網路身份認證方法及裝置的製作方法

2023-04-26 19:18:06 2

專利名稱：網路身份認證方法及裝置的製作方法
技術領域：
本發明關於一種網路身份認證方法及裝置，尤指一種利用使用者持有且具編碼功能的認證鑰匙與一第三者網路認證中心交叉運算產生通行證資料，供登入不特定網站或進行網路金融交易時身份認證用的方法，其可進一步提升網路交易安全，並可令使用者無須記憶及輸入密碼，而增進其操作的方便性。
背景技術：
由於網際網路快速與無遠弗屆的特性，同時突破了時間與空間的限制，使得許多產業看好網際網路所隱含的龐大商機，例如各種類型的電子商務、線上遊戲、網路金融交易等等。但儘管網際網路快速便利的優點毋庸置疑，其依然衍生了許多法律與安全上的問題就目前亞太地區最流行的線上遊戲而言，玩家的帳號、密碼被盜用的情況層出不窮，而且不管玩家是在家中或網吧，都無法有效阻止盜用事件的發生。又在網路金融交易方面，有越來越多的網民基於忙碌及網路交易快速便利等因素而透過網路銀行進行繳帳、轉帳及股票交易等行為；但所有用戶申請加入網路銀行或網上股票交易時均須填寫大筆資料而極為繁瑣，且每次交易或轉帳時都得輸入使用者帳號(ID或User name)及密碼(Password)等，更不方便的是用戶尚須隨時牢記這些資料，其不便即可想而知，甚至當使用者急須進行交易時，尚得注意不要使用別人的計算機，以避免使用者帳號及密碼遭盜取，儘管目前的網路銀行機制均使用SSL128位的安全加密機制，且經國際認證，以提升其安全性，但其操作便利性仍有待加強。原因在於隨著網路交易類型的增加，使用者利用帳號密碼的機會增加，一般使用者基於方便記憶，可能用單一的帳號密碼登錄所有使用的網站與認證機制，而此種方式危險性在於帳號密碼一旦遭竊，將使所有網站交易的安全性蕩然無存。反之，若為避免發生此種狀況，而針對不同登入認證需求設定不同的帳號密碼，則必然增加使用者記憶數據的不便性。
由上述可知，儘管網路提供使用者更大的交易便利，但其隱藏的交易危機亦不容忽視，故如何兼顧網路交易的便利性與安全性，顯然有待進一步檢討，並謀求可行的解決方案。

發明內容
為解決前述問題，本發明主要目的即在提供一種使用者無須記憶及輸入密碼，但能有效確保交易安全的網路身份認證方法。
為達成前述目的採取的主要技術手段由一使用者持有的認證鑰匙配合一網路認證中心在使用者進行各種網路交易時執行流程安全管控及身份認證；其包括下列步驟激活身份認證機制；由使用者計算機讀取認證鑰匙的基本資料，並送至網路認證中心；由網路認證中心回傳一限時且單一的隨機測試資料，並保留一備份；由認證鑰匙以內部私鑰對回傳的隨機測試資料進行編碼，並回送給網路認證中心；由網路認證中心取出備份的隨機測試資料以一對稱私鑰進行編碼，並據以與回送數據進行比對，經比對無誤後再產生一動態發證私鑰；利用動態發證私鑰對一通行證數據進行編碼加密，並將加密的通行證資料送回使用者計算機；使用者計算機將通行證資料送至欲登入或進行交易的應用網站，再由該網站將通行證資料送回網路認證中心；網路認證中心以動態發證私鑰對回送的通行證資料進行解密，如與原始的通行證資料相同，即完成使用者的身份認證。
本發明次一目的在提供一種具隨機加密運算功能的認證鑰匙。
前述的認證鑰匙包括有一微處理器，用於執行加解密運算功能；一聯機接口，供與使用者計算機連結；一加密單元，作為加密編碼之用；一內存組，供儲存鑰匙基本資料與暫存隨機測試資料。
前述微處理器採用精簡指令集運算(RISC)功能。
