록 은행 시스템(20)으로 다시 전달된다.

매장

사용자는 판매자의 매장 장치(104)에 ATM 또는 신용카드를 입력하거나 읽히고, 판매가가 평상시와 같이 판매자에 의해 입력되며, 정보가 은행 신용카드 네트워크(114)를 통하여 은행 컴퓨터(20)로 다시 전송된다. 다음으로 은행 컴퓨터(20)는 사용자 ID 및 은행의 시스템 ID를 가지고 보안 장치(30)에 접속한다. 사용자 ID 및 시스템 ID가 검증되면, 보안 장치(30)는 보안 매트릭스를 생성하고 그것을 은행 컴퓨터(20)로 리턴하며, 다음으로 은행 컴퓨터(20)는 가능하다면 화면에 디스플레이하거나 종이 영수증에 프린트되도록 그 매트릭스를 매장 장치(104)로 리턴한다. 보안 매트릭스를 사용하여, 사용자는 일회용 코드를 계산하고 그것을 매장 키패드(104)에 입력한다. 일회용 코드는 은행 컴퓨터(20)로 리턴되고, 다음으로 일회용 코드, 사용자 ID 및 은행 시스템 ID가 보안 장치(30)로 다시 전달되며, 보안 장치(30)에서 일회용 코드가 검증된다. 일회용 코드가 유효하다면, 세션 ID가 생성되어 은행 시스템(110)으로 다시 전달된 후, 은행 시스템(20)은 평상시와 같이 거래의 남은 부분을 처리한다.

고객 서비스 PC

은행 지점 내에서 고객 서비스 지점에 접근하면, 사용자는 고객 서비스 직원이 사용자의 사용자 ID를 식별하고 이를 고객 서비스 포털(108)에 입력할 수 있도록 은행 카드 또는 임의의 다른 유효한 식별 방법을 사용하여 자신을 식별한다. 고객 서비스 PC(108)는 은행 컴퓨터(20)에 사용자 ID를 전송한다. 다음으로 은행 컴퓨터(20)는 사용자 ID 및 은행의 시스템 ID를 가지고 보안 장치(30)에 접속한다. 사용자 ID 및 시스템 ID가 검증되면, 보안 장치(30)는 보안 매트릭스를 생성하고 은행 컴퓨터(20)에 그것을 리턴하며, 은행 컴퓨터(20)는 사용자에게 디스플레이되도록 보안 매트릭스를 고객 서비스 PC(108)에 리턴한다. 제공된 입력 장치를 사용하여 사용자는 일회용 코드를 계산하고 그것을 고객 서비스 PC(108)에 입력한다. 일회용 코드는 은행 컴퓨터(20)로 리턴되고, 다음으로 은행 컴퓨터(20)가 일회용 코드, 사용자 ID 및 은행 시스템 ID를 보안 장치(30)로 다시 전달하며, 보안 장치(30)에서 일회용 코드가 검증된다. 유효하다면, 세션 ID가 생성되어 은행 시스템(20)으로 다시 전달되고, 다음으로 은행 시스템(20)은 은행 컴퓨터에 대하여 이루어진 모든 순차적인 요청의 부분을 형성하도록 고객 서비스 PC(108)로 세션 ID를 다시 전달한다.

오피스 PC들

사용자는 일반 포털(106)을 통하여 로그인하는 것에 의해 회사 네트워크에 접속하고, 로그온 프로세스는 사용자에게 사용자 ID만을 제출하도록 요구한다. 사용자 ID가 제출되면, 은행 컴퓨터는 사용자 ID 및 은행의 시스템 ID를 가지고 보안 장치(30)에 접속한다. 사용자 ID 및 시스템 ID가 검증되면, 보안 장치(30)는 보안 매트릭스를 생성하고 그것을 은행 컴퓨터(20)로 리턴하며, 다음으로 은행 컴퓨터(20)는 그것을 사용자에게 디스플레이하는 것과 함께 일회용 코드의 입력을 요청한다. 보안 매트릭스를 사용하여, 사용자는 일회용 코드를 계산하고 이를 오피스 PC 시스템(106)에 입력한다. 일회용 코드는 은행 컴퓨터(20)로 반환되며, 다음으로 은행 컴퓨터(20)는 일회용 코드, 사용자 ID 및 은행 시스템 ID를 보안 장치(30)로 다시 전달하고, 보안 장치(30)에서 일회용 코드가 검증된다. 유효하다면, 세션 ID가 생성되어 은행 컴퓨터(20)로 다시 전달되며, 은행 컴퓨터(20)는 은행 컴퓨터(20)에 대하여 이루어진 모든 순차적인 요청의 일부를 형성하도록 오피스 PC(106)로 세션 ID를 다시 전달한다.

