CN110612698B - 通过组合多用户的认证因素生成安全密钥的安全认证***及安全认证方法 - Google Patents
通过组合多用户的认证因素生成安全密钥的安全认证***及安全认证方法 Download PDFInfo
- Publication number
- CN110612698B CN110612698B CN201880028239.6A CN201880028239A CN110612698B CN 110612698 B CN110612698 B CN 110612698B CN 201880028239 A CN201880028239 A CN 201880028239A CN 110612698 B CN110612698 B CN 110612698B
- Authority
- CN
- China
- Prior art keywords
- authentication
- security
- user terminal
- security key
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0872—Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/40—User authentication by quorum, i.e. whereby two or more security principals are required
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/47—Security arrangements using identity modules using near field communication [NFC] or radio frequency identification [RFID] modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Telephonic Communication Services (AREA)
- Lock And Its Accessories (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明涉及一种组合多用户的认证因素来生成安全密钥的安全认证***和安全认证方法,更具体地,在基于智能终端的安全认证环境中从多用户收集信息并将收集到的多用户信息组合成认证因素来生成安全密钥的通过组合多用户的认证因素生成安全密钥的安全认证***及安全认证方法。根据本发明,将通过智能手机自动收集的识别信息用作认证因素,并通过其的交叉组合来生成安全密钥,从而能够提供由多方协调增强的安全服务,因此具有与现有的认证·加密技术结合而能够应用于多种应用领域的效果。
Description
技术领域
本发明涉及一种通过组合多用户的认证因素生成安全密钥的安全认证***及安全认证方法,更具体地,在基于智能终端的安全认证环境中从多用户收集信息并将收集到的多用户信息组合成认证因素来生成安全密钥的通过组合多用户的认证因素生成安全密钥的安全认证***及安全认证方法。
背景技术
随着信息通信技术的发展,网上信息的集中使信息保护及安全的重要性变得越来越大。信息保护是从通过利用计算机的信息***或有线/无线互联网等网络传递的信息的伪造/编造、泄露、武断侵入、拒绝服务等各种非法行为中安全地保护组织或个人的计算机和信息,并且在物理空间中防止安全侵害事故,提供与其他产业的融合***的安全技术,可区分为基于通用安全、网络安全、设备安全、服务安全、融合安全技术。
传统意义上,安全被区分为物理安全和信息安全而成长过来,但最近随着出入管制、停车设施管理、CCTV影像安全等物理安全产业与保护计算机、网络上的信息的IT信息安全技术结合,物理安全和信息安全的边界被瓦解,产生两个领域结合的融合安全领域。并且,随着IT技术应用于汽车、造船、医疗、电力等传统产业,IT与产业间融合中产生的安全问题属于新的融合安全。
密码和认证是指对存储于计算机***内部的数据和通信区间进行加密来确保保密性并对接入***的用户进行认证的技术。作为基于通用的安全技术的应用范围,可以是网络服务器和浏览器之间的收发加密的Web安全、DB安全、XML安全、网络安全、智能手机安全等以及密码、认证、电子签名(Public Key Infrastructure,PKI)等。
关于用户认证技术,因网上服务的非面对面特性而需要认证接受服务的用户是否为合适的用户的过程。如果无法正确认证用户,则可能根据服务种类泄露个人信息等,因此通过对用户进行认证来确保安全性和可靠性是必须的。如此用于判别接受服务的用户是否合法的因素叫做认证因素。
公开一种在提供服务过程中在用于确认用户的安全***中从特定装置及特定用户的特有的认证因素中生成安全密钥的技术。
图1是示出现有技术的安全密钥生成装置的结构的框图。