前述的聯機接口為USB1.1以上的兼容接口。
前述的加密單元使用高安全標準的AES128Bits～256Bits或使用一般安全標準的RSA、DES、3DES、MD5、MD2、SHA-1等。
前述內存組包括只讀存儲器、隨機存取內存及電抹除內存。


圖1為本發明的系統示意圖。
圖2為本發明的流程圖。
圖3為本發明認證鑰匙的方塊圖。
圖號說明10使用者計算機20網路認證中心30應用網站40認證鑰匙41微處理器42聯機接口43加密單元44內存組具體實施方式
首先請參閱圖1所示，為本發明的系統示意圖，主要由一使用者計算機10透過網際網路分別與一網路認證中心20及一應用網站30連結；其中，應用網站30使用者欲登入使用或進行交易的網站，又使用者計算機10連結有一認證鑰匙40，以配合連結的網路認證中心20在登入該應用網站30或進行金融交易時執行使用者的身份認證；如圖2所示，其具體步驟包括有當使用者欲登入應用網站或進行須經身份認證的交易行為時，即由應用網站30激活身份認證機制201；身份認證機制激活後，即由使用者計算機10讀取認證鑰匙40的基本資料，並送至網路認證中心20的步驟202，供網路認證中心20辨識使用者；由網路認證中心20回傳一限時且單一的隨機測試資料給使用者計算機10的步驟203，並保留一備份；該隨機測試資料的內容並不限定格式，其由隨機隨機數產生，內容具有不可預知性；使用者計算機10接收隨機測試資料後即送至認證鑰匙40，由認證鑰匙40以內部預設的私鑰對該隨機測試資料進行加密204，並回送給網路認證中心20；前述認證鑰匙40預設的私鑰可使用高安全標準的AES128～256位(Bits)或一般安全標準的RSA、DES、3DES、MD5、MD2、SHA-1等；由網路認證中心20取出備份的隨機測試資料以一相同於認證鑰匙40內設私鑰的對稱私鑰進行編碼，並據以與使用者計算機10回送的資料進行比對，經比對無誤後再產生一動態發證私鑰205；該動態發證私鑰係為對通行證數據進行加密之用，其為單一且有時間限制，經過一段時間後將自動失效；前列者系認證鑰匙40與網路認證中心20透過使用者計算機10所進行的第一認證手段，其進一步包括一執行於網路認證中心20、使用者計算機10與應用網站30間的第二認證手段，其包括步驟如下(仍請參閱圖2所示)利用動態發證私鑰對一通行證數據進行編碼加密，並將加密的通行證資料送至使用者計算機10步驟206；使用者計算機10將經過加密的通行證資料送至欲登入或進行交易的應用網站30，再由該應用網站30經由網際網路將通行證資料送回網路認證中心20步驟207；網路認證中心20以動態發證私鑰對回送的通行證資料進行解密208，並據以與原始的通行證資料比對209，如核對相符，即將比對結果通知應用網站210而完成使用者的身份認證。
由上述說明可看出本發明身份認證方法之具體流程，由前述方法中可以明顯看出，使用者登入特定網站或執行特定交易行為時，並不須輸入任何帳號密碼，其只須令一認證鑰匙與其使用的計算機連結，並透過該計算機分別與網路認證中心及應用網站連結，當應用網站需要確認使用者身份時，即激活前述認證機制，即由該認證鑰匙與網路認證中心進行交叉的加密運算與驗證後，以產生一經過動態加密的通行證數據，此一通行證資料除暫存於網路認證中心外，亦經由使用者計算機送至應用網站，再由應用網站送回網路認證中心進行比對，而由網路認證中心將比對結果通知應用網站，以完成身份認證，由前述流程可以明顯看出，使用者對於登入或進行交易的網站並不進行任何帳號、密碼的輸入或加解密運算，由於不輸入亦不運算，故不會發生帳號或密碼遭盜用的情況。