사용자 패닉 지원

일 실시예에서, 보안 장치는 패닉 지원을 허용하도록 더 향상된다. 이 실시예에서, 사용자 또는 시스템 소유자는 보안 매트릭스로부터 일회용 코드를 형성하기 위하여 일반적인 키워드 대신 특정 앞자리 숫자나 대안 키워드를 사용한다. 보안 장치(30)가 일회용 코드를 검증하고 대안 키워드가 사용되었음을 결정하면, 보안 장치(30)는 보안 시스템(20)으로 전달될 패틱 경고를 트리거한다. 이는 보안 시스템(20)이 예컨대 인터넷 또는 ATM 시스템들(102a, 102b)에 대하여 상당히 감소된 사용가능한 잔고를 나타내거나 영업 시스템에 "샌드박스된" 접근을 제공하면서 경비에게 알리는 것에 의하여 강압 상태의 사람을 보호하도록 반응할 기회를 제공한다.

도 11은 메시지 구조 정의를 나타낸다. 메시지는 인증 요청 메시지(11), 일회용 코드 메시지(12), 보안 매트릭스 메시지(31), 인증 결과 메시지(32) 및 성공 매시지(33)이다. 인증 요청 메시지(11)는 고유 사용자 ID 및 일부 실시예에서 인증을 요청하는 시스템의 ID를 포함한다. 일회용 코드 메시지(12)는 고유 사용자 ID 및 일부 실시예에서, 인증을 요청하는 시스템의 ID, 및 사용자에 의해 입력된 일회용 코드를 포함한다. 보안 매트릭스 메시지(31)는 키, 보안 시스템 선호(50)에 따라 구성된 값들의 집합을 포함한다. 인증 결과 메시지(32)는 일부 실시예에서, 세션 ID, 성공 지표 또는 오류 지표를 포함한다. 성공 메시지(33)는 고유 사용자 ID 및 일부 실시예에서, 검증된 시스템의 ID 및 세션 ID를 포함한다.

도 12는 사용자 선호를 나타낸다. 사용자 선호는 순서 파라미터, 오프셋 파라미터, 크롤 파라미터, 점프 파라미터, 마스크 파라미터 및 무작위기(randomizer)를 포함한다. 순서 파라미터에 따르면, 선형 추출은 매트릭스가 A부터 Z까지 및 0부터 9까지의 선형 순서로 제시된 키 문자들을 가짐을 의미한다. 무작위 추출은 매트릭스가 무작위 순서로 제시된 키 문자들을 가짐을 의미한다.

오프셋 파라미터는 양의 오프셋 또는 음의 오프셋 중 하나를 특정한다. 양의 오프셋에서는, 키와 관련된 각 값에 양의 값이 더해진다. 덧셈은 10진법이며 문자는 26진법으로 Z+1=A이다. 음의 오프셋에서는, 키와 관련된 각 값에 음의 값이 더해진다. 덧셈은 숫자에 대해서는 10진법이며, 문자에 대해서는 26진법이다.

크롤 파라미터는 양의 증가(positive increment) 또는 음의 증가(negative increment) 중 하나를 특정한다. 양의 증가는 키와 관련된 값에 양의 특정 값을 더한 후 다음 덧셈에서 그 특정값만큼씩 증가되는 것을 의미한다. 음의 증가는 키와 관련된 값에 음의 특정값을 더한 후 다음 덧셈에서 그 특정값만큼씩 증가되는 것을 의미한다. 다시 한번, 덧셈은 숫자에 대해서는 10진법이며 문자에 대해서는 26진법이다.