现有技术的安全密钥生成装置10与存储装置连接,利用存储装置20的唯一标识符媒体ID和用于认证用户1的认证信息来生成安全密钥。
安全密钥生成装置10与存储装置20连接,并且从存储装置20接收原始ID。所述原始ID作为被利用到存储装置20的唯一标识符媒体ID的运算的一个以上的识别用数据,是与所述媒体ID不同地数据。安全密钥生成装置10从所述原始ID生成所述媒体ID。即,安全密钥生成装置10不是从存储装置20直接接收所述媒体ID,而是接收作为能够生成所述媒体ID的源数据的原始ID。这是用于防止所述媒体ID泄露,安全密钥生成装置10能够存储用于从所述原始ID生成所述媒体ID的数据。
安全密钥生成装置10可包括ID运算单元12、认证信息提供单元14以及安全密钥生成单元16。ID运算单元12通过接收存储于存储装置20的原始ID从所述原始ID运算作为所述存储装置20的唯一标识符的媒体ID。
但是,为了通过所述方式生成安全密钥需要利用基于用户所属唯一信息的认证信息,但由于为了生成安全密钥使用普通的安全密钥生成算法,若泄露认证信息,则存在连安全密钥也被泄露的风险。
现有技术文献
(专利文献0001)KR10-2013-0140968A
(专利文献0002)KR10-2015-0006402A
(专利文献0003)KR10-2015-0050130A
(专利文献0004)KR10-0757982B1
发明内容
(一)要解决的技术问题
用于解决上述问题的本发明的目的在于提供一种通过组合多用户的认证因素生成安全密钥的安全认证***及安全认证方法,在没有用户的介入下从多个用户终端自动收集认证因素,并将收集到的多个用户终端的认证因素多元交叉组合来生成安全密钥,从而提高安全性。
并且,本发明的目的在于提供一种通过组合多用户的认证因素生成安全密钥的安全认证***及安全认证方法,通过收集用户的电话号码或ID、电子邮箱地址等可从用户终端收集的信息外,还一同收集传感值或频射识别(RFID)标签、NFC标签、WiFi SSID等***区域的信息来用于认证因素,从而预防安全密钥的泄露或被盗。
并且,本发明的目的在于提供一种通过组合多用户的认证因素生成安全密钥的安全认证***及安全认证方法,生成一次性安全密钥来使用或者使用经过一定时间后被删除的安全密钥,从而进一步提高安全性。
(二)技术方案
为了解决上述技术问题而提出的本发明作为在第一用户终端(30)的请求下从多个智能终端收集认证因素来生成安全密钥的安全认证***,包括:控制单元(102),控制组件的操作;收集单元(104),从所述第一用户终端(30)和所述第二用户终端(40)自动收集认证因素或根据用户的选择手动收集认证因素并存储于认证因素数据库(116)中;组合单元(106),通过多交叉组合从所述第一用户终端(30)和所述第二用户终端(40)收集的认证因素来生成安全密钥,并存储于安全密钥数据库(118)中,其特征在于,所述组合单元(106)随机提取和组合从多个用户终端30、40收集的多个认证因素,并使用密码算法来生成安全密钥。
所述认证因素包括:区域感测信息,其包括RFID标签、WIFI SSID、信标、传感器值信息;基于知识信息,其包括用户的邮箱地址、ID、密码;状态信息,其包括传感器、UUID(Universal Unique Identifier,身份识别)、状态信息、MAC地址;持有信息,其包括电话号码、NFC标签、QR码、条形码。
所述安全密钥是,用于安全认证后被删除或撤销的一次性安全密钥和经过预定期间后被删除或撤销的期间限定安全密钥中的一种。
根据另一个实施的本发明为作为利用安全认证***的安全认证方法,包括以下步骤:第一步骤,用户用第一用户终端(30)接入服务***(50)请求内容或信息、金融服务、出入认证中的一个服务,所述第一用户终端(30)接入所述安全认证***(100)来请求用于安全认证的安全密钥;第二步骤,所述安全认证***(100)所包括的收集单元(104)向所述用户所使用的第一用户终端(30)和其他用户的第二用户终端(40)请求提供认证因素;第三步骤,所述收集单元(104)将由所述第一用户终端(30)和所述第二用户终端(40)提供的多个认证因素存储于认证因素数据库(116)中;第四步骤,所述安全认证***(100)中包括的组合单元(106)对所述多个认证因素进行多元交叉组合来生成安全密钥,并将生成的所述密钥提供给所述第一用户终端(30)。
所述认证因素包括:区域感测信息,其包括RFID标签、WIFI SSID、信标、传感器值信息;基于知识信息,其包括用户的邮箱地址、ID、密码;状态信息,其包括传感器、UUID、状态信息、MAC地址;持有信息,其包括电话号码、NFC标签、QR码、条形码。
所述安全密钥是,用于安全认证后被删除或撤销的一次性安全密钥和经过预定期间后被删除或撤销的期间限定安全密钥中的一种。
(三)有益效果
根据本发明,将通过智能手机自动收集的识别信息用作认证因素,并通过其的交叉组合来生成安全密钥,从而能够提供由多方协调增强的安全服务,因此具有与现有的认证·加密技术结合而能够应用于多种应用领域的效果。
