特許7156738モバイル機器のスマジ及びショルダーサーフィン攻撃防止のためのシステム及びユーザパターン認証方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-10-11
(45)【発行日】2022-10-19
(54)【発明の名称】モバイル機器のスマジ及びショルダーサーフィン攻撃防止のためのシステム及びユーザパターン認証方法
(51)【国際特許分類】
G06F 21/36 20130101AFI20221012BHJP
H04L 9/32 20060101ALI20221012BHJP
【FI】
G06F21/36
H04L9/32 100A
【請求項の数】
4
(21)【出願番号】P 2021533124
(86)(22)【出願日】2019-03-27
(65)【公表番号】
(43)【公表日】2021-12-09
(86)【国際出願番号】 KR2019003530
(87)【国際公開番号】W WO2020040395
(87)【国際公開日】2020-02-27
【審査請求日】2021-02-17
(31)【優先権主張番号】10-2018-0096660
(32)【優先日】2018-08-20
(33)【優先権主張国・地域又は機関】KR
(73)【特許権者】
【識別番号】521070843
【氏名又は名称】イーワイエル インコーポレーテッド
【氏名又は名称原語表記】EYL INC.
【住所又は居所原語表記】#401,52,Singu-ro,Giheung-gu,Yongin-si,Gyeonggi-do 16971,Republic of Korea
(74)【代理人】
【識別番号】100130111
【弁理士】
【氏名又は名称】新保 斉
(72)【発明者】
【氏名】ペク、ジョン ヒョン
(72)【発明者】
【氏名】チョ、ソン ジュン
(72)【発明者】
【氏名】ジョン、ブ ソク
(72)【発明者】
【氏名】ナム、デ ヒョン
(72)【発明者】
【氏名】ソ、ガン ウォン
【審査官】宮司 卓佳
(56)【参考文献】
【文献】特開2017-208144(JP,A)
【文献】米国特許第09111073(US,B1)
【文献】中国特許出願公開第104918243(CN,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/31-21/46
H04L 9/32
(57)【特許請求の範囲】
【請求項1】
有無線ネットワーク上で、スマジ(Smudge)及びショルダーサーフィン(Shoulder Surfing)攻撃防止のためのパターン認証方法において、パターン登録ステップとパターン認証ステップとを含み、
前記パターン登録ステップは、
パターン認証装置の入力部の特定領域をユーザが一定時間の間タッチするか判断するステップと、
ユーザが特定領域を一定時間の間タッチしたことと判断される場合に、一般モードから置換変換モードへと変更され、ユーザのタッチ回数またはタッチテンポによってコード値が変更されるステップと、
パターン認証装置の入力部がユーザからパターンを受信するステップと、
マッチング部がユーザから入力されたパターンに対応するコード値をマッチングし、格納部に格納するステップと、
KDI(Key Derivation ID)生成部が前記コード値と量子乱数生成部で生成された量子乱数を含む量子乱数テーブルとをマッチングして、ユーザKDI(Key Derivation ID)を生成して格納部に格納するステップとを含み、
前記パターン認証ステップは、
パターン認証装置の入力部の特定領域をユーザが一定時間の間タッチするか判断するステップと、
ユーザが特定領域を一定時間の間タッチしたことと判断される場合に、一般モードから置換変換モードへと変更され、ユーザのタッチ回数またはタッチテンポによってコード値が変更されるステップと、
パターン認証装置の入力部がユーザからパターンを受信するステップと、
マッチング部が、ユーザが入力したパターンと対応するコード値をマッチングして格納するステップと、
KDI生成部が前記コード値と量子乱数テーブルとをマッチングして、ユーザKDIを生成するステップと
を含み、前記パターン登録ステップで格納した前記ユーザKDIと、前記パターン認証ステップで生成された前記ユーザKDIの照合によってパターン認証を行うパターン認証方法。
【請求項2】
前記特定領域は、第1の領域と第2の領域とに区分され、前記第1の領域は、左手親指と、前記第2の領域は、右手親指の使用利便性のためにモバイル機器の下端一側に配置され、タッチスクリーン上に、ユーザ及びショルダーサーフィン攻撃者には見えないHOK(Hidden One Click)ボタンにてユーザからタッチイベントが入力される請求項1に記載のパターン認証方法。