점프 파라미터는 점프를 위한 홀수 또는 짝수를 특정한다. 홀수가 특정되면, 키워드의 홀수 번째 키와 관련된 모든 값에 특정 수가 더해지고, 키워드의 짝수 번째에 위치한 모든 값들로부터 특정 값이 빼진다. 짝수가 특정되면, 홀수 번째 키와 관련된 모든 값들로부터 특정 값이 빠지고 키워드의 짝수 번째에 위치한 모든 값들에 특정값이 더해진다. 덧셈 또는 뺄셈은 숫자에 대하여 10진법이며, 문자에 대해서는 26진법이다.

마스크 파라미터는 키워드 내의 하나 이상의 지표에서 특정 문자가 다른 파라미터에 의해 변경되지 않음을 특정한다. 추가로, 키워드 내의 위치에서 해시 마스크(#)는 사용자가 그 위치에 임의의 수나 기호를 입력할 수 있는 와일드카드 매치를 나타낸다.

무작위기는 하나의 문자 또는 키워드와 동일 개수의 문자들을 갖는 단어일 수 있다. 무작위기가 하나의 문자라면, 매트릭스로부터의 그것의 수치가 키워드의 각 수치에 대하여 10진법으로 더해진다. 만약 무작위기가 단어라면, 무작위기 단어 내의 각 문자의 값이 키워드 내의 대응 문자에 10진법으로 더해진다.

도 13은 보안 시스템 선호를 나타낸다. 이 선호는 리턴 포맷, 키 범위 및 값 범위를 특정한다. 리턴 포맷은 XML, HTML, 이미지 또는 CSV 텍스트 중 하나일 수 있다. 키 범위는 보안 장치가 특정 문자들을 사용하여 보안 매트릭스 키들을 만들어야 함을 특정한다. 값 범위는 보안 장치가 특정 문자들을 사용하여 보안 매트릭스 값들을 만들어야 함을 특정한다.

도 14는 본 발명의 실시예의 흐름도를 나타낸다. 흐름도는 클라이언트 인터페이스, 보안 시스템 및 보안 장치가 보안 시스템에 접속을 요구하는 사용자를 인증하기 위하여 취하는 단계들을 설명한다. 단계 150에서, 사용자는 보안 장치에 키워드 및 그의 사용자 선호를 제공하며, 보안 장치는 단계 152에서 이들 아이템을 수신하고 그들을 영구 저장 장치에 저장한다.

단계 154에서, 사용자는 클라이언트 인터페이스에서 인증 요청을 하며, 단계 156에서 클라이언트 인터페이스는 보안 시스템에 그 요청을 전송한다. 단계 158에서, 보안 시스템은 인증 요청을 수신하고 그것을 시스템 ID와 함께 보안 장치로 전달하며, 보안 장치는 단계 160에서 인증 요청을 수신한다. 다음으로 보안 장치는 단계 162에서 보안 매트릭스를 생성하고, 그 매트릭스를 단계 164a 또는 164b에서 보안 시스템으로 전송한다. 단계 164a에서, 보안 시스템은 그 매트릭스를 클라이언트 인터페이스로 전달하고 클라이언트 인터페이스는 단계 166에서 그 매트릭스를 수신한다. 단계 164b에서, 보안 장치는 보안 매트릭스의 주문 표현을 만들고 그것을 클라이언트 인터페이스로 전송하며, 클라이언트 인터페이스는 단계 166에서 그를 수신한다.

단계 166에서, 사용자는 또한 보안 매트릭스, 사용자 키워드 및 사용자 선호를 사용하여 일회용 코드를 생성하고 단계 168에서 그 일회용 코드를 보안 시스템에 전송하며, 보안 시스템은 단계 172에서 그 일회용 코드를 수신하고 사용자 ID 및 시스템 ID와 함께 그것을 보안 장치에 전달하며, 단계 174에서 보안 장치는 그것을 수신한다. 단계 174에서, 보안 장치는 미리 전송된 보안 매트릭스, 사용자 키워드 및 사용자 선호를 사용하여 일회용 코드를 검증한다. 단계 176에서, 보안 장치는 만약 인증 결과가 성공적이라면 세션 ID와 함께 보안 시스템으로 인증 결과를 전송한다. 단계 178에서, 보안 시스템은 클라이언트 인터페이스로 그 결과를 전달한다. 별도로, 단계 182에서 보안 장치는 보안 시스템으로 성공 또는 실패 메시지를 전송하며, 단계 184에서 보안 시스템은 그 메시지를 수신한다.