又，當使用者登入不同的網站或執行其它的交易行為時，前述的流程將被重新的執行，意即將產生全新的隨機測試數據、動態發證私鑰及通行證資料以進行另一次的身份認證，其可免除使用者因應不同網站必須記憶輸入不同帳號密碼的繁瑣作業問題，並可完全避免不同網站使用同組帳號密碼易遭竊取盜用的情況。
至於前述認證鑰匙40一可行的具體構造請參閱圖3所示，其包括有一微處理器41，用於執行加解密運算功能；其可採用精簡指令集運算(RISC)功能，亦即由一低階處理器構成即可，而有助於製造成本的降低；一聯機接口42，以USB1.1以上的兼容接口，供與使用者計算機連結；一加密單元43，作為加密編碼之用；其採取高安全標準時可使用AES128～256位(Bits)；採取一般安全標準時，則可使用RSA、DES、3DES、MD5、MD2、SHA-1等加密技術；一內存組44，其包括只讀存儲器(ROM)、隨機存取內存(RAM)及電抹除內存(EEPROM)等，以供儲存鑰匙基本資料與暫存隨機測試資料。
由於該認證鑰匙系採用USB作為聯機接口，相較既有用於認證用途的接觸式/非接觸式記憶卡、IC卡、智慧卡等，其無須另外配置卡片閱讀機，因大部分的計算機都支持USB接口，且前述認證鑰匙系兼容HID接口，故無須安裝驅動程序，具有隨插即用的特性，故在通用性與便利性上明顯優於必須使用配置卡片閱讀機的各型接觸/非接觸式IC卡、智慧卡。
又前述認證鑰匙的特性一如現實生活中的印鑑及網路世界的數字籤章，為確保其使用安全，除令其具備唯一性外，另賦予其不可複製性，其具體作法系令認證鑰匙中的私鑰(通常為一長串的數據)直接燒入微處理器41中，經完成私鑰燒入後，即在用於外部輸入/讀取/修改/維修資料的I/O接腳上輸入大電流，將其內部線路燒斷，而與外部完全隔離。藉此，認證鑰匙一經製造完成，除網路認證中心20的資料庫仍預存有該認證鑰匙的私鑰資料外，任何人均無從由認證鑰匙40的電路構造取出私鑰數據。至於使用者計算機10透過聯機接口42對認證鑰匙40讀取的基本數據系已經過私鑰與加密單元43編碼加密的資料，故旁人亦無法由使用者計算機10取得私鑰資料。
另基於個人使用習慣與提供多一層的安全防護，可賦予認證鑰匙本身一啟用密碼，此啟用密碼並不在網路上傳輸，則系在認證鑰匙與使用者計算機連結時，即被要求輸入，如密碼符合，方能啟用該認證鑰匙。
經前述說明可充分了解本發明的具體技術內容與工作原理，以該等設計至少運用於下列場合的身份認證用途1.網路遊戲身分認證。
2.政府機關電子化的運用在電子化作業流程中可提供安全性極高的身分辨認機制、數字籤章及資料加密功能。
3.網路銀行及線上銀行交易的身份認證。
4.電子商務的交易安全機制。
5.電子病歷安全控管。
6.國家級/軍事/企業機密的安全認證及內部網路身份認證。
故由前述可知，本發明不僅簡化使用者的登入或交易時的作業方式，更兼顧的交易安全性的提升，同時廣泛的運用於各種領域的身份認證，由此可見，本發明已具備顯著的實用性與進步性，並符合發明專利要件，爰依法提起申請。
權利要求