并且,为了多种融合服务,将内置于智能终端的设备与***传感器互动来发生的结果也用作认证因素,从而提高安全性,并且具有在融合的网络环境中与***传感器一同被应用于出入管理等领域的效果。
附图说明
图1是示出现有技术的安全密钥生成装置的结构的框图。
图2是示出本发明的实施例的安全认证***的连接状态的框图。
图3是示出安全认证***与其他组件之间的数据流的概念图。
图4是示出安全认证***的内部组件的框图。
图5是示出认证因素的种类和详细内容的表。
图6是示出用于生成安全密钥的组合方式的框图。
最优选的实施方式
下面,参照附图对本发明的优选实施例的“通过组合多用户的认证因素生成安全密钥的安全认证***及安全认证方法”进行说明。
图2是示出本发明的实施例的安全认证***的连接状态的框图,图3是示出安全认证***与其他组件之间的数据流的概念图。
首先,说明本发明的“通过组合多用户的认证因素生成安全密钥的安全认证***”(以下简称为“安全认证***”),然后说明利用安全认证***100进行的安全认证方法。
本发明的安全认证***100的使用目的在于通过确认为了业务而接入计算机***的用户的身份来批准***接入权限。并且,所述安全认证***100应用于阻止接入以防止内容或信息、文档的泄露、在金融服务中通过非面对面确认本人、为了管理对管制区域的出入而需要用户安全认证的服务。用户通过安全认证***100所提供的安全认证操作能够执行合理的用户认证。
用户使用智能手机或平板电脑等智能终端接入安全认证***100,并且使用由安全认证***100提供的安全认证服务或安全密钥来执行用户认证操作。
在本发明中,将为了用户认证操作请求安全认证服务的用户的终端定义为第一用户终端30,将为了生成第一用户终端30所要使用的安全密钥而收集认证因素的其他用户的终端定义为第二用户终端40。即,接入安全认证***100的多个终端中请求安全认证服务的一方为第一用户终端30,另一方为第二用户终端40。安全认证***100从第一用户终端30和第二用户终端40收集认证因素。
服务***50向用户提供工作需要的界面或数据,是提供多种形式的信息或内容、金融服务等的***,只会向通过用户认证确认到同一性的用户提供服务。犹如员工为了业务处理而接入的企业内部网***,一般只限授权用户接入。为此,需要安全认证***100的认证过程,用户使用由安全认证***100生成而传递的安全密钥。为了接收由安全认证***100生成的安全密钥来接入服务***50,用户需要注册安全认证***100和服务***50并成为用户,具有接入权限的用户的用户信息将存储于安全认证***100和服务***50中。
如图3所示,用户用第一用户终端30接入服务***50请求接入权限(①),以能够得到工作进行认可或使用内容、信息、金融服务、出入认证等服务。
服务***50为了对请求接入权限的用户进行认证而向第一用户终端30请求安全认证(②)。
用户用第一用户终端30接入安全认证***100来请求用于安全认证的安全密钥(③)。
为了生成安全密钥,安全认证***100不仅向第一用户终端30请求提供认证因素,还会向其他用户的第二用户终端40请求提供认证因素(④)。当用户同意提供认证因素时,第一用户终端30和第二用户终端40向安全认证***100提供包含可用于生成安全密钥的各种信息的认证因素(⑤)。通常,不是每次请求安全认证都会收集认证因素,而是从同意提供安全认证***100的认证因素的所有用户终端自动收集认证因素并进行存储。
安全认证***100将收集的认证因素多维交叉组合来生成安全密钥,并将生成的安全密钥提供给第一用户终端30(⑥)。
第一用户终端30使用额外的算法将由安全认证***100发送的安全密钥转换为杂凑值(Hash)。并且,第一用户终端30将生成的杂凑值发送给安全认证***100(⑦)。
安全认证***100确认所发送的杂凑值是否与正常生成的安全密钥的杂凑值相同。为此,利用与第一用户终端30相同的算法来将安全密钥转换为杂凑值。根据情况,安全认证***100在向第一用户终端30发送安全密钥之前或之后生成对安全密钥的杂凑值并预先进行存储,当从第一用户终端30发送杂凑值时,调出存储的杂凑值并进行相互比较。
通过比较杂凑值,确认是相同的安全密钥,安全认证***100向服务***50通知安全认证已被正常处理(⑧)。
接收到安全认证通过通知的服务***50向第一用户终端30通知接入权限已被批准,用户接入服务***50能够执行正常业务(⑨)。
当完成用户认证时,服务***50向第一用户终端30或用户正常提供预设的服务。
向第一用户终端30提供的安全密钥被临时存储,被设定为,当安全密钥已用于安全认证或使用期限已过时被删除。当在第一用户终端30中安全密钥被删除时,向安全认证***100传递删除状态值以使其识读删除事实。
具体实施方式
图4是示出安全认证***的内部组件的框图。
在安全认证***100中包括的控制单元102控制内部组件的操作,并且执行各组件之间的数据转换和存储等操作。