도 15는 일회용 코드를 생성하고 전송하기 위한 실시예의 흐름도를 나타낸다. 단계 190에서, 보안 매트릭스가 클라이언트 인터페이스 상에 디스플레이된다. 매트릭스는 사용자 기호에 의하여 특정된 바와 같이 알파벳 순서이거나 무작위 순서일 수 있다. 단계 192에서, 사용자는 키워드, 보안 매트릭스 및 사용자 선호를 사용하여 일회용 코드를 생성하고, 사용자 선호는 오프셋, 크롤, 점프 및 마스크, 또는 일회용 코드를 형성하기 위하여 사용되어야 하는 그들의 조합을 특정한다. 단계 194에서, 사용자는 보안 시스템으로 전송될 수 있도록 클라이언트 인터페이스로 일회용 코드를 입력한다.

비록 본 발명은 특정 바람직한 모습들을 참조하여 매우 상세히 설명되었지만, 다른 모습들 역시 가능하다. 따라서, 첨부된 청구범위의 사상 및 범위는 여기에 포함된 바람직한 모습들로 제한되어서는 안된다.

Claims

프로세싱 시스템(30)에 의하여,
인증 세션을 시작하기 위하여 사용자(10)로부터 사용자(10)의 고유 식별자를 포함하는 요청(11)을 수신하는 단계(160);
상기 고유 식별자를 사용하여, 적어도 코드값 복잡성 선호 데이터(40) 및 사용자-정의 키워드(41)를 포함한, 사용자와 관련된 메모리에 저장된 기록에 접속하는 단계;
기결정된 기호 세트의 각 기호와 상기 기결정된 기호 세트와 별개인 코드 세트로부터 무작위로 선택되고 인증 세션에 대하여 특정된 코드값(12) 사이의 맵핑을 포함하며, 인증 세션 동안 사용자(10)에 대해서만 유효한 일회용 보안 매트릭스(31)를 생성하는 단계(162);
사용자(10)에게 제시(190)하기 위하여 상기 일회용 보안 매트릭스(31)를 전송하는 단계(164a);
상기 일회용 보안 매트릭스(31)의 제시(190)에 응답하여, 상기 일회용 보안 매트릭스(31)로부터 선택되고, 상기 사용자-정의 키워드(41) 및 코드값 복잡성 선호 데이터(40)에 기초하여, 사용자(10)에 의해 입력된(194) 코드값(12)의 순차적 시퀀스를 수신하는 단계(172);
저장된 기록 내의 사용자-정의 키워드(41), 코드값 복잡성 선호 데이터(40) 및 일회용 보안 매트릭스(31)에 기초하여 프로세싱 시스템(30)에 의하여 생성되었으나 전송되지 않은 코드값들의 대응 시퀀스와의 비교에 의해 수신된 코드값들의 순차적 시퀀스를 검증하는 단계(174); 및
상기 비교에 기초하여 인증 세션의 인증 결과(32)를 생성하는 단계(178)의 실행을 포함하며,
상기 코드값 복잡성 선호 데이터(40)는 보안 매트릭스(31)에 제시에 응답하여 수신된 사용자 입력의 유효화에 있어서 사용자에 대한 사용자-선호 복잡성 레벨을 정의하고,
상기 사용자-정의 키워드(41)는 프로세싱 시스템(30)에 의해 지원되는 하나 이상의 기호 세트들로부터 선택된 기결정된 기호 세트의 멤버들을 포함하는 기호들의 순차적 시퀀스로 구성되고,
상기 기호들의 순차적 시퀀스는 다른 사용자들의 선택과 별개로 사용자(10)에 의해 미리 선택되는, 사용자 인증 방법.
제 1 항에 있어서,
상기 일회용 보안 매트릭스를 생성하는 단계는 상기 기결정된 기호 세트 내의 기호들을 무작위 순서로 배열하는 것을 포함하는 사용자 인증 방법.
제 1 항에 있어서,
상기 일회용 보안 매트릭스를 생성하는 단계는 상기 기결정된 기호 세트 내의 기호들을 알파벳 순서로 배열하는 것을 포함하는 사용자 인증 방법.
제 1 항에 있어서,
