利用便携终端器的认证方法及系统.pdf

摘要
申请专利号：	CN201080066844.6	申请日：	2010.04.26
公开号：	CN103039098A	公开日：	2013.04.10
当前法律状态：	撤回	有效性：	无权
法律详情：	发明专利申请公布后的视为撤回IPC(主分类):H04W 12/06申请公布日:20130410\|\|\|实质审查的生效IPC(主分类):H04W 12/06申请日:20100426\|\|\|公开
IPC分类号：	H04W12/06; H04W88/02	主分类号：	H04W12/06
申请人：	株式会社艾克洛芙
发明人：	任尤爀
地址：	韩国首尔特别市
优先权：	2010.03.26 KR 10-2010-0027315; 2010.04.20 KR 10-2010-0036435
专利代理机构：	北京华夏博通专利事务所(普通合伙) 11264	代理人：	刘俊
PDF下载：	PDF下载

内容摘要

本发明使用由便携终端器和服务器提供给用户终端器以及显示在用户终端器上的识别符以及认证信息，对用户进行认证。由此，只要外部入侵者不在相同时间段从便携终端器、服务器以及用户终端器收集认证所需的信息，就不能代替用户进行认证。本发明能够用于在门户网站、如银行等金融机关、个人博客、主页、及其他利用网络的各种站点处理认证。

权利要求书

权利要求书一种利用便携终端器的认证方法，其特征在于，通过能够与服务器以及便携终端器网络接入的认证系统来实施，所述认证方法包含：通过便携终端器获取显示在用户终端器的登录画面上的识别符信息的步骤；通过所述服务器判断所述识别符是否为合法识别符，当是合法识别符时，从所述便携终端器获取认证信息，然后进行对上述便携终端器的认证的步骤；以及若处理了对于所述便携终端器的认证，则代替所述服务器来对被赋予所述识别符的用户终端器进行认证的步骤。如权利要求1所述的利用便携终端器的认证方法，其特征在于，所述识别符是条形码、图像、图画、图形、字符、特殊字符以及象形字符中的至少其中之一。如权利要求1所述的利用便携终端器的认证方法，其特征在于，所述认证信息是认证号、虹膜信息、声音以及指纹中的任何一个。如权利要求1所述的利用便携终端器的认证方法，其特征在于，对所述便携终端器进行认证的步骤包括通过比较由所述便携终端器所传送的认证信息与已经注册在所述认证系统中的便携终端器信息以及认证信息，进行认证的步骤。如权利要求4所述的利用便携终端器的认证方法，其特征在于，所述认证信息是所述便携终端器的移动电话号码、MAC地址以及设定用户的认证号的其中之一。一种利用便携终端器的认证方法，其特征在于，通过能够与服务器以及便携终端器网络接入的认证系统来实施，所述认证方法包含：通过所述便携终端器获取包含显示在用户终端器的登录画面上的识别符的图像以及文本中的任何一个的步骤；从所述图像以及文本中的任何一个提取所述识别符，并通过所述服务器判断该所提取的识别符的合法性，当是合法的识别符时，从所述便携终端器获取认证信息而对所述便携终端器进行认证的步骤；以及若对所述便携终端器的认证成功时，则代替所述服务器而对被赋予所述识别符的用户终端器进行认证的步骤。一种利用便携终端器的认证系统，其特征在于，所述认证系统包含：服务器联动模块，配置以与服务器共享相同识别符信息；识别符认证模块，配置以在由网络接入的用户终端器请求用户认证时，通过用户的便携终端器从显示在用户终端器的画面上的所述服务器的认证画面中获取识别符信息，并参照该所获取的识别符信息、以及与所述服务器共享的识别符信息，判断所述便携终端器上的识别符的合法性；以及认证处理模块，配置以在所述识别符合法时，参照通过所述便携终端器所传送的认证信息，处理所述服务器对于所述便携终端器以及所述用户终端器的认证。如权利要求7所述的利用便携终端器的认证系统，其特征在于，所述识别符是条形码、图像、图画、图形、字符、特殊字符以及象形字符的至少其中之一。如权利要求7所述的利用便携终端器的认证系统，其特征在于，所述认证信息是认证号、虹膜信息、声音以及指纹中的任何一个。如权利要求7所述的利用便携终端器的认证系统，其特征在于，还包含终端器信息请求模块，配置以从移动通信服务提供者的服务器或者便携终端器获取与所述便携终端器有关的信息，并将该信息提供给所述认证处理模块。如权利要求7所述的利用便携终端器的认证系统，其特征在于，所述便携终端器是移动电话、智能电话、以及PDA中的任何一个。一种利用便携终端器的认证系统，其特征在于，所述认证系统包含：服务器联动模块，配置以与服务器共享相同识别符信息；图像处理模块，配置以在由网络连接的用户终端器请求用户认证时，通过用户的便携终端器从显示在用户终端器的画面上的所述服务器的认证画面中获取识别符图像，并对所述识别符图像进行图像处理，从而获取识别符；识别符认证模块，配置以通过比较从所述图像处理模块获取的识别符、以及与所述服务器共享的识别符信息，判断所述便携终端器上的识别符的合法性；以及认证处理模块，配置以在所述识别符合法时，参照通过所述便携终端器所传送的认证信息，处理所述服务器对于所述便携终端器以及所述用户终端器的认证。