收集单元104自动或基于用户选择的手动收集能够从智能手机等用户终端30、40中收集的各种认证因素。通过收集单元104收集且用于生成安全密钥的具体数据将定义为认证因素。
图5是示出认证因素的种类和详细内容的表。
在本发明中用于生成安全密钥的认证因素包括区域感测信息、基于知识信息、装置信息以及持有信息。
区域监测信息包括频射识别(RFID)标签、WiFi SSID、信标、传感器值(近接传感器、照度传感器、振动传感器)等信息。
基于知识信息作为基于用户的知识被设定和存储的信息,包括用户的邮箱地址、ID、密码等。ID可以是安卓ID。
装置信息包括传感器、UUID(Universal Unique Identifier,身份识别)、状态信息、MAC地址等。状态信息作为用于确认当前终端状态的各种信息,包括音量、振动/铃声状态等。
持有信息包括用户使用终端时被指定的电话号码、NFC标签、QR码、条形码等。
在多种智能手机中可收集的认证因素根据智能手机的类型而不同,因此需要正确判断信息并在最短时间内收集认证因素信息。为此,优选采用将需要收集的认证因素按特性区分并以多线程方式收集信息的算法。
在本发明中,用于生成安全密钥的认证因素的种类是由构成安全***100的管理员设定。管理员根据服务***50的特性收集合适种类的认证因素从而能够提供补充服务。
根据情况,在注册用户的过程中,用户还可以选择并指定认证因素。
收集单元104通过智能手机的后台服务运行,当需要用户认证的手机应用调用时,收集认证因素并给相应应用共享信息。
通过收集单元104收集的认证因素被存储在认证因素数据库116中。
组合单元106利用多认证因素通过多交叉组合来生成用于加密和解密的安全密钥。组合单元106随机提取从多个用户终端30、40收集到的多个认证因素,可通过交叉组合来生成多种安全密钥。根据情况,用于一个用户终端30、40的安全密钥可生成两个以上。
用户数据库114存储能够使用安全认证***100和服务***50的用户的个人信息。
当请求安全密钥的生成和认证的用户的信息不存在时,安全认证***100会请求用户进行注册。用户输入的用户信息在之后用户登录或接入时被调用而用于进行用户认证。
图6是示出用于生成安全密钥的组合方式的框图。
收集到的认证因素按不同的用户被存储,组合单元106在按各不同的用户存储的认证因素中选择性地提取并进行组合。
通过组合单元106生成的安全密钥会存储到安全密钥数据库118。
组合单元106在生成安全密钥时可设定为一次性使用或只可在规定期限内使用。当为一次性安全密钥时,被用于安全认证后直接删除或撤销。当为有使用期限的期间限定安全密钥时,经过预定的期间时直接被删除或撤销。安全密钥的存续期间由用户而定。
加密单元108利用通过多交叉组合生成的安全密钥来对内容或信息进行加密。
个人信息、电话号码、地址、E-mail地址等指定个人时可组合而使用的个人信息是使用可解码的块加密算法。并且,身份证号和账户信息加密所需的安全密码算法使用可数据加密/解密的双向加密算法,即对称密钥密码算法。此时,优选地,选择安全强度为112位以上的算法来进行加密。
通常,韩国网络振兴院提供的国内密码算法SEED、ARIA-128/192/256中选择并进行加密。
解密单元110使用通过交叉组合多认证因素生成的安全密钥进行解密。解密单元110也被设定为使用与加密单元108使用的密码算法相同的算法。
权限管理单元112使用通过交叉组合多认证因素生成的多个安全密钥来按不同用户生成并管理认证权限。并且,开发用于多用户的协作文档安全算法,在生成文档时一同应用对文档的读取、修改、删除等权限密钥,从而应用基于由用户的认证因素生成的密钥的权限。文档历史变更事项的跟踪和存储算法的开发会记录对文档的历史变更事项,这时生成的记录被加密而防止任意的接入,以只可接入特定设备、位置、环境。
使用如上所述的安全认证***100能够生成将多用户的认证因素进行交叉组合的安全密钥,并将生成的安全密钥提供给用户终端30、40,从而使其在接入服务***50的步骤中使用。
以上参照附图对本发明的优选实施例进行了说明,本发明所属技术领域的技术人员能够理解上述本发明的技术结构能够以其他具体形式实施。因此,应理解以上说明的实施例在所有方面属于示例性,而不是限定性的,本发明的范围由权利要求书而决定,而不是由上述详细的说明部分而决定,并且应被解释为权利要求书的含义和范围以及从其等价概念导出的所有的变更或变形的形式均属于本发明的范围。
附图标记
30:第一用户终端 40:第二用户终端
50:服务*** 100:安全认证***
102:控制单元 104:收集单元
106:组合单元 108:加密单元
110:解密单元 112:权限管理单元
114:用户数据库 116:认证因素数据库
118:安全密钥数据库
工业实用性
本发明可以以安全认证***和安全认证方法使用。
Claims (6)
1.一种组合多用户的认证因素来生成安全密钥的安全认证***,其作为在请求安全认证服务的用户所使用的第一用户终端(30)的请求下,从多个用户终端收集认证因素来生成安全密钥的安全认证***(100),包括:
控制单元(102),控制组件的操作,所述组件包括收集单元和组合单元;
所述收集单元(104),从所述第一用户终端(30)和没有请求所述安全认证服务的用户所使用的第二用户终端(40)自动收集认证因素并存储于认证因素数据库(116)中;以及
所述组合单元(106),通过多元交叉组合从所述第一用户终端(30)和所述第二用户终端(40)收集的认证因素来生成安全密钥,并存储于安全密钥数据库(118)中,
其特征在于,所述安全密钥用于认证所述第一用户终端(30)是否为在要接入的服务***(50)中有接入权限的用户,其中所述安全密钥被发送给所述第一用户终端(30)后,由所述第一用户终端(30)转换为杂凑(HASH)值,并发送回所述安全认证***(100),所述安全认证***(100)将被发送回的杂凑值和所述组合单元(106)生成的安全密钥的杂凑值进行比较,以认证所述第一用户端是否对所述第一用户终端(30)要接入的所述服务***(50)具有接入权限,
所述组合单元(106)随机提取和组合从所述第一用户终端(30)和所述第二用户终端(40)收集的多个认证因素,并使用密码算法来生成所述安全密钥。
2.根据权利要求1所述的安全认证***,其中,
所述认证因素包括:
区域感测信息,其包括RFID标签、WIFI SSID、信标及传感器值信息中的至少一个;
基于知识信息,其包括用户的邮箱地址、ID及密码中的至少一个;
装置信息,其包括传感器、UUID、状态信息及MAC地址中的至少一个;以及
持有信息,其包括电话号码、NFC标签、QR码及条形码中的至少一个。
3.根据权利要求1所述的安全认证***,其特征在于,
所述安全密钥是,用于安全认证后被删除或撤销的一次性安全密钥和经过预定期间后被删除或撤销的期间限定安全密钥中的一种。
4.一种组合多用户的认证因素来生成安全密钥的安全认证方法,其作为利用权利要求1至3中任一项所述的安全认证***的安全认证方法,包括以下步骤:
第一步骤,请求安全认证服务的用户用第一用户终端(30)接入服务***(50)请求内容或信息、金融服务、出入认证中的一个服务,所述第一用户终端(30)接入所述安全认证***(100)来请求用于安全认证的安全密钥;
第二步骤,所述安全认证***(100)所包括的收集单元(104)向第一用户终端(30)和所述没有请求所述安全认证服务的用户所使用的第二用户终端(40)请求提供认证因素;
第三步骤,所述收集单元(104)将由所述第一用户终端(30)和所述第二用户终端(40)提供的多个认证因素存储于认证因素数据库(116)中;
第四步骤,所述安全认证***(100)中包括的组合单元(106)对所述多个认证因素进行多元交叉组合来生成安全密钥,并将生成的所述密钥提供给所述第一用户终端(30);
第五步骤,所述第一用户终端(30)将由所述组合单元(106)提供的所述安全密钥转换为杂凑值并发送到所述安全认证***(100);以及
第六步骤,当由所述第一用户终端(30)发送的杂凑值与所述组合单元(106)生成的安全密钥的杂凑值相同时,所述安全认证***(100)将已正常处理安全认证的事实通知给所述服务***(50)。
5.根据权利要求4所述的安全认证方法,其中,
所述认证因素包括:
区域感测信息,其包括RFID标签、WIFI SSID、信标及传感器值信息中的至少一个;
基于知识信息,其包括用户的邮箱地址、ID及密码中的至少一个;
装置信息,其包括传感器、UUID、状态信息及MAC地址中的至少一个;以及
持有信息,其包括电话号码、NFC标签、QR码及条形码中的至少一个。
6.根据权利要求4所述的安全认证方法,其特征在于,
所述安全密钥是,用于安全认证后被删除或撤销的一次性安全密钥和经过预定期间后被删除或撤销的期间限定安全密钥中的一种。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2017-0062912 | 2017-05-22 | ||
| KR1020170062912A KR101809974B1 (ko) | 2017-05-22 | 2017-05-22 | 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증시스템 및 보안인증방법 |
| PCT/KR2018/005795 WO2018216988A1 (ko) | 2017-05-22 | 2018-05-21 | 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증시스템 및 보안인증방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110612698A CN110612698A (zh) | 2019-12-24 |
| CN110612698B true CN110612698B (zh) | 2021-05-11 |
Family
