[发明专利]强化了安全性的用户认证方法

说明书

本发明涉及强化了安全性的用户认证方法，本发明的用户认证方法包括：如果从用户输入个人密码，则生成第一共同认证密钥并提供给所述认证服务器，所述认证服务器把所述第一共同认证密钥匹配于用户信息进行登记的步骤；如果从用户端输入个人密码，则所述用户终端实时生成第二共同认证密钥，所述认证服务器生成服务器认证密钥，以所述服务器认证密钥为演算密钥进行一次性密码演算，生成第一服务器认证信息，所述用户终端生成用户认证密钥，以所述用户认证密钥为演算密钥进行一次性密码演算，生成第一用户认证信息的步骤；所述认证服务器根据认证信息的一致与否而执行用户认证的步骤。

技术领域

本发明涉及强化了安全性的用户认证方法，更具体而言，涉及一种从认证机构立场而言，无需管理用户的密码，从用户立场而言，能够容易地更换密码，能够判别认证站点的真伪与否，通过多重认证强化了安全性的用户认证方法。

背景技术

在现代社会，与面对面接触相比，通过在线环境实现金融交易或需要各种用户认证的业务正在普遍化。与面对面接触相比，在线上的用户认证需要更慎重进行，大部分情形要求在用户终端中安装包括ActiveX及键盘安全程序等的各种安全程序或控制程序，通过公认认证书或安全卡、OTP装置等安全装置来强化安全性，防范信息泄露。

代为代表性用户认证方法之一的OTP(One Time Password，一次性密码)装置，预先向用户提供内置了固有密钥的OTP装置，当用户接入电子金融交易网，向认证服务器(金属机构的服务器)要求认证时，以所述固有密钥作为演算密钥，根据与当前时间关联的乱数，生成OTP号码，用户以生成的OTP号码为密码，手动输入并传送给认证服务器，以该方式认证为真正的用户。

但是，在用户与多家金融机构交易的情况下，需分别具备各金融机构提供的多个OTP认证装置，因此，消费者应另行购买各金融机构的OTP认证装置，存在需要持有多个OTP认证装置的不便，还存在需在多个OTP认证装置中逐一查找特定金融机构用认证装置的不便。

另外，由于用户无法任意更换OTP装置的固有密钥，因而当OTP装置丢失时，需直接访问金融机构并重新获得发放等，不便较多。而且，金融机构在客户的OTP装置的固有密钥泄露时，向所有顾客重新发放OTP装置等，存在需要巨大费用和时间的问题。

另一方面，在用户通过指定的密码进行认证或登录的情况下，相关服务器等需登记、存储及管理用户的密码，从用户立场而言，需认知密码，要求定期变更，以防泄露，因而存在管理不便的问题。

而且，随着黑客技术的发展，因屏幕捕获、肩窥攻击(shoulder surfing attack)、屏幕监视等屏幕黑客技术或因PC中安装的软件(spyware)等而导致公认认证书或密码等泄露等，信息泄露多种多样，即使是加密的密码，对于专业的黑客而言，经过某种程度的努力也可能解密，因而就用户认证所需的流程而言，在对用户追求便利性的同时，还需要强化安全性。

【现有技术文献】

【专利文献】

(专利文献1)大韩民国注册专利第10-1270941号(2013.05.29.)

发明内容

本发明要解决的技术问题

因此，本发明的目的在于提供一种能够克服所述以往问题的强化了安全性的用户认证方法。

本发明的另一目的在于，提供一种用户认证流程简便、能够强化安全性的用户认证方法。

本发明的又一目的在于，提供一种用户可以判断认证所需的认证机构、认证服务器等的真伪与否的用户认证方法。

本发明的又一目的在于，提供一种认证机构或认证服务器不管理用户的密码，也能够进行认证，能够利用与时间相联系的多重要素强化安全性的用户认证方法。