상기 사용자로부터 요청을 수신하는 단계는 프로세싱 시스템과 별개인 보안 시스템으로부터 요청을 수신하는 것을 포함하며, 상기 보안 시스템은 대응 보안 시스템 식별자를 가지고;
상기 요청은 보안 시스템 식별자를 더 포함하며,
상기 일회용 보안 매트릭스를 생성하는 단계는, 상기 보안 시스템 식별자와 관련된 선호에 기초하는 사용자 인증 방법.
제 4 항에 있어서,
상기 사용자에게 제시하기 위하여 상기 일회용 보안 매트릭스를 전송하는 단계는:
상기 보안 시스템으로 일회용 보안 매트릭스를 전송하는 단계;
상기 보안 시스템이 상기 일회용 보안 매트릭스의 주문 표현을 구성하는 단계; 및
상기 보안 시스템이 사용자에게 일회용 보안 매트릭스의 주문 표현을 제시하는 단계를 포함하는 사용자 인증 방법.
제 4 항에 있어서,
상기 일회용 보안 매트릭스를 생성하는 단계는 상기 보안 시스템 식별자와 관련된 선호에 따라 결정된 코드 세트로부터 무작위로 선택된 코드값들을 포함하는 사용자 인증 방법.
제 1 항에 있어서,
상기 기결정된 기호 세트는 알파벳 문자를 포함하며, 상기 코드 세트는 숫자 값들의 세트인 사용자 인증 방법.
제 7 항에 있어서,
상기 사용자와 관련하여 저장된 기록은 오프셋 값을 포함하는 사용자 선호를 포함하며, 상기 수신된 코드값들의 순차적 시퀀스를 검증하는 단계는 저장된 기록 내의 사용자-정의 키워드, 코드 세트의 숫자 값들에 대한 기호들의 맵핑인 일회용 보안 매트릭스 및 오프셋 값에 기초하여 변경된 코드값들의 계산에 기초하여 코드값들의 대응 시퀀스를 생성하는 것을 포함하는 사용자 인증 방법.
제 7 항에 있어서,
상기 사용자와 관련하여 저장된 기록은 크롤 값을 포함하는 사용자 선호를 포함하며, 상기 수신된 코드값들의 순차적 시퀀스를 검증하는 단계는 저장된 기록 내의 사용자-정의 키워드, 코드 세트의 숫자 값들에 대한 기호들의 맵핑인 일회용 보안 매트릭스 및 크롤 값에 기초하여 변경된 코드 값들의 계산에 기초하여 코드값들의 대응 시퀀스를 생성하는 것을 포함하는 사용자 인증 방법.
제 7 항에 있어서,
상기 사용자와 관련하여 저장된 기록은 점프 값을 포함하는 사용자 선호를 포함하며, 상기 수신된 코드값들의 순차적 시퀀스를 검증하는 단계는 저장된 기록 내의 사용자-정의 키워드, 코드 세트의 숫자 값들에 대한 기호들의 맵핑인 일회용 보안 매트릭스 및 점프 값에 기초하여 변경된 코드 값들의 계산에 기초하여 코드값들의 대응 시퀀스를 생성하는 것을 포함하는 사용자 인증 방법.
제 7 항에 있어서,
상기 사용자와 관련하여 저장된 기록은 마스크 값을 포함하는 사용자 선호를 포함하며, 상기 수신된 코드값들의 순차적 시퀀스를 검증하는 단계는 저장된 기록 내의 사용자-정의 키워드, 코드 세트의 숫자 값들에 대한 기호들의 맵핑인 일회용 보안 매트릭스 및 마스크 값에 기초하여 변경된 코드 값들의 계산에 기초하여 코드값들의 대응 시퀀스를 생성하는 것을 포함하는 사용자 인증 방법.
제 7 항에 있어서,
상기 사용자와 관련하여 저장된 기록은 기정의된 기호 세트로부터 선택된 기호값들의 순차적 시퀀스를 포함하는 대안의 사용자-정의 키워드를 포함하며,
상기 수신된 코드값들의 순차적 시퀀스를 검증하는 단계는 저장된 기록 내의 대안의 사용자-정의 키워드, 코드값 복잡성 선호 데이터 및 일회용 보안 매트릭스에 기초하여 프로세싱 시스템에 의해 생성되었으나 전송되지 않은 코드값들의 대응 시퀀스와의 비교를 수행하는 단계; 및