说明书

说明书利用便携终端器的认证方法及系统
技术领域
本发明涉及利用便携终端器的认证方法及系统，更详细地说，涉及利用便携终端器从而阻断基于错误人员的认证的认证方法及系统，其中便携终端器的认证利用了便携终端器、服务器、及认证系统彼此配合从而进行认证。
背景技术
当前，门户网站或银行进行基于用户名/密码的认证，从而对用户进行认证，或者利用认证证书对用户进行认证。
当用户终端器(例如，计算机、笔记本电脑、PDA等)被安装了截取键盘输入的恶性程序的情况下，基于用户名/密码的认证方法容易泄漏到外部，从而安全性较差；当存储到用户的终端器的存储介质(例如，硬盘、USB)中的认证证书被泄漏时，存在丧失安全性的顾虑。
基于用户名/密码的认证方法在银行、门户网站及其他各种服务器中进行，但实际情况是由于外部入侵者的攻击，泄漏在服务器中存储的个人信息及认证信息。
针对这样的问题，在如银行这样的金融机关利用OTP(动态口令：One Time Password)来进行认证，每次按下OTP具有的按钮时，对用户提供新的密码，从而应对攻击。但是，OTP除了用于金融机关的在线认证之外几乎没有可用它的地方，在一般的公司多设置于会计部或者主要进行在线结账的地方，不适合用于个人用途的性质较强。
当前的安全薄弱性起因于运用以下的方法：对用户提供服务(金融服务、信息提供服务、门户网站服务、游戏、购物及其他)的服务器在处理了认证后，对处理了认证的用户提供服务。
由于由服务器处理认证，因此如果服务器被攻击，则注册在服务器中的用户的用户信息均被泄漏，因此用户的认证变得无力。
另外，安全性相比于服务器更薄弱的用户终端器对于通过因特网大量传播的各种恶性代码非常脆弱。当用户在用户终端器中利用键盘输入认证信息
(例如，用户名/密码)时，渗透到用户终端器的恶性代码截取键盘的键盘值，获取认证信息，或者获取在用户终端器中存储的认证证书，从而骗取用户的认证信息。
对此，本申请要代替基于单一服务器的认证方法，提出一种形成无法同时攻击的认证渠道，据此提高认证信息的安全性、利用便携终端器的认证方法及系统。
发明内容
技术课题
由此，本发明的目的在于，提供一种只要便携终端器、服务器、及认证系统不被同时攻击的情况下，不会由于外部入侵或者攻击而泄漏信息，从而提高安全性且便于利用的利用了便携终端器的认证方法及系统。
用于解决课题的方法
本发明的目的通过能够与服务器以及便携终端器网络接入的认证系统来实施，由如下步骤来执行：通过便携终端器获取显示在用户终端器的登录画面上的识别符信息的步骤；通过上述服务器判断上述识别符是否为合法识别符，当是合法识别符时，从上述便携终端器获取认证信息，然后进行对上述便携终端器的认证的步骤；以及若处理了对于上述便携终端器的认证，则代替上述服务器来对被赋予上述识别符的用户终端器进行认证的步骤。
本发明的目的通过能够与服务器以及便携终端器网络接入的认证系统来实施，由如下步骤来执行：通过便携终端器获取包含显示在用户终端器的登录画面上的识别符的图像以及文本中的任何一个的步骤；从上述图像以及文本中的任何一个提取识别符，并通过上述服务器判断上述所提取的识别符的合法性，当是合法的识别符时，从上述便携终端器获取认证信息而对于上述便携终端器进行认证的步骤；以及若对上述便携终端器的认证成功时，则代替上述服务器而对被赋予上述识别符的用户终端器进行认证的步骤。
本发明的目的通过如下模块来执行：服务器联动模块，配置以与服务器共享相同识别符信息；识别符认证模块，配置以在由网络接入的用户终端器请求用户认证时，通过用户的便携终端器从显示在用户终端器的画面上的上述服务器的认证画面中获取识别符信息，并参照所获取的识别符信息、以及与上述服务器共享的识别符信息，判断上述便携终端器上的识别符的合法性；以及认证处理模块，配置以在上述识别符合法时，参照通过上述便携终端器所传送的认证信息，处理上述服务器对于上述便携终端器以及上述用户终端器的认证。
本发明的目的通过如下模块来执行：服务器联动模块，与服务器共享相同识别符信息；图像处理模块，配置以在由网络连接的用户终端器请求用户认证时，通过用户的便携终端器从显示在用户终端器的画面上的上述服务器的认证画面中获取识别符图像，并对上述识别符图像进行图像处理，从而获取识别符；识别符认证模块，配置以通过比较从上述图像处理模块获取的识别符、以及与上述服务器共享的识别符信息，判断上述便携终端器上的识别符的合法性；以及认证处理模块，配置以在上述识别符合法时，参照通过上述便携终端器所传送的认证信息，处理上述服务器对于上述便携终端器以及上述用户终端器的认证。
发明效果
如上所述，本发明能防止用户的认证信息因对服务器或者用户终端的单纯入侵或者攻击而泄露。在本发明中，处理认证的主体和提供用于认证的信息的主体与用户终端是分开而独立的，因此不会由于对服务器或者用户终端的入侵而泄露用户的认证信息。
另外，通过用户始终携带的智能电话、移动电话或者PDA来进行可靠性好的认证，因此能够提高其便利性。
附图说明
图1表示用于说明本发明的认证系统及利用了认证系统的认证方法的示意图；
图2表示本发明一实施例的便携终端器的方块示意图；
图3表示本发明一实施例的认证系统的方块示意图。
具体实施方式
以下，参照附图详细进行说明。
图1表示用于说明本发明的认证系统及利用了认证系统的认证方法的示意图。
在说明图1之前，标号“50”表示个人计算机及笔记本电脑等“用户终端器”，
标号“100”表示移动电话、智能电话及PDA等“便携终端器”，
标号“200”表示本发明的认证系统，
标号“300”表示如门户网站、一般站点(web site)、博客、公共机关站点、如银行那样的金融机关的站点等对用户提供各种服务的服务器。此外，服务器可以是对用户提供信息的多种形态的站点，可以是个人主页、及其他需要登录的多种站点，又可以是在对特定站点注册会员时请求注册者的信息的站点。
此外，便携终端器100能够进行无线通信以及存储，且优选是能够利用照相机拍摄图像，具有能够对所拍摄的图像进行图像处理的控制部的机型。
对于便携终端器100来说，在对站点的识别符进行拍摄的情况下，照相机是必需的，但是在利用其他的字符或者特殊字符获取识别符的情况下，照相机并非是必需的。当识别符具有字符或者特殊字符的形态时，用户通过便携终端器输入字符或者特殊字符，并将其传输给认证系统200。
此外，本发明的认证系统200能够通过有线/无线网络接入到服务器，能够通过无线网络连接到便携终端器100，或者利用便携终端器100的移动通信服务提供者的服务器(图未示)与有线网络接入到便携终端器100。
参照图1，在本发明的认证方法中，在用户终端器50接入到服务器300而进行认证时，例如在进行登录时，服务器300向用户终端器50提供包含识别符的认证界面。
在图1中图示的认证界面包含用于输入用户名/密码的输入窗以及识别符60。
在图1中，识别符60具有1D、2D及3D条形码中的任何一个形态，但识别符60的形态并不限定于条形码图像形态。例如，识别符60可以具有1D条形码、2D条形码、3D条形码、图形、图像、象形字符、字符、特殊字符及图画的形态。由于识别符60本身不具有文件的形态，因此即使由于恶性代码、外部黑客的攻击而被泄漏，恶性代码的传播者、黑客也不能直接利用它。而且，识别符60并非一直维持一定的形态，在用户终端器50每次接入到服务器300时就会变更，因此即使由于攻击而被泄漏，被泄漏的识别符60也不能被再次使用。一般来说，对认证信息的攻击在反复使用相同用户名/密码时认证信息具有可靠性，但在本发明中，由于持续变更识别符60，因此不会带来这样的可靠性。
此外，识别符60其本身不对用户进行认证。
在本发明中，识别符60仅仅是用于用户认证的一个过程所需的，其本身不对用户进行认证，也不会泄漏认证信息。
在用户终端器50的监视器上显示包含识别符60的认证界面后，用户利用便携终端器100拍摄识别符60，并将所拍摄的识别符60传送给认证系统200，或者对所拍摄的识别符60进行图像处理而提取数字串、字符串、颜色值、条形码值及其他与认证系统200约定的识别符信息。此时，便携终端器100需要设置识别符识别模块，进行对于识别符60的图像处理而生成识别符信息，在便携终端器100上设置的识别符识别模块可以具有硬件、或者软件的形体。
当在便携终端器100中进行图像处理，且识别符60的形态是条形码的情况下，识别符识别模块对由照相机拍摄的识别符60进行图像处理，从而读取条形码值，生成识别符信息，当识别符60的形态是图像的情况下，获取图像的色阶(gradation)或者颜色值而生成识别符信息，此时，图像的色阶或者颜色值可以针对识别符图像整体、图像的中心部或者图像的一部分区域而产生。
然后，便携终端器100将识别符信息提供给认证系统200。
认证系统200利用无线网络接入到便携终端器100而获取识别符信息，或者通过对便携终端器100提供通信服务的移动通信服务提供者的服务器(图未示)，利用有线网络获取识别符信息。
此时，认证系统200与对用户终端器50提供认证界面的服务器300处于联动状态，共享有关服务器300向用户终端器50提供的识别符的信息。识别符随时间而变化，或者会在每次用户接入到服务器300时变化。
认证系统200根据服务器300对用户终端器50提供的识别符来生成识别符信息，并将其与由便携终端器100所提供的识别符信息进行比较，从而判断识别符信息的合法性。此后，若判断为识别符信息合法，则认证系统200向便携终端器100请求认证信息，便携终端器100向认证系统200提供认证信息，从而进行最后的认证过程。在此，认证信息可以是以下中的任何一个：
‑用户名/密码、
‑与用户约定的认证号、
‑如虹膜信息、指纹及声音等生物信息、以及
‑认证系统200向便携终端器100发行的临时承认号码。当认证系统200持有与用户约定的认证号的情况下，用户需要通过用户终端器50或者便携终端器100预先向认证系统200注册自己的认证号，临时承认号码可以是在便携终端器100的识别符信息合法时向对应便携终端器100发行的一次性承认号码。
即，在本发明中，要接入到服务器300的用户终端器50不会自行进行认证。
在本发明中，用户终端50在认证过程中仅将识别符显示在监视画面上，其本身不会成为认证的主体。但是，在利用认证系统200的认证信息的认证过程中，需要为了认证而显示在用户终端50上的识别符，据此进行附加的认证。因此，即使由于用户终端器50受到黑客、或者恶性代码的攻击，从而识别符被泄露，也不能利用识别符进行对于用户的任何认证。若想获得有关用户的认证信息，则不仅要攻击认证系统200，还要同时攻击服务器300，但从概率上来看是不可能的，只要不知道认证系统200、用户终端50即服务器300的联系关系，识别符的泄露仅仅是获得条形码图像。
另一方面，在服务器300或者认证系统200受到外部入侵的情况下，服务器300仅仅将识别符显示在用户终端50的画面上，不具有用于认证用户的手段，因此如黑客这样的外部入侵者即使攻击了服务器也无法获取有关用户的认证信息。另外，在认证系统200受到外部入侵的情况下，只要不具有由用户终端50传送的识别符信息与从服务器300获得的识别符的情况下，也不会进行对于用户的认证，因此入侵者也不能代替用户向服务器300进行登录，也不能通过金融机关服务器进行现金提取或者转账。