【請求項3】
前記特定領域は、モバイル機器のタッチスクリーンにユーザのクリックイベントが感知され得る領域である請求項2に記載のパターン認証方法。
【請求項4】
前記特定領域は、物理的ボタンによりクリックイベントが入力される請求項2に記載のパターン認証方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、モバイル機器のスマジ及びショルダーサーフィン防止のためのパターン認証方法に関する。特に、モバイル機器の特定領域をタッチするイベントとユーザパターン入力とを組み合わせたパターン認証をして、スマジ及びショルダーサーフィン攻撃を防止できるユーザパターン認証方法に関する。
【背景技術】
【0002】
モバイル機器の使用が一般化されるにつれて、個人情報の露出を防止する技術に対する関心が高まっている。モバイル機器において一般的に使用されるユーザ入力パターンを利用した認証方法は、簡便であるという長所があるが、ショルダーサーフィンハッキング類型(肩越しに盗み見ること、モニター録画、CCTV録画)の攻撃に脆弱であるという問題がある。
【0003】
登録特許第10-1700799号(ショルダーサーフィン防止機能を有したユーザ端末及び方法)は、ユーザの凝視領域と未凝視領域を判断し、これに該当する文字列を再組み合わせする内容を開示しており、登録特許第10-108549号(ショルダーサーフィン攻撃に対応するためのプライバシー保護型ユーザパスワード入力システム及びその方法)は、中心数字と周辺数字とに区分し、互いに相違した色相のキーパッドを用いてパスワードを入力する内容を開示しているだけである。
【先行技術文献】
【特許文献】
【0004】
【文献】韓国登録特許第10-1700799号
【文献】韓国登録特許第10-1085490号
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明が解決しようとする課題は、モバイル機器のスマジ及びショルダーサーフィン攻撃防止のためのパターン認証方法に関するものであって、特に、モバイル機器においてユーザが特定領域をタッチするイベントとユーザパターン入力とを組み合わせるのにおいて、予測不可能であり、独立的であり、偏向されていない真性量子乱数生成器(TQRNG)から導いた量子乱数を使用して保安性を向上させたパターン認証にてモバイル機器のスマジ及びショルダーサーフィン攻撃を防止するためのパターン認証方法を提供することにある。
【課題を解決するための手段】
【0006】
本発明の実施形態に係るモバイル機器のスマジ(Smudge)攻撃防止及びショルダーサーフィン(Shoulder Surfing)攻撃防止のためのパターン認証方法は、パターン登録ステップとパターン認証ステップとを含み、前記パターン登録ステップは、パターン認証装置の入力部の特定領域をユーザが一定時間の間タッチするか判断するステップと、ユーザが特定領域を一定時間の間タッチしたことと判断される場合に、一般モードから置換変換モードへと変更され、ユーザのタッチ回数またはタッチテンポによってコード値が変更されるステップと、パターン認証装置の入力部がユーザからパターンを受信するステップと、マッチング部がユーザから入力されたパターンに対応するコード値をマッチングし、格納部に格納するステップと、KDI(Key Derivation ID)生成部が前記コード値と量子乱数生成部で生成された量子乱数を含む量子乱数テーブルとをマッチングして、ユーザKDI(Key Derivation ID)を生成して格納するステップとを含む。
【0007】
前記パターン認証ステップは、パターン認証装置の入力部の特定領域をユーザが一定時間の間タッチするか判断するステップと、ユーザが特定領域を一定時間の間タッチしたことと判断される場合に、一般モードから置換変換モードへと変更され、ユーザのタッチ回数(HOK:Hidden One Click)によってコード値が変更されるステップと、パターン認証装置の入力部がユーザからパターンを受信するステップと、マッチング部が、ユーザが入力したパターンと対応するコード値をマッチングして格納するステップと、KDI生成部が前記コード値と量子乱数を介して導かれた量子乱数テーブルとをマッチングしてユーザKDIを生成するステップとを含む。
そして、パターン登録ステップで格納したユーザKDIと、パターン認証ステップで生成されたユーザKDIの照合によってパターン認証を行う。
そして、パターン登録ステップで格納したユーザKDIと、パターン認証ステップで生成されたユーザKDIの照合によってパターン認証を行う。