비교 결과가 매칭인 경우, 패닉 지시를 포함하는 인증 세션의 인증 결과를 생성하는 단계를 더 포함하는 사용자 인증 방법.
각각 고유 식별자에 의해 사용자와 관련되며, 적어도 코드값 복잡성 선호 데이터(40) 및 사용자-정의 키워드(41)를 포함하는 하나 이상의 기록들을 포함하는 데이터 스토어; 및
프로세싱 유닛 및 저장된 프로그램 명령어들을 포함하는 프로세서를 포함하고,
상기 코드값 복잡성 선호 데이터(40)는 보안 매트릭스(31)에 제시에 응답하여 수신된 사용자 입력의 유효화에 있어서 사용자에 대한 사용자-선호 복잡성 레벨을 정의하며,
상기 사용자-정의 키워드(41)는 프로세싱 시스템에 의해 지원되는 하나 이상의 기호 세트들로부터 선택된 기결정된 기호 세트의 멤버들을 포함하는 기호들의 순차적 시퀀스로 구성되고,
상기 기호들의 순차적 시퀀스는 다른 사용자들의 선택과 별개로 사용자에 의해 미리 선택되며,
상기 프로그램 명령어들은 실행시 프로세싱 유닛이:
인증 세션을 시작하기 위하여 사용자로부터 사용자의 고유 식별자를 포함하는 요청(11)을 수신하고(160);
상기 고유 식별자를 사용하여, 상기 데이터 스토어에서, 사용자와 관련된 저장된 기록에 접속하며;
상기 기결정된 기호 세트 내의 각 기호와 상기 기결정된 기호 세트와 별개인 코드 세트로부터 무작위로 선택되며 인증 세션에 대하여 특정된 코드값 사이의 맵핑을 포함하며, 인증 세션 동안 사용자에 대해서만 유효한 일회용 보안 매트릭스를 생성하고(162);
사용자에게 제시하기 위하여 상기 일회용 보안 매트릭스를 전송하며(164a);
상기 일회용 보안 매트릭스의 제시에 응답하여, 상기 일회용 보안 매트릭스로부터 선택되고, 상기 사용자-정의 키워드 및 코드값 복잡성 선호 데이터에 기초하여 사용자에 의해 입력된 코드값들의 순차적 시퀀스(12)를 수신하고;
저장된 기록 내의 사용자-정의 키워드, 코드값 복잡성 선호 데이터 및 일회용 보안 매트릭스에 기초하여 프로세싱 시스템에 의하여 생성되었으나 전송되지 않은 코드값들의 대응 시퀀스와의 비교에 의해 수신된 코드값들의 순차적 시퀀스를 검증하며(174);
상기 비교에 기초하여 인증 세션의 인증 결과를 생성하게(178)하는, 사용자 인증 장치(30).
제 13 항에 따른 사용자 인증 장치; 및
사용자가 인증을 요청하는 인증 시스템(20)을 포함하며,
상기 인증 시스템(20)은:
상기 사용자의 고유 식별자를 수신하고;
상기 사용자 인증 장치로 인증 세션을 시작하기 위하여 사용자의 고유 식별자를 포함하는 요청을 전송하며;
상기 사용자 인증 장치로부터 일회용 보안 매트릭스를 수신하고;
상기 일회용 보안 매트릭스를 사용자에게 제시하며;
상기 사용자로부터 상기 일회용 보안 매트릭스로부터 선택된 코드값들의 순차적 시퀀스를 수신하고;
상기 사용자 인증 장치로 상기 코드값들의 순차적 시퀀스를 전송하며;
상기 사용자 인증 장치로부터 인증 결과를 수신하도록 구성되는 보안 장치.
제 14 항에 있어서,
상기 인증 시스템(20)은:
사용자로부터 입력이 수신되고 일회용 보안 매트릭스가 사용자에 의해 동작되는 웹 브라우저(110, 112)를 통하여 사용자에게 제시되는 웹 서버 인터페이스;
현금 자동 인출기(102a, 102b); 또는
매장 단말기(104) 중 하나를 포함하는 것을 특징으로 하는 보안 장치.
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제