若由便携终端器100传送的识别符信息与有关从服务器300提供的识别符的识别符信息一致时，则认证系统200从便携终端器100获取认证信息，如果认证信息也一致，则向服务器300通知认证结果(认证成功或者认证失败)。服务器300根据认证结果来对发行了识别符的用户终端50进行认证，从而判断为能够登录。
此时，认证信息可以是便携终端器100的移动电话号码、MAC地址、USIM或者SIM卡信息、以及设定了用户的认证号码中的一个或者两个以上。这里，MAC地址是对进行有线/无线通信的便携终端器的通信模块赋予的固有号码，由于不存在相同的MAC地址，因此对于确认便携终端器100来说是非常准确且有效的。
图2表示本发明一实施例的便携终端器的方块示意图。
图示的便携终端器包含无线通信部110、A/V(音频/视频)输入部120、用户输入部130、输出部150、电源供给部160、控制部140以及存储器160。
无线通信部110通过天线101与基站进行声音或者数据通信，能够进行如数字多媒体广播(Digital Multimedia Broadcast)那样的广播接收功能、蓝牙功能、及无线网络功能。
A/V(音频/视频)输入部120获取音频信号或者视频信号。能利用麦克风123输入音频信号。能利用照相机121输入视频信号。
照相机121拍摄显示在用户终端器50的监视器上的识别符，并将其提供给控制部140。照相机121可以为了通过适当的曝光(exposure)来拍摄显示在监视器上的识别符而另外具有曝光控制功能。
麦克风123由扩音器(Microphone)构成，用于通话或者录音。麦克风123将外部的声音或者音响信号转换为电信号，并将所转换的电信号提供给控制部140。
用户输入部130由数字键、菜单键及功能键构成，用于便携终端器的动作控制、用于声音通信的号码选择键、及方向键等。
输入部150由用于输出音频或视频信号的扬声器153及显示部151构成。
扬声器153再现铃声，再现声音，或者生成对于音频文件的再现音。
显示部151显示被照相机121拍摄的识别符影像，使用户能够判断是否准确地拍摄了识别符。另外，当便携终端器100处于通话模式时，显示部151提供通话模式所需的界面，当便携终端器100处于影像拍摄模式时，显示部151显示所拍摄的影像。
存储器160能够存储在驱动用于控制部140的程序处理及控制的程序的过程中产生的临时数据。
存储器160可以是闪存类型(flash memory type)、硬盘类型(hard disk type)、微型多媒体卡类型(multimedia card micro type)、卡类型的存储器(例如SD或者XD存储器等)、随机存取存储器、只读存储器中的至少一个。
控制部140整体控制无线通信部110、A/V输入部120、用户输入部130、输出部150及存储器160，对声音通话、数据通信及照相机所拍摄的图像进行处理。另外，控制部140对由照相机121拍摄的图像进行处理，从而从识别符中获取识别符信息。控制部140包含用于为了获取识别符信息而从图像中提取识别符信息具有硬件、或者软件模块的形态的识别符识别模块141。识别符识别模块141按照与认证系统200约定的方式，从图像中提取识别符。例如，当在用户终端50显示的识别符为1D条形码、或者2D条形码的情况下，识别符识别模块141读取条形码从而可以获取条形码值。如果在用户终端50显示的识别符为彩色图像，且与认证系统200约定提供彩色的种类、与颜色有关的信息，则识别符识别模块141获取由照相机121拍摄的图像的彩色的种类、与彩色有关的值作为识别符信息。此外，识别符识别模块141可以利用与由照相机121拍摄的图像的色阶有关的色阶值而生成识别符信息。
另一方面，控制部140可以不另外进行图像处理，而是将通过照相机121拍摄的图像通过无线通信部110传送到认证系统200。此时，控制部140可以通过无线通信部110来传送由照相机121拍摄的图像，或者通过用户输入部130将基于字符及特殊字符的识别符传送到认证系统200。
当控制部140不进行图像处理而是将图像传送到认证系统200的情况下，由认证系统200对图像进行处理而提取识别符，并将所提取的识别符与从服务器300传送到用户终端50的识别符进行比较，从而进行认证。
电源供给部160向便携终端器提供电源，为了便携性，优选是能够充放电的形态。电源供给部160由能够充放电的电池、以及用于均匀调整向电池施加的电压以及从电池输出的电压的电源控制装置构成。
图3表示本发明一实施例的认证系统的方块示意图。
参照图3，认证系统200包含服务器联动模块210、识别符认证模块220、终端器信息请求模块230、智能电话认证模块240、认证号处理模块250、以及数据库260。
服务器联动模块210在服务器300向用户终端50提供包含识别符的认证界面时，获取与从服务器300向用户终端50提供的识别符相同的识别符，从而生成识别符信息。服务器联动模块210在用户终端50向服务器300请求服务时，例如在从用户终端50请求服务而显示登录画面时，能够从服务器300获取识别符。此时，在从服务器300向用户终端50提供识别符时，服务联动模块210能够获取与从服务器300向终端50提供的识别符相同的识别符。
另一方面，也可以由服务器联动模块210生成识别符，并将所生成的识别符提供给服务器300，从而进行认证。
此时，在用户终端50请求服务时，服务器300向服务器联动模块210请求包含识别符的图像、或者基于文本的识别符，由服务器联动模块210向服务器300提供包含识别符的图像、或者文本。此时，服务器联动模块210要做到在同一个时间段不会生成相同的识别符。服务器联动模块210可随机地生成识别符，或者按照预先规定的规则生成识别符，但无论如何也不能在同一个时间段生成相同的识别符。
在便携终端器100拍摄显示在监视器上的识别符后送出所拍摄的图像，或者便携终端器100送出基于字符及特殊字符而形成的识别符，或者传送按照与认证系统200约定的方式进行图像处理后生成的识别符信息时，识别符认证模块220判断由便携终端器100传送的识别符是否为合法的。此时，识别符认证模块210比较从服务器联动模块210获取而与用户终端50的识别符有关的识别符信息、和通过便携终端器100获取的识别符信息，如果两者一致，则判断为正确的识别符信息，若非如此，则判断为是错误的识别符信息。
当对于识别符信息的认证失败时，识别符认证模块220通过服务器联动模块210请求服务器300向用户终端50传送新的识别符，从而对用户终端50再次进行认证，或者结束认证过程。
终端器信息请求模块230网络连接到对便携终端器100提供通信服务的移动通信服务提供者的服务器(图未示)，通过移动通信服务提供者的服务器获取有关便携终端器100的信息，或者从便携终端器100直接获取终端器信息。终端器信息请求模块230若为了确认便携终端器的认证信息而从移动通信服务提供者的服务器或者便携终端器100获取MAC地址信息、或者用户信息，则将其提供给智能电话认证模块240。
智能电话认证模块240通过终端器信息请求模块230获取便携终端器的用户信息及MAC地址信息、SIM或者USIM卡信息，并判断所获取的信息是否与在数据库260中已经存储的一致。在数据库260中具有在用户最初注册认证信息时提供的便携终端器100信息、用户信息以及认证信息。智能电话认证模块240比较存储在数据库260中有关便携终端器100的信息与从移动通信服务提供者服务器或者便携终端器100提供的便携终端器100信息，从而能够判断是否由正确的用户传送正确的识别符信息。
认证信息处理模块250接收在处理了对于便携终端器100的识别符认证之后由便携终端器100提供的认证信息，例如接收用户名/密码、与用户约定的认证号、以及认证系统200向便携终端器100发行的临时承认号码中的任何一个，并判断所接收的认证信息是否与在数据库260中存储的一致。如果判断结果是两者一致，则认证信息处理模块260完成通过便携终端器100的用户认证，并向服务器300通知认证成功。
若从认证信息处理模块250通知到了认证成功，则服务器300判断为用户终端器50的认证成功，从而使其能够正常接入，提供登录接入者能够享有的多种服务。当服务器300是如银行那样的金融机关服务器的情况下，服务器300使用户终端50能够进行转账、查询、或者利用贷款服务、处理账单、或者利用其他由如银行那样的金融机关所提供的各种服务。
此时，用户无需其他的OTP、认证证书，但也可以并行使用OTP或者认证证书。
被认证系统200认证过的用户具有利用OTP或者认证证书而登录时相同的效力。
另一方面，显示在用户终端器50的识别符在相同的时间段不会在其他的用户终端器显示相同的识别符，这表示服务器300不会在相同的时间段内将相同的识别符提供给其他的用户终端器。这与OTP相同，表示本发明的识别符在相同的时间段内只存在一个，即使外部入侵者获得识别符，也不能在其他计算机中使用。
另外，只要用户利用用户终端器或者便携终端器注册一次便携终端器100的MAC地址信息或者认证信息，则之后在便携终端器100传送识别符时，认证系统200能够确认是否是正确的用户。
同上，当利用用户计算机50处理基于用户名/密码的认证的情况下，只要用户名/密码一致，无论在哪个用户终端器中试图认证都有效，但在本发明中，限定于能够通过便携终端器100拍摄识别符的用户终端50。但是，用户终端50并不限定于一台，只要是能够通过便携终端器100的照相机121拍摄识别符的，任何用户终端器都可以进行认证。由此，只要外部入侵者没有获得用户的便携终端器100，理所当然地，即使获取识别符、获取用户信息、或者获取认证信息，也不能代替用户而接入到银行，或者进行金融处理。当然，即使入侵者持有用户的便携终端器，只要不知道用户的认证信息，也不能代替用户而进行金融处理。
当便携终端器100传送包含识别符的图像时，图像处理模块270对图像进行图像处理而提取识别符。
如上所述那样，在本发明中，图像处理能够在便携终端器100或者认证系统200中进行。
当图像处理不在便携终端器100进行的情况下，图像处理模块270能够从由便携终端器100传送的图像中提取识别符，或者通过图像的特定位置的形态来提取识别符，或者当图像是条形码形态时读取条形码，或者利用图像的颜色值来获取识别符，或者利用图像的色阶值来获取识别符。
例如，若在用户终端50显示的识别符为彩色图像，且由0～255阶段的色阶来表示，则识别符能够由0～255值来表示。此时，如果在图像中参照彩色，则还能够利用几十种颜色值与255阶段的色阶值来生成识别符。当然，也可以将色阶值与颜色值代入预先规定的式子来生成识别符。
另一方面，图像处理模块270也可以将图像的特定位置的形态置换为条形码数字而生成识别符。通过图像来获取识别符的方法此外还有多种方法，并不限定于在本说明书中记载的方法。
标号说明
50用户终端器
100便携终端器
200认证系统
300服务器
产业上的可利用性
本发明使用由便携终端器、服务器提供给用户终端器以及显示在用户终端器上的识别符以及认证信息，对用户进行认证。由此，只要外部入侵者不在相同时间段从便携终端器、服务器以及用户终端器收集认证所需的信息，就不能代替用户进行认证。本发明能够用于在门户网站、如银行等金融机关、个人博客、主页、及其他利用网络的各种站点处理认证。