1.一種網路身份認證方法，其特徵在於，由一使用者計算機連結的認證鑰匙配合一透過網路連結的網路認證中心對使用者登入網站或進行線上交易時執行身份認證；其具有一第一認證手段，執行於認證鑰匙與網路認證中心之間，由網路認證中心取得認證鑰匙基本資料後，送出一隨機測試數據予認證鑰匙進行編碼加密後再回傳網路認證中心，網路認證中心以相同條件對備份隨機測試資料進行編碼，並與回傳的數據比對，經核符後產生一動態發證私鑰；一第二認證手段，以第一認證手段產生的動態認證私鑰對一通行證資料加密，經使用者計算機送至欲登入或交易的網站，由該網站將通行證資料送至網路認證中心，經以動態發證私鑰進行解密後與原始的通行證資料比對，並將比對結果通知登入或交易網站。
2.如權利要求1所述的網路身份認證方法，其特徵在於，所述的第一認證手段包括下列步驟激活身份認證機制；由使用者計算機讀取認證鑰匙的基本資料，並送至網路認證中心；由網路認證中心回傳一限時且單一的隨機測試資料，並保留一備份；由認證鑰匙以內部私鑰對回傳的隨機測試資料進行編碼，並回送給網路認證中心；由網路認證中心取出備份的隨機測試資料以一對稱私鑰進行編碼，並據以與回送數據進行比對，經比對無誤後再產生一動態發證私鑰。
3.如權利要求2所述的網路身份認證方法，其特徵在於，所述的第二認證手段包括下列步驟利用動態發證私鑰對一通行證數據進行編碼加密，並將加密的通行證資料送回使用者計算機；使用者計算機將通行證資料送至欲登入或進行交易的應用網站，再由該網站將通行證資料送回網路認證中心；網路認證中心以動態發證私鑰對回送的通行證資料進行解密，並與原始的通行證資料比對，並將比對結果通知登入或交易的網站，以完成使用者的身份認證。
4.如權利要求1或2或3所述的網路身份認證方法，其特徵在於，該認證鑰匙內部與網路認證中心預設的加密私鑰，採取高安全標準時使用AES 128～256位。
5.如權利要求1或2或3所述的網路身份認證方法，其特徵在於，該認證鑰匙內部與網路認證中心預設的加密私鑰，採取一般安全標準時使用RSA、DES、3DES、MD5、MD2、SHA-1加密技術。
6.一種用於網路身份認證的認證鑰匙，其特徵在於，包括有一微處理器，用於執行加解密運算功能；一聯機接口，供與使用者計算機連結；一加密單元，作為加密編碼之用；一內存組，供儲存鑰匙基本資料與暫存隨機測試資料。
7.如權利要求6所述用於網路身份認證的認證鑰匙，其特徵在於，該微處理器採用精簡指令集運算。
8.如權利要求6所述用於網路身份認證的認證鑰匙，其特徵在於，該聯機接口為USB 1.1以上的兼容接口。
9.如權利要求6所述用於網路身份認證的認證鑰匙，其特徵在於，該加密單元採用高安全標準的AES 128～256位。
10.如權利要求6所述用於網路身份認證的認證鑰匙，其特徵在於，該加密單元採用一般安全標準的RSA、DES、3DES、MD5、MD2、SHA-1。
11.如權利要求6所述用於網路身份認證的認證鑰匙，其特徵在於，該內存組包括只讀存儲器、隨機存取內存及電抹除內存。
全文摘要
本發明關於一種網路身份認證方法及裝置，由一使用者持有的認證鑰匙配合一網路認證中心在使用者進行各種網路交易時執行流程安全管控及身份認證，其登入特定網站或進行網路金融交易時，無須在該網站輸入任何密碼或認證資料，而由網路認證中心與具有編碼運算功能的認證鑰匙交叉的進行動態編解碼工作，以產生一加密的通行證資料，並透過使用者計算機經應用網站送回網路認證中心，經與原始資料比對核符後即完成使用者身份認證；利用前述設計因無須輸入任何密碼資料，可有效確保交易安全，又使用者亦無須記憶各種登入密碼，而增進其操作的便利性。
文檔編號H04L9/00GK1585330SQ0315359
公開日2005年2月23日 申請日期2003年8月18日 優先權日2003年8月18日
發明者黃彥輝 申請人:久津實業股份有限公司