ID=60924224
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880028239.6A Active CN110612698B (zh) | 2017-05-22 | 2018-05-21 | 通过组合多用户的认证因素生成安全密钥的安全认证***及安全认证方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10615974B2 (zh) |
| KR (1) | KR101809974B1 (zh) |
| CN (1) | CN110612698B (zh) |
| MY (1) | MY200897A (zh) |
| WO (1) | WO2018216988A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11197154B2 (en) * | 2019-12-02 | 2021-12-07 | At&T Intellectual Property I, L.P. | Secure provisioning for wireless local area network technologies |
| KR20210115807A (ko) * | 2020-03-16 | 2021-09-27 | 삼성전자주식회사 | 주변 장치를 이용한 위치 제공 방법 및 장치 |
| WO2022031010A1 (ko) * | 2020-08-07 | 2022-02-10 | 삼성전자 주식회사 | 전자 장치의 위치 확인 서비스를 위한 패킷 전송 방법 및 그 장치 |
| CN112287371B (zh) * | 2020-11-06 | 2022-10-25 | 北京航天数据股份有限公司 | 一种存储工业数据的方法、装置和计算机设备 |
| WO2022178025A1 (en) * | 2021-02-16 | 2022-08-25 | Evolv Technologies, Inc. | Identity determination using biometric data |
| CN115473652B (zh) * | 2022-08-25 | 2023-05-16 | 广东技术师范大学 | 一种身份认证方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101883108A (zh) * | 2010-06-29 | 2010-11-10 | 中兴通讯股份有限公司 | 动态认证的文件传输方法及*** |
| CN102761870A (zh) * | 2012-07-24 | 2012-10-31 | 中兴通讯股份有限公司 | 一种终端身份验证和服务鉴权的方法、***和终端 |
| CN104115442A (zh) * | 2013-06-20 | 2014-10-22 | 华北电力大学(保定) | 基于非对称密钥和Hash函数的RFID双向认证方法 |
| KR101478256B1 (ko) * | 2014-04-17 | 2015-01-06 | 주식회사 자연 | 라돈 차단용 구조물 |
| CN105830390A (zh) * | 2013-12-20 | 2016-08-03 | 稀客股份有限公司 | 利用快速响应代码的验证***及方法 |
| KR20170022857A (ko) * | 2015-08-19 | 2017-03-02 | 주식회사 자하스마트 | 보안성이 향상된 전자투표 운용 시스템, 방법 및 그 방법을 실행시킬 수 있는 컴퓨터로 읽을 수 있는 프로그램이 저장된 기록매체 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100757982B1 (ko) | 2006-09-04 | 2007-09-11 | 주식회사 시큐랩 | 일회성 인증정보를 이용한 사용자 인증 방법 |
| JP5580318B2 (ja) * | 2008-10-14 | 2014-08-27 | コーニンクレッカ フィリップス エヌ ヴェ | 仮名の発生及び認証のための方法及び装置 |
| US8959603B2 (en) * | 2009-01-09 | 2015-02-17 | Hideharu Ogawa | Authentication system |
| US20110213985A1 (en) * | 2010-02-26 | 2011-09-01 | Compuware Corporation | Two factor authentication scheme |
| US8667560B2 (en) * | 2010-08-31 | 2014-03-04 | At&T Intellectual Property I, L.P. | Authenticating a user with picture messaging |