【発明の効果】
【0008】
本発明によれば、モバイル機器においてユーザパターン入力と特定領域のタッチイベントだけで、より容易に他人のスマジ及びショルダーサーフィン攻撃を防ぐことができる。
パターン認証を介してユーザ接近性と利便性を高め、量子乱数を使用して保安性を強化することができる。
パターン認証を介してユーザ接近性と利便性を高め、量子乱数を使用して保安性を強化することができる。
【図面の簡単な説明】
【0009】
【図1】本発明の実施形態に係るパターン認証方法においてパターン登録ステップを説明するための図である。
【図2】本発明の実施形態に係るパターン認証方法においてパターン認証ステップを説明するための図である。
【図3】本発明の実施形態に係るパターン認証装置を説明するための図である。
【図4】本発明の実施形態に係るパターン認証方法を説明するための図である。
【図5】本発明の実施形態に係るパターン認証方法を説明するための図である。
【図6】本発明の実施形態に係るパターン認証方法を説明するための図である。
【図7】本発明の実施形態に係るユーザKDI生成方法を説明するための図である。
【図8】本発明の実施形態に係るユーザKDI生成方法を説明するための図である。
【図9】本発明の実施形態に係るユーザKDI生成方法を説明するための図である。
【図10】本発明の実施形態に係るパターン認証システムの構成図である。
【発明を実施するための形態】
【0010】
本明細書に開示されている本発明の概念による実施形態等について特定の構造的または機能的説明は、単に本発明の概念による実施形態等を説明するための目的として例示されたものであって、本発明の概念による実施形態等は、様々な形態で実施されることができ、本明細書に説明された実施形態等に限定されない。
【0011】
本発明の概念による実施形態等は、様々な変更を加えることができ、種々の形態を有することができるので、実施形態等を図面に例示し、本明細書において詳細に説明しようとする。しかしながら、これは、本発明の概念による実施形態等を特定の開示形態に対して限定しようとするものではなく、本発明の思想及び技術範囲に含まれるあらゆる変更、均等物、または代替物を含む。
【0012】
本明細書において使用した用語は、単に特定の実施形態を説明するために使用されたものであって、本発明を限定しようとする意図ではない。単数の表現は、文脈上明らかに異なるように意味しない限り、複数の表現を含む。本明細書において、「含む」または「有する」などの用語は、本明細書に記載された特徴、数字、ステップ、動作、構成要素、部分品、またはこれらを組み合わせたものが存在することを指定しようとするものであり、1つまたはそれ以上の他の特徴や数字、ステップ、動作、構成要素、部分品、またはこれらを組み合わせたものなどの存在または付加可能性を予め排除しないことと理解されるべきである。
以下、本明細書に添付された図面を参照して本発明の実施形態等を詳細に説明する。
図1は、本発明の実施形態に係るパターン認証方法においてパターン登録ステップを説明するための図である。
以下、本明細書に添付された図面を参照して本発明の実施形態等を詳細に説明する。
図1は、本発明の実施形態に係るパターン認証方法においてパターン登録ステップを説明するための図である。
【0013】
図1に示すように、モバイル機器においてスマジ及びショルダーサーフィン攻撃防止のためのパターン認証方法のパターン登録ステップであって、まず、パターン認証装置10の入力部110がユーザからパターンを受信する(S110)。ユーザから入力されたパターンは、保安性のために、少なくとも3個の頂点以上が互いに連結されたパターンであることができる。3個以下の頂点を連結したパターンが入力された場合、再度パターンを入力するように導くことができる。
【0014】
その後、マッチング部140は、ユーザから入力されたパターンにマッチングされるコード値を抽出し、抽出されたコード値を格納部に格納する(S120)。このとき、コード値は、それぞれの点毎に別のアルファベットがマッチングされ得るが、これに対して限定するものではない。
【0015】
KDI(Key Derivation ID)生成部130は、マッチングされたコード値と量子乱数テーブルとをマッチングしてユーザKDIを生成する(S130)。このとき、前記量子乱数テーブルは、パターン認証装置10の量子乱数生成部120で生成された複数個の量子乱数で構成されたテーブルであって、前記量子乱数は、予測不可能であり、独立的であり、偏向されていない真性量子乱数生成器(True Quantum Random Number Generator)から導いた量子乱数である。