资源描述

《利用便携终端器的认证方法及系统.pdf》由会员分享，可在线阅读，更多相关《利用便携终端器的认证方法及系统.pdf（14页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 103039098 A (43)申请公布日 2013.04.10 CN 103039098 A *CN103039098A* (21)申请号 201080066844.6 (22)申请日 2010.04.26 10-2010-0027315 2010.03.26 KR 10-2010-0036435 2010.04.20 KR H04W 12/06(2006.01) H04W 88/02(2006.01) (71)申请人株式会社艾克洛芙地址韩国首尔特别市 (72)发明人任尤爀 (74)专利代理机构北京华夏博通专利事务所 ( 普通合伙 ) 11264 代理人。

2、刘俊 (54) 发明名称利用便携终端器的认证方法及系统 (57) 摘要本发明使用由便携终端器和服务器提供给用户终端器以及显示在用户终端器上的识别符以及认证信息，对用户进行认证。由此，只要外部入侵者不在相同时间段从便携终端器、服务器以及用户终端器收集认证所需的信息，就不能代替用户进行认证。本发明能够用于在门户网站、如银行等金融机关、个人博客、主页、及其他利用网络的各种站点处理认证。 (30)优先权数据 (85)PCT申请进入国家阶段日 2012.11.16 (86)PCT申请的申请数据 PCT/KR2010/002590 2010.04.26 (87)PCT申。

3、请的公布数据 WO2011/118871 KO 2011.09.29 (51)Int.Cl. 权利要求书 2 页说明书 8 页附图 3 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 2 页说明书 8 页附图 3 页 1/2 页 2 1. 一种利用便携终端器的认证方法，其特征在于，通过能够与服务器以及便携终端器网络接入的认证系统来实施，所述认证方法包含：通过便携终端器获取显示在用户终端器的登录画面上的识别符信息的步骤；通过所述服务器判断所述识别符是否为合法识别符，当是合法识别符时，从所述便携终端器获取认证信息，然后进行对上述便携终端器的。

4、认证的步骤；以及若处理了对于所述便携终端器的认证，则代替所述服务器来对被赋予所述识别符的用户终端器进行认证的步骤。 2. 如权利要求 1 所述的利用便携终端器的认证方法，其特征在于，所述识别符是条形码、图像、图画、图形、字符、特殊字符以及象形字符中的至少其中之一。 3. 如权利要求 1 所述的利用便携终端器的认证方法，其特征在于，所述认证信息是认证号、虹膜信息、声音以及指纹中的任何一个。 4. 如权利要求 1 所述的利用便携终端器的认证方法，其特征在于，对所述便携终端器进行认证的步骤包括通过比较由所述便携终端器所传送的认证信息与已经注册在所述认证系统中的。

5、便携终端器信息以及认证信息，进行认证的步骤。 5. 如权利要求 4 所述的利用便携终端器的认证方法，其特征在于，所述认证信息是所述便携终端器的移动电话号码、 MAC 地址以及设定用户的认证号的其中之一。 6. 一种利用便携终端器的认证方法，其特征在于，通过能够与服务器以及便携终端器网络接入的认证系统来实施，所述认证方法包含：通过所述便携终端器获取包含显示在用户终端器的登录画面上的识别符的图像以及文本中的任何一个的步骤；从所述图像以及文本中的任何一个提取所述识别符，并通过所述服务器判断该所提取的识别符的合法性，当是合法的识别符时，从所述便携终端器获取认证信息而对所。

6、述便携终端器进行认证的步骤；以及若对所述便携终端器的认证成功时，则代替所述服务器而对被赋予所述识别符的用户终端器进行认证的步骤。 7. 一种利用便携终端器的认证系统，其特征在于，所述认证系统包含：服务器联动模块，配置以与服务器共享相同识别符信息；识别符认证模块，配置以在由网络接入的用户终端器请求用户认证时，通过用户的便携终端器从显示在用户终端器的画面上的所述服务器的认证画面中获取识别符信息，并参照该所获取的识别符信息、以及与所述服务器共享的识别符信息，判断所述便携终端器上的识别符的合法性；以及认证处理模块，配置以在所述识别符合法时，参照通过所。

7、述便携终端器所传送的认证信息，处理所述服务器对于所述便携终端器以及所述用户终端器的认证。 8. 如权利要求 7 所述的利用便携终端器的认证系统，其特征在于，所述识别符是条形码、图像、图画、图形、字符、特殊字符以及象形字符的至少其中之权利要求书 CN 103039098 A 2 2/2 页 3 一。 9. 如权利要求 7 所述的利用便携终端器的认证系统，其特征在于，所述认证信息是认证号、虹膜信息、声音以及指纹中的任何一个。 10. 如权利要求 7 所述的利用便携终端器的认证系统，其特征在于，还包含终端器信息请求模块，配置以从移动通信服务提供者的服务器或者。

8、便携终端器获取与所述便携终端器有关的信息，并将该信息提供给所述认证处理模块。 11. 如权利要求 7 所述的利用便携终端器的认证系统，其特征在于，所述便携终端器是移动电话、智能电话、以及 PDA 中的任何一个。 12. 一种利用便携终端器的认证系统，其特征在于，所述认证系统包含：服务器联动模块，配置以与服务器共享相同识别符信息；图像处理模块，配置以在由网络连接的用户终端器请求用户认证时，通过用户的便携终端器从显示在用户终端器的画面上的所述服务器的认证画面中获取识别符图像，并对所述识别符图像进行图像处理，从而获取识别符；识别符认证模块，配置以通过比较从。

9、所述图像处理模块获取的识别符、以及与所述服务器共享的识别符信息，判断所述便携终端器上的识别符的合法性；以及认证处理模块，配置以在所述识别符合法时，参照通过所述便携终端器所传送的认证信息，处理所述服务器对于所述便携终端器以及所述用户终端器的认证。权利要求书 CN 103039098 A 3 1/8 页 4 利用便携终端器的认证方法及系统技术领域 0001 本发明涉及利用便携终端器的认证方法及系统，更详细地说，涉及利用便携终端器从而阻断基于错误人员的认证的认证方法及系统，其中便携终端器的认证利用了便携终端器、服务器、及认证系统彼此配合从而进行认证。背。

10、景技术 0002 当前，门户网站或银行进行基于用户名 / 密码的认证，从而对用户进行认证，或者利用认证证书对用户进行认证。 0003 当用户终端器 ( 例如，计算机、笔记本电脑、 PDA 等 ) 被安装了截取键盘输入的恶性程序的情况下，基于用户名 / 密码的认证方法容易泄漏到外部，从而安全性较差；当存储到用户的终端器的存储介质 ( 例如，硬盘、 USB) 中的认证证书被泄漏时，存在丧失安全性的顾虑。 0004 基于用户名 / 密码的认证方法在银行、门户网站及其他各种服务器中进行，但实际情况是由于外部入侵者的攻击，泄漏在服务器中存储的个人信息及认证信息。 0。

11、005 针对这样的问题，在如银行这样的金融机关利用 OTP( 动态口令： One Time Password) 来进行认证，每次按下 OTP 具有的按钮时，对用户提供新的密码，从而应对攻击。但是， OTP 除了用于金融机关的在线认证之外几乎没有可用它的地方，在一般的公司多设置于会计部或者主要进行在线结账的地方，不适合用于个人用途的性质较强。 0006 当前的安全薄弱性起因于运用以下的方法：对用户提供服务 ( 金融服务、信息提供服务、门户网站服务、游戏、购物及其他 ) 的服务器在处理了认证后，对处理了认证的用户提供服务。 0007 由于由服务器处理认证，因此。

12、如果服务器被攻击，则注册在服务器中的用户的用户信息均被泄漏，因此用户的认证变得无力。 0008 另外，安全性相比于服务器更薄弱的用户终端器对于通过因特网大量传播的各种恶性代码非常脆弱。当用户在用户终端器中利用键盘输入认证信息 0009 (例如，用户名/密码)时，渗透到用户终端器的恶性代码截取键盘的键盘值，获取认证信息，或者获取在用户终端器中存储的认证证书，从而骗取用户的认证信息。 0010 对此，本申请要代替基于单一服务器的认证方法，提出一种形成无法同时攻击的认证渠道，据此提高认证信息的安全性、利用便携终端器的认证方法及系统。发明内容 0011 技术课题 00。

13、12 由此，本发明的目的在于，提供一种只要便携终端器、服务器、及认证系统不被同时攻击的情况下，不会由于外部入侵或者攻击而泄漏信息，从而提高安全性且便于利用的利用了便携终端器的认证方法及系统。 0013 用于解决课题的方法说明书 CN 103039098 A 4 2/8 页 5 0014 本发明的目的通过能够与服务器以及便携终端器网络接入的认证系统来实施，由如下步骤来执行：通过便携终端器获取显示在用户终端器的登录画面上的识别符信息的步骤；通过上述服务器判断上述识别符是否为合法识别符，当是合法识别符时，从上述便携终端器获取认证信息，然后进行对上述便携终端。

14、器的认证的步骤；以及若处理了对于上述便携终端器的认证，则代替上述服务器来对被赋予上述识别符的用户终端器进行认证的步骤。 0015 本发明的目的通过能够与服务器以及便携终端器网络接入的认证系统来实施，由如下步骤来执行：通过便携终端器获取包含显示在用户终端器的登录画面上的识别符的图像以及文本中的任何一个的步骤；从上述图像以及文本中的任何一个提取识别符，并通过上述服务器判断上述所提取的识别符的合法性，当是合法的识别符时，从上述便携终端器获取认证信息而对于上述便携终端器进行认证的步骤；以及若对上述便携终端器的认证成功时，则代替上述服务器而对被赋予上述识别符的用。

15、户终端器进行认证的步骤。 0016 本发明的目的通过如下模块来执行：服务器联动模块，配置以与服务器共享相同识别符信息；识别符认证模块，配置以在由网络接入的用户终端器请求用户认证时，通过用户的便携终端器从显示在用户终端器的画面上的上述服务器的认证画面中获取识别符信息，并参照所获取的识别符信息、以及与上述服务器共享的识别符信息，判断上述便携终端器上的识别符的合法性；以及认证处理模块，配置以在上述识别符合法时，参照通过上述便携终端器所传送的认证信息，处理上述服务器对于上述便携终端器以及上述用户终端器的认证。 0017 本发明的目的通过如下模块来执行：服务。

16、器联动模块，与服务器共享相同识别符信息；图像处理模块，配置以在由网络连接的用户终端器请求用户认证时，通过用户的便携终端器从显示在用户终端器的画面上的上述服务器的认证画面中获取识别符图像，并对上述识别符图像进行图像处理，从而获取识别符；识别符认证模块，配置以通过比较从上述图像处理模块获取的识别符、以及与上述服务器共享的识别符信息，判断上述便携终端器上的识别符的合法性；以及认证处理模块，配置以在上述识别符合法时，参照通过上述便携终端器所传送的认证信息，处理上述服务器对于上述便携终端器以及上述用户终端器的认证。 0018 发明效果 0019 如上所述，。

17、本发明能防止用户的认证信息因对服务器或者用户终端的单纯入侵或者攻击而泄露。在本发明中，处理认证的主体和提供用于认证的信息的主体与用户终端是分开而独立的，因此不会由于对服务器或者用户终端的入侵而泄露用户的认证信息。 0020 另外，通过用户始终携带的智能电话、移动电话或者 PDA 来进行可靠性好的认证，因此能够提高其便利性。附图说明 0021 图 1 表示用于说明本发明的认证系统及利用了认证系统的认证方法的示意图； 0022 图 2 表示本发明一实施例的便携终端器的方块示意图； 0023 图 3 表示本发明一实施例的认证系统的方块示意图。说明书 CN 10303909。

18、8 A 5 3/8 页 6 具体实施方式 0024 以下，参照附图详细进行说明。 0025 图 1 表示用于说明本发明的认证系统及利用了认证系统的认证方法的示意图。 0026 在说明图 1 之前，标号 “50” 表示个人计算机及笔记本电脑等 “用户终端器” ， 0027 标号 “100” 表示移动电话、智能电话及 PDA 等 “便携终端器” ， 0028 标号 “200” 表示本发明的认证系统， 0029 标号 “300” 表示如门户网站、一般站点(web site)、博客、公共机关站点、如银行那样的金融机关的站点等对用户提供各种服务的服务器。此外，服务器可以是对用户提供信。

19、息的多种形态的站点，可以是个人主页、及其他需要登录的多种站点，又可以是在对特定站点注册会员时请求注册者的信息的站点。 0030 此外，便携终端器 100 能够进行无线通信以及存储，且优选是能够利用照相机拍摄图像，具有能够对所拍摄的图像进行图像处理的控制部的机型。 0031 对于便携终端器 100 来说，在对站点的识别符进行拍摄的情况下，照相机是必需的，但是在利用其他的字符或者特殊字符获取识别符的情况下，照相机并非是必需的。当识别符具有字符或者特殊字符的形态时，用户通过便携终端器输入字符或者特殊字符，并将其传输给认证系统 200。 0032 此外，本发明的认。

20、证系统200能够通过有线/无线网络接入到服务器，能够通过无线网络连接到便携终端器 100，或者利用便携终端器 100 的移动通信服务提供者的服务器 ( 图未示 ) 与有线网络接入到便携终端器 100。 0033 参照图1，在本发明的认证方法中，在用户终端器50接入到服务器300而进行认证时，例如在进行登录时，服务器 300 向用户终端器 50 提供包含识别符的认证界面。 0034 在图 1 中图示的认证界面包含用于输入用户名 / 密码的输入窗以及识别符 60。 0035 在图 1 中，识别符 60 具有 1D、 2D 及 3D 条形码中的任何一个形态，但识别符 60 的形。

21、态并不限定于条形码图像形态。例如，识别符 60 可以具有 1D 条形码、 2D 条形码、 3D 条形码、图形、图像、象形字符、字符、特殊字符及图画的形态。由于识别符 60 本身不具有文件的形态，因此即使由于恶性代码、外部黑客的攻击而被泄漏，恶性代码的传播者、黑客也不能直接利用它。而且，识别符 60 并非一直维持一定的形态，在用户终端器 50 每次接入到服务器300时就会变更，因此即使由于攻击而被泄漏，被泄漏的识别符60也不能被再次使用。一般来说，对认证信息的攻击在反复使用相同用户名 / 密码时认证信息具有可靠性，但在本发明中，由于持续变更识别符。

22、60，因此不会带来这样的可靠性。 0036 此外，识别符 60 其本身不对用户进行认证。 0037 在本发明中，识别符 60 仅仅是用于用户认证的一个过程所需的，其本身不对用户进行认证，也不会泄漏认证信息。 0038 在用户终端器 50 的监视器上显示包含识别符 60 的认证界面后，用户利用便携终端器 100 拍摄识别符 60，并将所拍摄的识别符 60 传送给认证系统 200，或者对所拍摄的识别符60进行图像处理而提取数字串、字符串、颜色值、条形码值及其他与认证系统200约定的识别符信息。此时，便携终端器 100 需要设置识别符识别模块，进行对于识别符 60 。

23、的图像处理而生成识别符信息，在便携终端器 100 上设置的识别符识别模块可以具有硬件、或者软件的形体。说明书 CN 103039098 A 6 4/8 页 7 0039 当在便携终端器 100 中进行图像处理，且识别符 60 的形态是条形码的情况下，识别符识别模块对由照相机拍摄的识别符 60 进行图像处理，从而读取条形码值，生成识别符信息，当识别符 60 的形态是图像的情况下，获取图像的色阶 (gradation) 或者颜色值而生成识别符信息，此时，图像的色阶或者颜色值可以针对识别符图像整体、图像的中心部或者图像的一部分区域而产生。 0040 然后，便。

24、携终端器 100 将识别符信息提供给认证系统 200。 0041 认证系统 200 利用无线网络接入到便携终端器 100 而获取识别符信息，或者通过对便携终端器100提供通信服务的移动通信服务提供者的服务器(图未示)，利用有线网络获取识别符信息。 0042 此时，认证系统 200 与对用户终端器 50 提供认证界面的服务器 300 处于联动状态，共享有关服务器 300 向用户终端器 50 提供的识别符的信息。识别符随时间而变化，或者会在每次用户接入到服务器 300 时变化。 0043 认证系统 200 根据服务器 300 对用户终端器 50 提供的识别符来生成识别符信息，并。

25、将其与由便携终端器 100 所提供的识别符信息进行比较，从而判断识别符信息的合法性。此后，若判断为识别符信息合法，则认证系统 200 向便携终端器 100 请求认证信息，便携终端器 100 向认证系统 200 提供认证信息，从而进行最后的认证过程。在此，认证信息可以是以下中的任何一个： 0044 - 用户名 / 密码、 0045 - 与用户约定的认证号、 0046 - 如虹膜信息、指纹及声音等生物信息、以及 0047 - 认证系统 200 向便携终端器 100 发行的临时承认号码。当认证系统 200 持有与用户约定的认证号的情况下，用户需要通过用户终端器50或者便携。

26、终端器100预先向认证系统 200 注册自己的认证号，临时承认号码可以是在便携终端器 100 的识别符信息合法时向对应便携终端器 100 发行的一次性承认号码。 0048 即，在本发明中，要接入到服务器 300 的用户终端器 50 不会自行进行认证。 0049 在本发明中，用户终端 50 在认证过程中仅将识别符显示在监视画面上，其本身不会成为认证的主体。但是，在利用认证系统 200 的认证信息的认证过程中，需要为了认证而显示在用户终端 50 上的识别符，据此进行附加的认证。因此，即使由于用户终端器 50 受到黑客、或者恶性代码的攻击，从而识别符被泄露，也不能利。

27、用识别符进行对于用户的任何认证。若想获得有关用户的认证信息，则不仅要攻击认证系统 200，还要同时攻击服务器 300，但从概率上来看是不可能的，只要不知道认证系统200、用户终端50即服务器300的联系关系，识别符的泄露仅仅是获得条形码图像。 0050 另一方面，在服务器 300 或者认证系统 200 受到外部入侵的情况下，服务器 300 仅仅将识别符显示在用户终端 50 的画面上，不具有用于认证用户的手段，因此如黑客这样的外部入侵者即使攻击了服务器也无法获取有关用户的认证信息。另外，在认证系统 200 受到外部入侵的情况下，只要不具有由用户终端 50 传送的。

28、识别符信息与从服务器 300 获得的识别符的情况下，也不会进行对于用户的认证，因此入侵者也不能代替用户向服务器 300 进行登录，也不能通过金融机关服务器进行现金提取或者转账。 0051 若由便携终端器100传送的识别符信息与有关从服务器300提供的识别符的识别说明书 CN 103039098 A 7 5/8 页 8 符信息一致时，则认证系统 200 从便携终端器 100 获取认证信息，如果认证信息也一致，则向服务器 300 通知认证结果 ( 认证成功或者认证失败 )。服务器 300 根据认证结果来对发行了识别符的用户终端 50 进行认证，从而判断为能够登录。 005。

29、2 此时，认证信息可以是便携终端器 100 的移动电话号码、 MAC 地址、 USIM 或者 SIM 卡信息、以及设定了用户的认证号码中的一个或者两个以上。这里， MAC 地址是对进行有线 / 无线通信的便携终端器的通信模块赋予的固有号码，由于不存在相同的 MAC 地址，因此对于确认便携终端器 100 来说是非常准确且有效的。 0053 图 2 表示本发明一实施例的便携终端器的方块示意图。 0054 图示的便携终端器包含无线通信部 110、 A/V( 音频 / 视频 ) 输入部 120、用户输入部 130、输出部 150、电源供给部 160、控制部 140 以及存储器 16。

30、0。 0055 无线通信部 110 通过天线 101 与基站进行声音或者数据通信，能够进行如数字多媒体广播 (Digital Multimedia Broadcast) 那样的广播接收功能、蓝牙功能、及无线网络功能。 0056 A/V( 音频 / 视频 ) 输入部 120 获取音频信号或者视频信号。能利用麦克风 123 输入音频信号。能利用照相机 121 输入视频信号。 0057 照相机121拍摄显示在用户终端器50的监视器上的识别符，并将其提供给控制部 140。照相机 121 可以为了通过适当的曝光 (exposure) 来拍摄显示在监视器上的识别符而另外具有曝光控制功能。。

31、0058 麦克风 123 由扩音器 (Microphone) 构成，用于通话或者录音。麦克风 123 将外部的声音或者音响信号转换为电信号，并将所转换的电信号提供给控制部 140。 0059 用户输入部 130 由数字键、菜单键及功能键构成，用于便携终端器的动作控制、用于声音通信的号码选择键、及方向键等。 0060 输入部 150 由用于输出音频或视频信号的扬声器 153 及显示部 151 构成。 0061 扬声器 153 再现铃声，再现声音，或者生成对于音频文件的再现音。 0062 显示部 151 显示被照相机 121 拍摄的识别符影像，使用户能够判断是否准确地拍摄了。

32、识别符。另外，当便携终端器 100 处于通话模式时，显示部 151 提供通话模式所需的界面，当便携终端器 100 处于影像拍摄模式时，显示部 151 显示所拍摄的影像。 0063 存储器160能够存储在驱动用于控制部140的程序处理及控制的程序的过程中产生的临时数据。 0064 存储器160可以是闪存类型(flash memory type)、硬盘类型(hard disk type)、微型多媒体卡类型 (multimedia card micro type)、卡类型的存储器 ( 例如 SD 或者 XD 存储器等 )、随机存取存储器、只读存储器中的至少一个。 0065 控。

33、制部140整体控制无线通信部110、 A/V输入部120、用户输入部130、输出部150 及存储器160，对声音通话、数据通信及照相机所拍摄的图像进行处理。另外，控制部140对由照相机 121 拍摄的图像进行处理，从而从识别符中获取识别符信息。控制部 140 包含用于为了获取识别符信息而从图像中提取识别符信息具有硬件、或者软件模块的形态的识别符识别模块141。识别符识别模块141按照与认证系统200约定的方式，从图像中提取识别符。例如，当在用户终端 50 显示的识别符为 1D 条形码、或者 2D 条形码的情况下，识别符识别模块 141 读取条形码从而可以获取。

34、条形码值。如果在用户终端 50 显示的识别符为彩色说明书 CN 103039098 A 8 6/8 页 9 图像，且与认证系统 200 约定提供彩色的种类、与颜色有关的信息，则识别符识别模块 141 获取由照相机 121 拍摄的图像的彩色的种类、与彩色有关的值作为识别符信息。此外，识别符识别模块141可以利用与由照相机121拍摄的图像的色阶有关的色阶值而生成识别符信息。 0066 另一方面，控制部140可以不另外进行图像处理，而是将通过照相机121拍摄的图像通过无线通信部 110 传送到认证系统 200。此时，控制部 140 可以通过无线通信部 110 来传送由照。

35、相机 121 拍摄的图像，或者通过用户输入部 130 将基于字符及特殊字符的识别符传送到认证系统 200。 0067 当控制部 140 不进行图像处理而是将图像传送到认证系统 200 的情况下，由认证系统 200 对图像进行处理而提取识别符，并将所提取的识别符与从服务器 300 传送到用户终端 50 的识别符进行比较，从而进行认证。 0068 电源供给部 160 向便携终端器提供电源，为了便携性，优选是能够充放电的形态。电源供给部 160 由能够充放电的电池、以及用于均匀调整向电池施加的电压以及从电池输出的电压的电源控制装置构成。 0069 图 3 表示本发明一实施例的。

36、认证系统的方块示意图。 0070 参照图 3，认证系统 200 包含服务器联动模块 210、识别符认证模块 220、终端器信息请求模块 230、智能电话认证模块 240、认证号处理模块 250、以及数据库 260。 0071 服务器联动模块 210 在服务器 300 向用户终端 50 提供包含识别符的认证界面时，获取与从服务器 300 向用户终端 50 提供的识别符相同的识别符，从而生成识别符信息。服务器联动模块 210 在用户终端 50 向服务器 300 请求服务时，例如在从用户终端 50 请求服务而显示登录画面时，能够从服务器300获取识别符。此时，在从服务器。

37、300向用户终端50 提供识别符时，服务联动模块 210 能够获取与从服务器 300 向终端 50 提供的识别符相同的识别符。 0072 另一方面，也可以由服务器联动模块 210 生成识别符，并将所生成的识别符提供给服务器 300，从而进行认证。 0073 此时，在用户终端 50 请求服务时，服务器 300 向服务器联动模块 210 请求包含识别符的图像、或者基于文本的识别符，由服务器联动模块210向服务器300提供包含识别符的图像、或者文本。此时，服务器联动模块 210 要做到在同一个时间段不会生成相同的识别符。服务器联动模块 210 可随机地生成识别符，或者。

38、按照预先规定的规则生成识别符，但无论如何也不能在同一个时间段生成相同的识别符。 0074 在便携终端器 100 拍摄显示在监视器上的识别符后送出所拍摄的图像，或者便携终端器 100 送出基于字符及特殊字符而形成的识别符，或者传送按照与认证系统 200 约定的方式进行图像处理后生成的识别符信息时，识别符认证模块 220 判断由便携终端器 100 传送的识别符是否为合法的。此时，识别符认证模块 210 比较从服务器联动模块 210 获取而与用户终端 50 的识别符有关的识别符信息、和通过便携终端器 100 获取的识别符信息，如果两者一致，则判断为正确的识别符信息，若非如此。

39、，则判断为是错误的识别符信息。 0075 当对于识别符信息的认证失败时，识别符认证模块 220 通过服务器联动模块 210 请求服务器 300 向用户终端 50 传送新的识别符，从而对用户终端 50 再次进行认证，或者结束认证过程。说明书 CN 103039098 A 9 7/8 页 10 0076 终端器信息请求模块230网络连接到对便携终端器100提供通信服务的移动通信服务提供者的服务器 ( 图未示 )，通过移动通信服务提供者的服务器获取有关便携终端器 100的信息，或者从便携终端器100直接获取终端器信息。终端器信息请求模块230若为了确认便携终端器的认证信息而。

40、从移动通信服务提供者的服务器或者便携终端器 100 获取 MAC 地址信息、或者用户信息，则将其提供给智能电话认证模块 240。 0077 智能电话认证模块240通过终端器信息请求模块230获取便携终端器的用户信息及MAC地址信息、 SIM或者USIM卡信息，并判断所获取的信息是否与在数据库260中已经存储的一致。在数据库 260 中具有在用户最初注册认证信息时提供的便携终端器 100 信息、用户信息以及认证信息。智能电话认证模块 240 比较存储在数据库 260 中有关便携终端器 100 的信息与从移动通信服务提供者服务器或者便携终端器 100 提供的便携终端器 100 信息，。

41、从而能够判断是否由正确的用户传送正确的识别符信息。 0078 认证信息处理模块250接收在处理了对于便携终端器100的识别符认证之后由便携终端器 100 提供的认证信息，例如接收用户名 / 密码、与用户约定的认证号、以及认证系统 200 向便携终端器 100 发行的临时承认号码中的任何一个，并判断所接收的认证信息是否与在数据库 260 中存储的一致。如果判断结果是两者一致，则认证信息处理模块 260 完成通过便携终端器 100 的用户认证，并向服务器 300 通知认证成功。 0079 若从认证信息处理模块 250 通知到了认证成功，则服务器 300 判断为用户终端器 5。

42、0 的认证成功，从而使其能够正常接入，提供登录接入者能够享有的多种服务。当服务器 300是如银行那样的金融机关服务器的情况下，服务器300使用户终端50能够进行转账、查询、或者利用贷款服务、处理账单、或者利用其他由如银行那样的金融机关所提供的各种服务。 0080 此时，用户无需其他的 OTP、认证证书，但也可以并行使用 OTP 或者认证证书。 0081 被认证系统 200 认证过的用户具有利用 OTP 或者认证证书而登录时相同的效力。 0082 另一方面，显示在用户终端器 50 的识别符在相同的时间段不会在其他的用户终端器显示相同的识别符，这表示服务器 300 不。

43、会在相同的时间段内将相同的识别符提供给其他的用户终端器。这与 OTP 相同，表示本发明的识别符在相同的时间段内只存在一个，即使外部入侵者获得识别符，也不能在其他计算机中使用。 0083 另外，只要用户利用用户终端器或者便携终端器注册一次便携终端器 100 的 MAC 地址信息或者认证信息，则之后在便携终端器100传送识别符时，认证系统200能够确认是否是正确的用户。 0084 同上，当利用用户计算机50处理基于用户名/密码的认证的情况下，只要用户名/ 密码一致，无论在哪个用户终端器中试图认证都有效，但在本发明中，限定于能够通过便携终端器 100 拍摄识别符的用户终。

44、端 50。但是，用户终端 50 并不限定于一台，只要是能够通过便携终端器 100 的照相机 121 拍摄识别符的，任何用户终端器都可以进行认证。由此，只要外部入侵者没有获得用户的便携终端器 100，理所当然地，即使获取识别符、获取用户信息、或者获取认证信息，也不能代替用户而接入到银行，或者进行金融处理。当然，即使入侵者持有用户的便携终端器，只要不知道用户的认证信息，也不能代替用户而进行金融处理。 0085 当便携终端器 100 传送包含识别符的图像时，图像处理模块 270 对图像进行图像处理而提取识别符。说明书 CN 103039098 A 10 。

45、8/8 页 11 0086 如上所述那样，在本发明中，图像处理能够在便携终端器100或者认证系统200中进行。 0087 当图像处理不在便携终端器 100 进行的情况下，图像处理模块 270 能够从由便携终端器 100 传送的图像中提取识别符，或者通过图像的特定位置的形态来提取识别符，或者当图像是条形码形态时读取条形码，或者利用图像的颜色值来获取识别符，或者利用图像的色阶值来获取识别符。 0088 例如，若在用户终端 50 显示的识别符为彩色图像，且由 0 255 阶段的色阶来表示，则识别符能够由 0 255 值来表示。此时，如果在图像中参照彩色，则还能够利用。

46、几十种颜色值与 255 阶段的色阶值来生成识别符。当然，也可以将色阶值与颜色值代入预先规定的式子来生成识别符。 0089 另一方面，图像处理模块 270 也可以将图像的特定位置的形态置换为条形码数字而生成识别符。通过图像来获取识别符的方法此外还有多种方法，并不限定于在本说明书中记载的方法。 0090 标号说明 0091 50 用户终端器 0092 100 便携终端器 0093 200 认证系统 0094 300 服务器 0095 产业上的可利用性 0096 本发明使用由便携终端器、服务器提供给用户终端器以及显示在用户终端器上的识别符以及认证信息，对用户进行认证。由此，只要外部入侵者不在相同时间段从便携终端器、服务器以及用户终端器收集认证所需的信息，就不能代替用户进行认证。本发明能够用于在门户网站、如银行等金融机关、个人博客、主页、及其他利用网络的各种站点处理认证。说明书 CN 103039098 A 11 1/3 页 12 图 1 说明书附图 CN 103039098 A 12 2/3 页 13 图 2 说明书附图 CN 103039098 A 13 3/3 页 14 图 3 说明书附图 CN 103039098 A 14 。

展开阅读全文