| US8769627B1 (en) * | 2011-12-08 | 2014-07-01 | Symantec Corporation | Systems and methods for validating ownership of deduplicated data |
| US8984607B1 (en) * | 2012-04-20 | 2015-03-17 | Wells Fargo Bank, N.A. | Authentication system and method |
| KR101959738B1 (ko) | 2012-05-24 | 2019-03-19 | 삼성전자 주식회사 | 장치 식별자와 사용자 인증 정보에 기반한 보안 키 생성 장치 |
| US9270454B2 (en) * | 2012-08-31 | 2016-02-23 | Hewlett Packard Enterprise Development Lp | Public key generation utilizing media access control address |
| US9215072B1 (en) * | 2012-10-23 | 2015-12-15 | Authernative, Inc. | Back-end matching method supporting front-end knowledge-based probabilistic authentication systems for enhanced credential security |
| JP2014220661A (ja) * | 2013-05-08 | 2014-11-20 | 株式会社東芝 | 証明装置、出力装置、検証装置、入力装置、証明方法、検証方法およびプログラム |
| KR101478526B1 (ko) * | 2013-06-24 | 2015-01-02 | 바른소프트기술 주식회사 | 인증 정보를 이용한 비밀 키 관리 시스템 및 이를 이용한 비밀 키 제공 방법 |
| KR20150050130A (ko) | 2013-10-31 | 2015-05-08 | 한국전자통신연구원 | 일회용 인증서 서비스 제공 장치 및 그 방법 |
| KR101685042B1 (ko) | 2014-12-19 | 2016-12-12 | 주식회사 비즈모델라인 | 매체 분리 기반 일회용 인증코드 구현 방법 |
| KR20160150097A (ko) * | 2016-12-21 | 2016-12-28 | 임용훈 | 사용자 인증을 위한 장치 및 방법 |
| US10110585B2 (en) * | 2016-12-31 | 2018-10-23 | Entefy Inc. | Multi-party authentication in a zero-trust distributed system |
-
2017
- 2017-05-22 KR KR1020170062912A patent/KR101809974B1/ko active IP Right Grant
-
2018
- 2018-05-21 WO PCT/KR2018/005795 patent/WO2018216988A1/ko active Application Filing
- 2018-05-21 CN CN201880028239.6A patent/CN110612698B/zh active Active
- 2018-05-21 MY MYPI2019006574A patent/MY200897A/en unknown
-
2019
- 2019-11-07 US US16/677,322 patent/US10615974B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101883108A (zh) * | 2010-06-29 | 2010-11-10 | 中兴通讯股份有限公司 | 动态认证的文件传输方法及*** |
| CN102761870A (zh) * | 2012-07-24 | 2012-10-31 | 中兴通讯股份有限公司 | 一种终端身份验证和服务鉴权的方法、***和终端 |
| CN104115442A (zh) * | 2013-06-20 | 2014-10-22 | 华北电力大学(保定) | 基于非对称密钥和Hash函数的RFID双向认证方法 |
| CN105830390A (zh) * | 2013-12-20 | 2016-08-03 | 稀客股份有限公司 | 利用快速响应代码的验证***及方法 |
| KR101478256B1 (ko) * | 2014-04-17 | 2015-01-06 | 주식회사 자연 | 라돈 차단용 구조물 |