図2は、本発明の実施形態に係るパターン認証方法においてパターン認証ステップを説明するための図である。
図2は、本発明の実施形態に係るパターン認証方法においてパターン認証ステップを説明するための図である。
【0016】
図2に示すように、本発明のモバイル機器のスマジ及びショルダーサーフィン防止のためのパターン認証方法におけるパターン認証ステップであって、パターン登録ステップ以後に、先に入力部がユーザから特定領域のタッチイベントを感知する(S220)。前記特定領域は、基本的にモバイル機器の下端一側に配置されることができ、イベントを感知できるボタンやユーザ及び攻撃者に見えないことがある。すなわち、アプリ内の下端一側のHOK(Hidden One Click)ボタンでありうるが、モバイル機器にユーザのクリックイベントを感知できる入力部のようなものであって、これに対して限定するものではない。実施形態によって特定領域は、物理的ボタンによりクリックイベントが入力され得る。また、前記タッチイベントは、タッチ回数とタッチテンポによって発生することができ、前記タッチテンポは、タッチ等間の互いに異なる時間間隔を意味する。
図3は、本発明の実施形態に係るパターン認証装置を説明するための図である。
図3は、本発明の実施形態に係るパターン認証装置を説明するための図である。
【0017】
図3に示すように、パターン認証装置10は、入力部110、量子乱数生成部120、KDI生成部130、マッチング部140、制御部150、認証部160、格納部170、出力部180で構成される。パターン認証装置10は、有無線ネットワーク上でのユーザ端末機であって、スマートフォン、タブレットPCのように、運営体制ソフトウェアと様々なアプリケーションソフトウェアにより決められたプロセッサを実行でき、携帯が容易であって、移動中にも容易に活用できるモバイルコンピューティングデバイスであるが、これに対して限定するものではない。
【0018】
入力部110は、特定領域のタッチイベントが感知されれば、一般モードから置換変換モードへと切り換えられることができる。一般モードは、モバイル機器及びモバイルアプリの基本状態であり、KDIのタッチイベントが基本値である0に設定された状態をいい、ユーザのタッチイベントがある場合、フィードバックとして振動及びサウンドが発生するように制御することができる。
【0019】
入力部110がユーザからパターンを受信する(S240)。その後、マッチング部140が、ユーザが入力したパターンと対応するコード値をマッチングして格納部に格納する(S250)。KDI生成部130がコード値と量子乱数テーブルとをマッチングしてユーザKDIを生成する(S260)。前記ユーザKDIは、ログインする度にそれぞれの登録とログイン用途の新しい量子乱数テーブルを生成して認証を行うことにより、保安性がより強化されることができる。
【0020】
入力部110は、入力手段により実行される入力イベントを受信する。入力部110は、タッチスクリーンであることができ、タッチイベントを制御部150に伝達する。
【0021】
このとき、前記量子乱数テーブルは、量子乱数生成部120で生成された複数個の量子乱数を含むテーブルであって、前記量子乱数は、予測不可能であり、独立的であり、偏向されていない真性量子乱数生成器(TQRNG)から導いた量子乱数であることができる。
【0022】
KDI(Key Derivation ID)生成部130は、コード値と量子乱数テーブルとをマッチングしてユーザKDIを生成する(S130)。このとき、前記量子乱数テーブルは、量子乱数生成部で生成された複数個の量子乱数を含むテーブルであって、予測不可能であり、独立的であり、偏向されていない真性量子乱数生成器(TQRNG)から導き及び生成した量子乱数である。ユーザKDIは、ログインする度にそれぞれの量子乱数を生成し、これを用いて認証を行うことにより、保安性がより強化されることができる。
【0023】
マッチング部140は、ユーザが入力したパターン(例えば、点と点の連結線)と、パターンに対応するコード値(例えば、それぞれの点に対応するアルファベット)とをマッチングすることができる。
制御部150は、アプリケーションソフトウェアの実行に関連したプロセスの処理を制御し、パターン認証装置10の各構成の動作を制御する。
認証部160は、生成されたユーザKDIを用いて認証を行うことができる。上記のパターン登録ステップにおいて、格納部に予め格納された情報と一致するか否かを判断することができる。
格納部170は、置換変換モードの際に変更されるコード値をマッチングして格納することができる。
出力部180は、ユーザがタッチ入力時、振動またはサウンドを出力することができる。
図4~図6は、本発明の実施形態に係るパターン認証方法を説明するための図である。
制御部150は、アプリケーションソフトウェアの実行に関連したプロセスの処理を制御し、パターン認証装置10の各構成の動作を制御する。
認証部160は、生成されたユーザKDIを用いて認証を行うことができる。上記のパターン登録ステップにおいて、格納部に予め格納された情報と一致するか否かを判断することができる。
格納部170は、置換変換モードの際に変更されるコード値をマッチングして格納することができる。
出力部180は、ユーザがタッチ入力時、振動またはサウンドを出力することができる。
図4~図6は、本発明の実施形態に係るパターン認証方法を説明するための図である。
【0024】
図4(a)~図4(c)に示すように、パターン認証装置10の下端に第1の領域410と第2の領域420とが配置され得る。第1の領域410と第2の領域420とは、一定の離間距離を持って並んで配置されることができる。ユーザが第1の領域410または第2の領域420のうち、少なくとも1つをタッチすれば、置換変換モードに進入することができる。第1の領域410は、左手親指に、第2の領域420は、右手親指に合うように配置されて使用利便性を増大した。ユーザがパターンを入力できるようにパターン認証装置10の入力部上に複数個の頂点430がディスプレイされることができる。それぞれの点毎にマッチングされるコード値(アルファベット)とパターン線は、基本設定によってユーザに見えないようにすることができる。
【0025】
図5に示すように、ユーザが4個の頂点を連結し、パターンを入力して設定を完了する。その後、第1の領域410または第2の領域420を1回タッチすれば、それぞれの頂点にマッチングされるコード値が「CEIH」値を生成でき、2回タッチすれば、コード値が「IEGD」として生成されることができる。図5の実施形態は、置換変換モードでユーザがタッチ時、コード値が回転して変更されるように実現することができる。
【0026】
図6に示すように、置換変換モードでユーザがタッチ時、アルファベット順序にしたがってコード値に変更されることができる。例えば、第1の領域410または第2の領域420を1回タッチすれば、それぞれの頂点にマッチングされるコード値が「JNLO」値を生成でき、2回タッチすれば、コード値が「SWUX」として生成されることができる。
図7~図8は、本発明の実施形態に係るユーザKDI生成方法を説明するための図である。
図7~図8は、本発明の実施形態に係るユーザKDI生成方法を説明するための図である。
【0027】
図7に示すように、生成されたコード値と量子乱数生成部で生成した量子乱数とをマッチングしてユーザKDIを生成できる。量子乱数生成部で生成された量子乱数テーブルにマッチングしてユーザKDIを生成する。すなわち、AECFパターンを入力すれば、ユーザKDI.valueは、「8b93491f」の乱数列が生成され得る。
図8に示すように、ユーザのタッチイベント回数によって量子乱数を含む量子乱数テーブルにマッチングして、より保安性が強化された乱数列が生成され得る。
図8に示すように、ユーザのタッチイベント回数によって量子乱数を含む量子乱数テーブルにマッチングして、より保安性が強化された乱数列が生成され得る。
【0028】
ユーザタッチイベント(HOK)が3回であり、ACEFパターンを入力すれば、ユーザKDI.valueは、「05f67208」の乱数が生成され得る。ログインする度に新しい量子乱数を含む量子乱数テーブルにマッチングされるユーザKDIを生成及び登録して、保安性が強化されるという効果がある。図9は、本発明の実施形態に係る認証サーバが格納するKDIコード情報を例示する。
【0029】
図10は、本発明の実施形態に係るスマジ及びショルダーサーフィン防止パターン認証システム1の概略的な構成図である。パターン認証システム1は、ユーザモバイル機器10と認証サーバ20とで構成され、ユーザモバイル機器10は、本発明のパターン認証装置10として動作することができる。
【0030】
本発明は、図面に示された実施形態等を参考として説明されたが、これは、例示的なものに過ぎず、本技術分野における通常の知識を有する者であれば、これから様々な変形及び均等な他の実施形態が可能であるという点を理解するであろう。したがって、本発明の本当の技術的保護範囲は、添付された特許請求の範囲の技術的思想により決められるべきであろう。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】