| KR20170022857A (ko) * | 2015-08-19 | 2017-03-02 | 주식회사 자하스마트 | 보안성이 향상된 전자투표 운용 시스템, 방법 및 그 방법을 실행시킬 수 있는 컴퓨터로 읽을 수 있는 프로그램이 저장된 기록매체 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101809974B1 (ko) | 2017-12-19 |
| MY200897A (en) | 2024-01-22 |
| WO2018216988A1 (ko) | 2018-11-29 |
| CN110612698A (zh) | 2019-12-24 |
| US10615974B2 (en) | 2020-04-07 |
| US20200076588A1 (en) | 2020-03-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110612698B (zh) | 通过组合多用户的认证因素生成安全密钥的安全认证***及安全认证方法 | |
| US11218480B2 (en) | Authenticator centralization and protection based on authenticator type and authentication policy | |
| US11770261B2 (en) | Digital credentials for user device authentication | |
| KR101680525B1 (ko) | 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법 | |
| CN107231331B (zh) | 获取、下发电子证件的实现方法和装置 | |
| US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
| KR100696316B1 (ko) | 개인 정보 관리 방법 및 장치 | |
| EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| CN104662870A (zh) | 数据安全管理*** | |
| JP2016031760A (ja) | 制御された情報開示によるプライベート解析 | |
| WO2009101549A2 (en) | Method and mobile device for registering and authenticating a user at a service provider | |
| CN112673600A (zh) | 基于区块链的手机终端以及IoT设备之间的多重安全认证***以及方法 | |
| JP5992535B2 (ja) | 無線idプロビジョニングを実行するための装置及び方法 | |
| Griffin | Telebiometric authentication objects | |
| CN110582986B (zh) | 通过组合多用户的认证因素生成安全密钥的安全认证方法 | |
| US7587051B2 (en) | System and method for securing information, including a system and method for setting up a correspondent pairing | |
| KR101651563B1 (ko) | 사용 이력 기반의 인증코드 관리 시스템 및 그 방법 | |
| KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 | |
| JP2008502045A (ja) | 電子商取引の確保 | |
| KR101449806B1 (ko) | 디지털 정보 상속 방법 | |
| CN105743883B (zh) | 一种网络应用的身份属性获取方法及装置 | |
| JP3989340B2 (ja) | データベースのセキュリティ提供システム | |
| KR101705293B1 (ko) | 비밀스런 인증데이터 관리가 필요 없는 인증시스템 및 방법 | |
| WO2018207079A1 (en) | Method and system for universal access control management to an entity with inconsistent internet access | |
| CN116070273A (zh) | 个人数据跨网络应用程序流转方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |