TW200810465A - Mutual authentication between two parties using two consecutive one-time passwords - Google Patents

Mutual authentication between two parties using two consecutive one-time passwords Download PDF

Info

Publication number
TW200810465A
TW200810465A TW096108960A TW96108960A TW200810465A TW 200810465 A TW200810465 A TW 200810465A TW 096108960 A TW096108960 A TW 096108960A TW 96108960 A TW96108960 A TW 96108960A TW 200810465 A TW200810465 A TW 200810465A
Authority
TW
Taiwan
Prior art keywords
password
sequence
user
time password
value
Prior art date
Application number
TW096108960A
Other languages
English (en)
Inventor
Eric Chun Wah Law
Original Assignee
Boncle Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Boncle Inc filed Critical Boncle Inc
Publication of TW200810465A publication Critical patent/TW200810465A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)

Description

200810465 九、發明說明: 【發明所屬之技術領域】 本發明一般係關於電子通信領域,更明確言之,係關於 電子通信方之相互認證。 【先前技術】 在過去10年中,網際網路已展現出指數增長。現今,幾 百萬使用者在依賴網際網路進行通信、工作及業務來往。 遺憾的係,目前用以識別個人與企業及保護通信與企業交 易的方法係原始及分段方法。每天會在未對參與方進行充 分認證的情況下透過網際網路進行大量個人通信及線上交 易(例如線上協商及線上貿易)。企業對網際網路使用者進 行的不當認證會給駭客提供存取未經授權資訊及從事欺騙 性交易的機會,造成金錢及財產損失。使用者對企業伺服 器進行的不當認證會使人們遭受日益狡猾的線上騙局,例 如網路釣魚與網址嫁接。因缺少合適的認證解決方案,越 來越多的網際網路企業與使用者成為欺騙性交易與身份盜 竊的受害者。 最常見且最簡單的認證形式係URL(統一資源定位器密 碼< e。通常,第一方藉由檢查第二方之官方URL來驗證 第方之身伤而第一方藉由檢查第一方所提供之密碼來 驗證第-方之身份。例如,當使用者存取他/她的以網頁 為主之電子郵件帳戶時,使用者輸入提供電子郵件服務之 網站的URL且在視覺上驗證瀏覽器所顯示的已連接或已重 新導引之URL。右URL係正確的,則使用者提交他/她的使 119299.doc 200810465 用者識別項(ID)與密碼。網站接著會驗證使用者之m及密 碼。 此方法之缺點係,僅僅提供正確URL並不足以用於伺服 為3忍證。在網址嫁接騙局中,即使網址係合法的,駭客也 • 可以濫用本地域名伺服器而使使用者重新定位至一惡意網 站。此外,透過網際網路傳輸至另一方時通常不會加密密 馬因此,在’’口著通^路線的任何位置處均會經受惡意監 、 視。此外,密碼通常係靜態的,因而使用病毒、間諜軟 體、代理祠服器及網路分析器可很容易地竊取密碼。 稍微更複雜的認證方法係基於URL及單次密碼之認證。 同樣地,第一方藉由檢查第二方之官方URL來驗證第二方 之身份。與靜態密碼不同,第二方藉由檢查第一方所提供 之單次密碼來驗證第一方之身份。單次密碼係僅可使用一 次的密碼,因此,當洩密目前密碼時,未經授權的第三方 無法以計算方式來預測下一密碼。 此基本的單次密碼方法僅可解決用戶端認證側的問題。 惡意第三方偷竊用過的單次密碼並沒有用處,因為單次密 碼在使用一次之後已經無效。不過,此基本的單次密碼方 法共有URL密碼方案的缺點,因為使用者仍無法直接認證 伺服器。 或者,當使用者第一次就服務進行註冊時,某些伺服器 認證方案需要使用者提供或選擇某些識別資訊。額外識別 資訊可包括使用者之個人資料,例如生曰、母親的婚前 姓、最吾愛寵物名或使用者之選擇之圖像。當使用者登入 119299.doc 200810465 時’伺服器會向使用者播放此類資訊用於驗證。若此類資 訊與使用者先前所提供的資訊相匹配,則使用者可視該伺 服器為真伺服器。此額外伺服器認證機制並不足夠,因為 此類靜態識別資訊可以很容易地曝露給狡猾的駭客而使使 用者經受欺騙性交易及身份盜竊。 因此’需要一種可確保電子通信之兩方間之相互認證的 安全系統及程序。 【發明内容】 Γ、
本杳明k供一種用於在使用兩個連續單次密碼之兩方間 建立相互認證的系統及方;^去。兩方共享一預定義單次密碼 之在碼次异法、訊標機密及同步參數(包括一單調增加或 減少之序列號碼)。一第一方使用演算法、訊標機密及參 數產生一單次密碼,並透過網路將其傳送至一第二方。第 一方使用相同演异法、訊標機密及參數來驗證接收到的單 次密碼。-旦成功驗證,第二方即產生—連續單次密碼, 並將其傳达至第-方。第—方藉由使用相同演算法產生其 自己的連續單次密碼並將其與自第二方接收到的連續單; 密碼作比較來驗證接收到的連續單次密碼。應注意, 由-使用使用者之訊標的簡單視覺驗證或自動驗證二 該比較。 个這仃 使用兩個連續單次密碼之相互認證方法具有以下優點 其精由需要使用者㈣服器相互提供—可驗 確保一安全的# 6 π W 干人在媽來 :早女王的雙向認證。兩個單次密瑪均在使 無效。其確保在相同通信合 Θ忐内之兩方的真實性。該方法 119299.doc 200810465 容易實施,因為兩方共享同—組演算法、訊標機密及參 數’而且藉由交換兩個連續單次密碼來實現相互認:。多 此等特徵並非本發明之僅有特徵。藉由圖式、說=書及 申請專利範圍,將會明白許多額外特徵及優點。 【實施方式】 圖式與以下說明僅以說明性方式與本發明之較佳具體實 施例有關。應注意’從以下論述中,可报容易將本文所揭 厂\
示之結構與方法之替代具體實施例視為可使用的可行替代 例’而不背離本發明之原理。 現在將詳細參考若干具體實施例,其範例係在附圖中說 明。應注意,纟圖式中的任何位置均可使用適用的類似或 相同參考數字且其可指示類似或相同功能性。該等圖式僅 基於說明目的而說明本發明之具體實施例。熟習此項技術 者從以下說明將容易明白,可使用本文所說明的結構及方 法之替代具體實施例而不背離本文所說明的原理。 本文之說明提供一種用於在使用兩個連續單次密碼之兩 方間之相互認證的系統及方法。為方便理解,針對一使用 者與一 e十异伺服器間之電子通信背景下進行說明。不過, 本文所述原理同樣適用於兩方(例如,買家與賣家或登錄 睛求者與安全網站操作者)間之任何交易,以及上述兩方 間之其他應用。 1·相互認證系統 圖1說明依據本發明之一相互認證系統架構100之一具體 貝^例°玄相互涊證系統包括一第一方11 〇與一第二方 H9299.doc 200810465 120。第一方丨10與第二方120係透過—網路13〇而以通信方 式柄合。
在一具體實施例争,第一方110可包含一終端機112與一 訊標114。終端機112係一計算器件,其係配備及配置成用 以透過網路130與第二方120通信。終端機112之範例包括 個人電腦、膝上型電腦、或個人數位助理(PDA)(具有有線 或無線網路介面與接取)或智慧型電話或行動電話(具有無 線或蜂巢式接取)。訊標i i 4係一提供單次密碼之安全機 制。訊標114可為一獨立分離式實體器件或可為一運行於 終端機112或分離式獨立實體器件(例如行動電話或個人數 位助理)上的應用程式或小型應用程式。 在一具體實施例中,終端機112與訊標114 一起發揮功能 以形成一使用者認證機制。其可為一安全"使用者識別^ (ID)與單次密碼"兩因素認證系統(例如,採用一單次密碼 登錄的電腦登錄系統)。應注意,使用者m可為任何唯一 識別項,例如電子郵件(e_mail)位址、電話號碼、成員 ID、員工編號等。 在以上組態中,兩因素係指"你知道什麼,,與"你具有什 麼”。第一因素係"你知道什麼",其係使用者之個人識別 號碼(PIN)。第二個因素係"你具有什麼,,,其係使用者之訊 標114。訊標114之範例包括個人電腦、行動電話或智慧型 電話、個人數位助ί里、或獨立分離式硬體訊標器件。訊標 m在受到第-因素(即Ρ ί Ν)之應用之觸發時作出回應而= 供-已產生單次密碼。接著將該單次密碼用於認證第一方 119299.doc 10 200810465 110,且將一連續單次密碼用於認證第二方12〇,如本文之 進一步說明。 網路130可為一有線或無線網路。網路130之範例包括網 際網路、企業網路、蜂巢式網路或其組合。應注意,將第 方系統110之終端機112及/或訊標114構造成包括處理 °己隐體、儲存裔、網路介面、及可應用作業系統與其 他功能軟體(例如,網路驅動程式、通信協定等)。 第二方120包括一網頁伺服器122、一應用程式伺服器 124、一 δ忍證伺服器128及一資料庫伺服器126。網頁伺服 器122以通^方式耦合網路13〇與應用程式伺服器。應 用私式伺服器124以通信方式耦合認證伺服器128與資料庫 伺服器126。認證伺服器128亦以通信方式耦合資料庫伺服 器 126。 網頁伺服斋122係第二方12〇之前端且用作一進入第二方 120之通信閘道器。應注意,網頁伺服器122不限於網際網 路網頁伺服器,而可為可恰當地介接網路丨3 〇的任何通信 閘道器,例如一公司虛擬專用網路前端、一行動電話系統 通信前端或一銷售通信前端點。為方便論述,將此前端稱 為網頁祠服器!22,儘管所揭示之原理係可應用於一更廣 泛的通信閘道器陣列。 應用程式伺服器124係配置成用以管理第一方i 1〇與認證 伺服器128間之與使用者設定檔及訊標識別項相關的通 信。認證伺服器128係配置成用以加密及解密訊標機密及 參數、產生單次密碼、及驗證接收到的單次密碼。資料庫 H9299.doc -11 - 200810465 伺服器126係配置成用以儲存來自應用程式伺服器124及認 證伺服器128之應用程式、資料及其他認證相關資訊。 在一具體實施例中,可透過一”機密分離原理,,來增強安 全。特定言之,應用程式伺服器!24可使用使用者設定檔 與訊標識別項,而認證伺服器128有特權接取基於應用程 式伺服器124所提供之訊標識別項的已加密訊標機密及參 數。第一方11 0之訊標識別項係識別號碼或指向對應使用 者之實際訊標機密及參數的指標。
應注意,可將第二方系統120配置於一或多個傳統計算 系統上,其具有處理器、記憶體、儲存器、網路介面、周 邊设備、及可應用作業系統與其他功能軟體(例如,網路 驅動器、通信協定等)。此外,應注意,伺服器122、 124、126及128係以邏輯方式配置成一起發揮功能且可配 置成駐留於一實體系統上或橫跨多個實體系統。 在一具體實施例巾’可如下說明相互認證系统1〇〇之運 作。第-方11G使用其訊標114來計算__單次密碼。訊標 114接取訊標機密及參數並將資訊饋送(例如轉遞或輸入)至 一預定義單次密碼之密碼演算法中以計算單次密碼。在一 具體實施例中,訊標機密包含密碼密鑰、亂數、控制向量 及其他資料(例如機密),例如,用作用於訊標114及認證= 服器128所執打之計算及密碼操作之額外參數的額外數 值。此外,訊標參數包含控制參數,例如,已加密pIN、 單調增加或減少之序列號碼、可選交易質疑碼、交易摘要 及使用統計。在某些具體實施例中’訊標參數可為動態參 119299.doc •12- 200810465 數’以便在認證操作時更新該等訊標參數。 通常透過一預定義單次密碼之密碼演算法(其係由程式 化計算步驟及密碼操作組成)來完成單次密碼計算。例 如,訊標114獲#一單調增加或減少t序列號碼之下一值 並將其與訊標機密及其他參數一起饋送至預定義單次密碼 之密碼演算法中以計算一單次密碼。該序列號碼係訊標安 裝或同步期間所載入之一唯一訊標參數集之部分。 第一方110透過終端機112來尋求透過網路13〇與第二方 i20之網頁伺服器122連接以便提交使用者⑴及計算出的單 次密碼。網頁飼服器122將使用者1〇及單次密碼傳遞至應 用程式伺服器124。應用程式伺服器124在資料庫伺服器 126中搜尋與使用者1〇相對應之訊標識別項。訊標識別項 係一指標,其指向可很容易從資料庫伺服器126中擷取之 實際訊標機密及參數。一旦定位了訊標識別項,應用程式 伺服β 124即將其接收到的單次密碼連同從資料庫伺服器 12 6中榻取之訊標識別項轉遞至認證飼服器12 。 認證伺服器U8從資料庫祠服器126中擷取已加密訊標機 密及參數。在一具體實施例中,使已加密訊標機密及參數 與訊標114之訊標機密及參數同步。在訊標建立及更新期 間透過網路130以線上方式使其同步且在每一成功認證之 後以密碼方式(即在數學上而無需網路連接)使其同步。認 證伺服器128接著解密訊標機密及參數並使用該資訊來驗 證自第一方1 1 〇接收到的單次密碼。 通常透過預定義單次密碼之密碼演算法(其係由程式化 II9299.doc 200810465 h步驟及密碼操作組成)執行驗證 單調增加或減少之序列沪❸㈤, 心114可將 级由… —預測索引編碼於—單次密 ,内。5忍證伺服器128可從接收到M $ Α ^ ^ 攸搔收到的弟一方110所提交之單 -人饴碼中解碼該預測索 # 用以編碼/解碼預測索引之演 异〇 :、,、預定義單次密石馬之密碼演算法之 關聯。或者’該演算法可獨絲預定υ目 批』倜且於預疋義早次密碼之密碼演
將使用預測索引(其係序列號碼之-摘要)來估計序 列號碼之值。認證飼服器128接著將對應的訊標機密及參 數㈣序列號碼)饋送至演算法中以計算一單次密碼。若 計异出的單次密碼與接收到的單次密碼相匹配,則驗證係 成功:。預測索引之使用有助於確保,可在人為錯誤(例 如打字錯誤)、網路故障或竊取所造成之不成功嘗試之後 繼續認證第-方110,因而可最小化先前技術中存在的訊 標參數不同步問題。 一旦成功驗證,認證伺服器128即獲得序列號碼之下一 值(即,序列號碼之下一遞增或遞減值),並將對應的訊標 機密及參數(包括序列號碼之值)饋送至預定義單次密碼之 被碼演异法中以計算一連續單次密碼。認證伺服器1 28經 由應用程式伺服器124、網頁伺服器122及網路130將所產 生之連續單次密碼返回至第一方11〇之終端機112。 當第一方110在其終端機112處接收到該連續單次密碼 時,其藉由驗證該連續單次密碼來認證第二方丨2〇。為 此,第一方110使用其訊標114來計算一單次密碼並使其與 接收到的連續單次密碼相匹配。同樣地,訊標114獲得序 119299.doc -14- 200810465 列號碼之下一值以便進行單次密碼計算。若計算出的單次 密碼與接收到的連績單次密碼相匹配,則驗證係成功的。 一旦驗證了該連續單次密碼,即完成相互認證,而且第一 方110可透過終端機112開始經由網路130及網頁伺服器122 與第二方120之應用程式伺服器124進行可信賴通信。 所述組態包括若干優點。例如,第一方11〇與第二方12〇 之身份皆加以認證且兩方11 〇、12 0均確信另一方係真的。 因此,整個方案提供高安全位準。另一優點係健壯性。用 以認證兩方110、120之密碼均為單次密碼。因此,即使惡 意方可以藉由竊聽該兩方之網路連接來盜取密碼,此等密 碼也不會危害該兩方,因為該等密碼在使用一次之後無 效。 另一優點係系統靈活性及可擴展性。首先,兩方僅需要 共享單組訊標機密及參數且藉由交換兩個連續單次密碼來 貫現相互認證。其次’系統可使用最常用的”使用者ID與 密碼’’之使用者介面,因此兩方110、120可快速熟悉認證 程序。 2·相互認證程序之一範例 可透過相互認證程序之一範例進一步說明本文所述原 理。在此範例中,有一使用者及一計算伺服器。使用者在 功能上係類似於第一方11 0,而計算伺服器在功能上係類 似於第二方120。針對此等方所說明之程序係執行於先前 所述的個別終端機、計算系統及/或訊標上。使用者與計 异飼服态間之通信係透過一在功能上類似於網路1 3 〇之網 119299.doc 15 200810465 路。 圖2說明一用於使用者210與伺服器220間之相互認證之 程序的一具體實施例。該程序以使用者21〇產生23〇一用以 認證使用者210之身份之單次密碼開始。圖3說明產生該單 次密碼之程序的一具體實施例。該程序以使用者2丨〇決定 3 1 0 —序列號碼之值開始。該序列號碼係在產生單次密碼 時用作一 標參數的一單調增加或減少之數字。 在一具體實施例中,序列號碼之下一值係自當前值單調 增加或減少。在訊標建立時使使用者21〇之序列號碼之值 與伺服器220同步且隨後在每一成功驗證時藉由伺服器22〇 使其同步。使用者21 0之訊標作為目前序列號碼之摘要來 计异一預測索引並將其編碼到目前單次密碼中,以便伺服 裔220可針對單次密碼驗證及序列號碼同步來解碼及預期 正確序列號碼。使用者210決定310序列號碼之下一值並使 用匕來產生最近之單次密碼。在另一具體實施例中,使用 者2i0忽略接下來的一或多個值,並使用後面的一值來產 生最近之單次密碼。 決定310序列號碼之值之後,使用者21〇藉由將訊標機密 及參數(包括序列號碼之值)饋送至一預定義單次密碼之密 馬廣法中來產生320 —單次密碼。該演算法從訊標機密 及參數中產生一雜溱碼(其轉換為該單次密碼)。使用演算 法之雜凑序係因為難以反轉,而且為演算法找到不同的 訊標機密及參數以計算出該相同雜湊碼(即單次密碼)在計 算方面係不可行的。傳統演算法之範例包括MD5與SHA- 119299.doc -16- 200810465 返回茶考圖2,使用者210將所產生之單次密碼連同其唯 一識別項傳送240至伺服器22〇。在一具體實施例中,使用 者210—將所產生之單次密碼傳送24〇出去,該單次密碼即 無效,而且使用者210下次產生一單次密碼時,其將為一 不同的單次密碼。 伺服為220藉由從接收到的單次密碼中解碼預測索引以 計算序列號碼之一值進而產生一單次密碼(如圖3所示及如 上所述)並使所產生之單次密碼與接收到的單次密碼相匹 配來認證250使用者210。將序列號碼之計算值設定為不小 於用於先前成功單次密碼驗證之序列號碼之下一值。 使用一預定義單次密碼之密碼演算法(其在功能上係等 效於使用者210用以產生230傳送240至伺服器220之單次密 碼的預定義單次密碼之密碼演算法)來產生該單次密碼。 伺服器220藉由將同步訊標機密及參數(包括序列號碼之預 測值)傳遞至演算法中來產生單次密碼並檢查其是否與接 收到的單次密碼相匹配。伺服器220所產生之單次密碼與 自使用者210接收到的單次密碼一旦成功匹配,就可以說 認證250係成功的且在使用者210與伺服器220間使序列號 碼同步。 一旦成功認證250使用者210,伺服器220即獲得序列號 碼之下一值並產生260—單次密碼(即,”連續單次密碼”), 並將其傳送270至使用者210以便使用者210認證280伺服器 220。伺服器220藉由執行圖3所示及以上所述程序來產生 119299.doc 17 200810465 260單次密碼。在一具體實施例中,伺服器22〇—將所產生 之單次密碼傳送270出去,該單次密碼即無效’而且伺服 器220下次產生一單次密碼時,其將為一不同的單次密 碼。 使用者210自伺服器220接收到單次密碼之後,使用者 2 10藉由獲得序列號碼之下一值以產生一單次密碼並使其 與接收到的單次密碼相匹配來認證28〇伺服器22〇。使用者 2 10藉由執行圖3所示及以上所述程序來產生單次密碼。若 接收到的單次密碼與所產生的單次密碼相匹配,則認證 280係成功的。若由於未接收到單次密碼或接收到的密碼 與所產生之單次欲碼不匹配而導致認證失敗,則伺服琴 220可能為一設置網路釣魚騙局的惡意方。使用者2ι〇成功 認證伺服器220之後,兩方210、220即得以相互認證,且 可開始290相互交易。 藉由閱讀此揭示内容,熟習此項技術者應明白,透過本 文所揭示之原理也可對用於兩方間之安全電子通信之相互 逐證的系統及程序進行額外替代性結構及功能設計。因 此雖然已顯示及說明特定具體實施例及應用,但應明 白,本發明不受限於本文所揭示的具體結構及組件且可在 本文所揭示的本發明之方法及裝置之配置、運作及細節方 面進行一習此項技術者會明白的各種修改、變更及變化而 不为離所附申請專利範圍中所定義的本發明之精神及範 【圖式簡單說明】 119299.doc -18 - 200810465 所揭示之具體實施例具有其他優點與特徵,結合附圖參 閱以上詳細說明以及所附申請專利範圍可更容易明白該等 優點與特徵,其中: 圖1說明依據本發明之一相互認證框架之一具體實施 例。 圖2說明依據本發明之—用於兩方間之相互認證之程序 的一具體實施例。 圖3說明依據本發明《一用以建立單次密碼之程序的一 具體實施例。 【主要元件符號說明】 100 相互$忍§登糸統 110 第一方 112 終端機 114 訊標 120 第二方 122 網頁伺服器 124 應用程式伺服器 126 資料庫伺服器 128 認證伺服器 130 網路 210 使用者 220 伺服器 119299.doc -19-

Claims (1)

  1. 200810465 申請專利範圍: 1. 種用於認證之方法,該方法包含: 接收-與一使用者相關聯之唯一識別項以及_第 次密碼,使用-第—密碼演算法產生該 基於該唯一識別項及該第一單次密碼認證該使2,· 對已認證之使用者作出回應而使用—第二密碼演算法 1 —弟二皁次密碼,該第二密碼演算法係與該第一密 碼演算法相關聯;及 #在 對已認證之使用者作出回應而將該第二單次密碼發送 ^亥使用者,在該第二單次密碼發送至該使用者之後該 第一與第二單次密碼即無效。 2.如請求们之方法’其中該第—與第二密碼演算法 向雜凑演算法或單向加密演算法。 3·如請求項〗之方法,其進一步包含: 基於該唯一識別項識別該第二密碼演算法,其十認證 該使用者包含基於該第二密碼演算法及該第一單次密碼 認證該使用者。 Ή求項!之方法,其中該第一與第二密碼演算法在功 能上係等效的且具有相同訊標機密,該第一與第二密碼 /貝^法具有一序列參數,該序列參數之值係在一可預定 值序列中。 5. 如請求項4之方法,其中認證該使用者包含: 使用該第二密碼演算法產生—第三單次密碼,藉由— 索引及該可預定序列來決定用以產生該第三單次密碼之 119299.doc 200810465 歹J ί數之值,藉由對該第一單次密>5馬應用一索弓丨 ㈣法來決定該索引’該索引演算法係與該第二密碼演 算法相關聯;及 對該第一單次密碼與該第 決定該使用者已得以認證, 證〇 二卓次密碼相同作出回應而 否則決定該使用者未得以認 6.如請求項4之方法,其中認證該使用者包含:
    使用該第二密竭演算法產生一第三單次密碼,用以產 生該第三單次密碼之該序列參數值係該可預定序列中用 以產生—A前單:欠密碼之該_參數之值的_後續 值,及 、對該帛|次密碼與該第三單二欠密碼相同作丨回應而 決定該使用者已得以切^八 T S丨1 ^ 侍以6忍證,否則決定該使用者未得以認 1 ·如請求項6之方法,j: φ兮杰乂 口口 a — λ〆 具肀忒先則早次密碼係關於該使用 者之最近成功認證期間所產生的—單次密碼。 8·如請求項1之方法,复 口口 a — > 具中忒弟一早次密碼在認證該使用 者之後即無效。 9. 一種用於認證之方法,該方法包含: 使用一第一密碼演算法產生一第-單次密碼; 將β亥第-單_人密石馬及_與一使用者相關聯之唯一識別 項發送至一伺服器; 自該伺服器接收一第-罝呤宓 ^ ^ 弟一早—人在碼,使用一弟二密碼演 鼻法產生該第二單次贫版 >七唾 干人在碼,泫弟二密碼演算法係與該第 119299.doc 200810465 一密碼演算法相關聯;及 基於該第二單次密碼認證該伺服器,該第一與第二單 次密碼在認證該伺服器之後即無效。 10·如凊求項9之方法,其中該第一與第二密碼演算法係單 向雜湊演算法或單向加密演算法。 11 ·如明求項9之方法,其中該第一與第二密碼演算法在功 能上係等效的且具有相同訊標機密,該第一與第二密瑪 演算法具有一序列參數,該序列參數之值係在一可預定 值序列中。 12.如請求項U之方法,其中產生該第一單次密碼包含·· 使用”亥第一在、碼演异法產生該第一單次密碼,用以產 生戎第一單次密碼之該序列參數之值與該可預定序列中 用以產生一先前單次密碼之該序列參數之值係連續的, 藉由該可預定序列之一索引來表示用以產生該第一單次 密碼之該序列參數值,該索引係編碼到該單次密碼中。 13·如請求項11之方法,其中產生該第一單次密碼包含: 使用該第一密碼演算法產生該第一單次密碼,用以產 生δ亥弟一單次密碼之該序列參數值係該可預定序列中用 以產生一先前單次密碼之該序列參數之值的一後續值。 14 ·如凊求項13之方法’其中該先前單次密碼係最近所產生 的單次密碼。 1 5 ·如請求項11之方法,其中認證該伺服器包含: 使用該第一密碼演算法產生一第三單次密碼,用以產 生該第三單次密碼之該序列參數之一值係該可預定序列 119299.doc 200810465 中用以產生该第-單次密碼之該序列參數值的一後續 值;及 對忒第一單次密碼與該第三單次密碼相同作出回應而 決定該祠服器已得以切试 传以 < 证,否則決定該伺服器未得以認 證。 1 6.如請求項9之方法,直φ兮# 〇 _ 丄 …中違弟一皁次密碼在發送至該伺 服器之後即無效。 17· —種電子通信裝置,其包含: r'\ · … 一處理器;及 一記憶體,其係構造成用以儲存該處理器可執行之指 令’該等指令係對應於: 接收一與一使用者相關聯之唯一識別項以及一第一 單次密碼,使用-第-密碼演算法產生該第一單次密 碼; 基於忒唯5戠別項及該第一單次密碼認證該使用 者; / ^ 對已認證之使用者作出回應而使用一第〕密碼演算 去產生-第一單次密碼,該第二密碼演算法係與該第 一密碼演算法相關聯;及 對已認證之使用纟作出目應而將該第^單次密碼發 达至該使用者,在該第二單次密碼發送至該使用者之 後該第一與第二單次密碼即無效。 18.如請求項17之電子通信裝置,該等指令進一步對應於: 基於該唯一識別項識別該第二密碼演算法,其中認證 119299.doc 200810465 一單次密碼 該使用者包含基於該第二密碼演算法及該第 認證該使用者。 19. 二密碼演 該第一與 之值係在 :請求項17之電子通信裝置,其t該第一與第 算法在功能上係等效的且具有相同訊標機密, 第二密碼演算法具有一序列參數,該序列參數 一可預定值序列中。 20.如請求項19之電子通信裝置,該等指令進—步對應於. 使用該第二密瑪演算法產生-第三單次密竭,^由一 索引及該可預定序列來決定用以產生該第三單_欠㈣之 ::列參數之一值,藉由對該第一單次密碼應用一索引 演异法來決定該索引,該索引演算法係與該第二密碼演 算法相關聯;及 對該第-單次密碼與該第三單次密碼相同作出回應而 決定該使用者已得以紐,否❹定該使用者未得以認 證。 21. —種電子通信裝置,其包含: 一處理器;及 —記憶體,其係構造成用以儲存該處理器可執行之指 令’該等指令係對應於: 使用一第一密碼演算法產生一第一單次密碼; 將該第一單次密碼及一與一使用者相關聯之唯一識 別項發送至一伺服器; 自該伺服器接收一第二單次密碼,使用一第二密碼 演算法產生該第二單次密碼,該第二密碼演算法係與 119299.doc 200810465 該第一密碼演算法相關聯;及 基於該第二單次密碼認證該伺服器,該第一與第 單次密碼在認證該伺服器之後即無效。 22.如請求項21之電子通信裝置,其中該第一與第二密碼演 算法在功能上係等效的且具有相同訊標機密,該第一與 第二密碼演算法具有一序列參數,該序列參數之值係在 一可預定值序列中,且其中產生該第一單次密碼包含·· 使用該第一密碼演算法產生該第一單次密碼,用以產 生该第一單次密碼之該序列參數之值與該可預定序列中
    用以產生一先前單次密碼之該序列參數之值係連續的, 藉由該可預定序列之一索引來表示用以產生該第一單次 密碼之該序列參數值,該索引係編碼到該單次密碼中。 23·:請求項21之電子通信裝置,其中該第一與第二密碼演 算法在功能上係等效的且具有相同訊標機密,該第一與 第二密碼演算法具有一序列參數,該序列參數之值係在 一可預定值序列中,且其中產生該第-單次密碼包含: 使用。亥第畨碼演异法產生該第一單次密碼,用以產 生”亥第單次畨碼之該序列參數值係該可預定序列中用 以產生一先前單次密碼之該序列參數之值的一後續值。 24·^請求項21之電子通信裝置,其中該第一與第二密碼演 :法在功旎上係等效的且具有相同訊標機密,該第一與 2二密碼演算法具有—序列參數,該序列參數之值係在 一可預定值相巾,且其中認證該祠服器包含: 使用該第-密碼演算法產生一第三單次密碼,用以產 119299.doc 200810465 生該第三單次密碼之該序列參數之一值係該可預定序列 中用以產生該第一單次密碼之該序列參數值的一後續 值;及 對該第二單次密碼與該第三單次密碼相同作出回應而 決定該伺服器已得以認證,否則決定該伺服器未得以認 證。 25· —種電腦程式產品,其結合一電腦系統使用,該電腦程 式產品包含一電腦可讀取儲存媒體及嵌入其中的一電腦 程式機制,該電腦程式機制包括: 接收指令,其用於接收一與一使用者相關聯之唯一識 別項以及一第一單次密碼,使用一第一密碼演算法產生 該第一單次密碼; 認證指令,其用於基於該唯一識別項及該第一單次密 碼認證該使用者; 產生指令,其用於對已認證之使用者作出回應而使用 一弟一密碼演算法產生一第二單次密碼,該第二密碼演 算法係與該第一密碼演算法相關聯;及 發送指令,其用於對已認證之使用者作出回應而將該 第二單次密碼發送至該使用者,在該第二單次密碼發送 至该使用者之後該第一與第二單次密碼即無效。 26·如請求項25之電腦程式產品,其進一步包含: 識別指令,其用於基於該唯一識別項識別該第二密碼 演算法,其中認證該使用者包含基於該第二密碼演算法 及該第一單次密碼認證該使用者。 119299.doc 200810465 27.如請求項25之電腦程式產品, Λ. ^ α T 5亥弟一與第二密碼演 异法在功能上係等效的且呈. # 一〜、卜 、有相同矾標機密,該第一與 弟一欲碼演算法具有一序列夫奴 名㈣參數,言亥序列參數之值係在 一可預定值序列中。 28·如請求項27之電腦程式, 指令包含: -中用於認證該使用者之 產生指令,其用於使用該第二密碼演算法產生 單次密碼,藉由一帝利及兮π 一 —也一 索引及4可預定序列來決定用以產生 该第二單次密碼之該岸夫 亥序列參數之-值,藉由對該第-單 次岔碼實施一索引演算法來 疋巧京引,該索引演算法 係〃該第二密碼演算法相關聯;及 回應指令,其用於對該第一單次密竭與該第三單次穷 碼相同作出回應而衫該使用者已得以認證,否則決: 該使用者未得以認證。 、 29. —種電腦程式產π 、口〒八屋,其結合一電腦系統使用,該電腦程 式產印包含一電腦可讀取儲存媒體及嵌入其中的一 程式機制’該電腦程式機制包括: 匈 產生指令,其用於使用一第一密碼演算法產生一 單次密碼; 弟一 w'礼7,其用於將該第一單次密碼及一與一使 相關聯之唯_識別項發送至—伺服器; 接收拍令,其用於自該伺服器接收一第二單次密碼, 使用第二密碼演算法產生該第二單次密碼,該第二密 碼演算法係與該第一密碼演算法相關聯;及 — 119299.doc 200810465 認證指令,其用於基於該第二單次密碼認證該伺服 器,該第一與第二單次密碼在認證該伺服器之後即無 效。 30. 如請求項29之電腦程式產品,其中該第一與第二密碼演 异法在功能上係等效的且具有相同訊標機密,該第一與 第二密碼演算法具有一序列參數,該序列參數之值係在 -可預定值序列中,其中用於產生該第—單次密碼的指 令包含: 產生指令,其用於使用該第一密碼演算法產生該第一 單-人岔碼,用以產生該第一單次密碼之該序列參數之值 與”亥可預疋序列中用以產生_先前單次密碼之該序列參 數之值係連續的,藉由該可預定序列之一索引來表示用 以產生该第一單次密碼之該序列參數值,該索引係編碼 到該單次密碼中。 31. 如請求項29之電腦程式產品,其中該第一與第二密碼演 异法在功忐上係等效的且具有相同訊標機密,該第一與 第一始、碼次异法具有一序列參數,該序列參數之值係在 一可預定值序列中,其中用於產生該第一單次密碼的指 令包含: 產生指令,其用於使用該第一密碼演算法產生該第一 單_人密碼,用以產生該第一單次密碼之該序列參數值係 /可預疋序列中用以產生一先前單次密碼之該序列參數 之值的一後續值。 32·如請求項29之電腦程式產品,其中該第—與第二密碼演 119299.doc 200810465 法在力月b上係、等效的且具有相同訊標機密,該第一與 第一 & m法具有—序列參數,該序列參數之值係在 可預疋值序列中,其中用於認證該伺服器的指令包 含: - 產生指令’其用於使用該第一密碼演算法產生一第三 單—人禮碼’用以產生該第三單次密碼之該序列參數之一 值係該可預定序列中用以產生該第一單次密碼之該序列 參數值的一後續值;及 ' 回應指令,其用於對該第二單次密碼與該第三單次密 碼相同作出回應而決定該伺服器已得以認證,否則決定 邊伺服器未得以認證。
    119299.doc -10-
TW096108960A 2006-03-15 2007-03-15 Mutual authentication between two parties using two consecutive one-time passwords TW200810465A (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US11/377,866 US20070220253A1 (en) 2006-03-15 2006-03-15 Mutual authentication between two parties using two consecutive one-time passwords

Publications (1)

Publication Number Publication Date
TW200810465A true TW200810465A (en) 2008-02-16

Family

ID=38335712

Family Applications (1)

Application Number Title Priority Date Filing Date
TW096108960A TW200810465A (en) 2006-03-15 2007-03-15 Mutual authentication between two parties using two consecutive one-time passwords

Country Status (4)

Country Link
US (1) US20070220253A1 (zh)
EP (1) EP1994487A2 (zh)
TW (1) TW200810465A (zh)
WO (1) WO2007106679A2 (zh)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NZ547322A (en) * 2006-05-18 2008-03-28 Fronde Anywhere Ltd Authentication method for wireless transactions
US7942741B2 (en) * 2006-11-15 2011-05-17 Cfph, Llc Verifying whether a device is communicating with a server
US7942740B2 (en) 2006-11-15 2011-05-17 Cfph, Llc Verifying a first device is in communications with a server by storing a value from the first device and accessing the value from a second device
US7942739B2 (en) 2006-11-15 2011-05-17 Cfph, Llc Storing information from a verification device and accessing the information from a gaming device to verify that the gaming device is communicating with a server
US8661520B2 (en) * 2006-11-21 2014-02-25 Rajesh G. Shakkarwar Systems and methods for identification and authentication of a user
US8954745B2 (en) * 2007-04-03 2015-02-10 Alcatel Lucent Method and apparatus for generating one-time passwords
CA2590989C (en) * 2007-06-05 2014-02-11 Diversinet Corp. Protocol and method for client-server mutual authentication using event-based otp
US8868909B2 (en) * 2007-11-19 2014-10-21 Ezmcom, Inc. Method for authenticating a communication channel between a client and a server
US20090172402A1 (en) * 2007-12-31 2009-07-02 Nguyen Tho Tran Multi-factor authentication and certification system for electronic transactions
US8402522B1 (en) 2008-04-17 2013-03-19 Morgan Stanley System and method for managing services and jobs running under production IDs without exposing passwords for the production IDs to humans
US20090327719A1 (en) * 2008-06-27 2009-12-31 Microsoft Corporation Communication authentication
US8516246B2 (en) * 2008-08-07 2013-08-20 Gilat Satellite Networks Ltd. Network binding
US20100051686A1 (en) * 2008-08-29 2010-03-04 Covenant Visions International Limited System and method for authenticating a transaction using a one-time pass code (OTPK)
US9363262B1 (en) * 2008-09-15 2016-06-07 Galileo Processing, Inc. Authentication tokens managed for use with multiple sites
US8327422B1 (en) * 2008-09-26 2012-12-04 Emc Corporation Authenticating a server device using dynamically generated representations
US20100241865A1 (en) * 2009-03-19 2010-09-23 Chunghwa Telecom Co., Ltd One-Time Password System Capable of Defending Against Phishing Attacks
FR2944598B1 (fr) 2009-04-21 2011-06-10 Withings Procede et dispositif de pesage
JP5644509B2 (ja) * 2011-01-04 2014-12-24 株式会社リコー 情報処理装置
US8863257B2 (en) * 2011-03-10 2014-10-14 Red Hat, Inc. Securely connecting virtual machines in a public cloud to corporate resource
US9659164B2 (en) * 2011-08-02 2017-05-23 Qualcomm Incorporated Method and apparatus for using a multi-factor password or a dynamic password for enhanced security on a device
US9292668B1 (en) * 2011-09-01 2016-03-22 Google Inc. Systems and methods for device authentication
FR2993382B1 (fr) * 2012-07-13 2015-07-03 Oberthur Technologies Entite electronique securisee pour l'autorisation d'une transaction
GB2509322A (en) * 2012-12-28 2014-07-02 Securenvoy Plc Time-based two factor authentication
JP6246516B2 (ja) * 2013-07-24 2017-12-13 株式会社メガチップス 情報処理システム
US9232402B2 (en) 2013-11-21 2016-01-05 At&T Intellectual Property I, L.P. System and method for implementing a two-person access rule using mobile devices
US10853802B2 (en) * 2014-01-13 2020-12-01 uQontrol, Inc. Data storage key for secure online transactions
US11392927B2 (en) * 2014-01-13 2022-07-19 uQontrol, Inc. Multi-function data key
US9391982B1 (en) 2014-02-27 2016-07-12 Cullen/Frost Bankers, Inc. Network authentication of multiple profile accesses from a single remote device
US9641641B1 (en) * 2014-04-21 2017-05-02 Google Inc. Temporal adjustment of identifiers
US11398915B2 (en) * 2016-08-26 2022-07-26 Samsung Electronics Co., Ltd. Apparatus and method for two-way authentication
US10110568B2 (en) * 2016-02-03 2018-10-23 Dell Products, Lp Keyless access to laptop
CN109906639A (zh) * 2016-11-03 2019-06-18 交互数字专利控股公司 用于唤醒无线电的有效功率节省的方法
CN107100485A (zh) * 2017-05-03 2017-08-29 宁波青大智能安防科技有限公司 一种智联保险箱及其控制方法
US10318957B2 (en) 2017-10-23 2019-06-11 Capital One Services, Llc Customer identification verification process
US10218695B1 (en) 2018-03-27 2019-02-26 Capital One Services, Llc Systems and methods for providing credentialless login using a random one-time passcode
CN112448834B (zh) * 2019-09-02 2023-03-24 浙江宇视科技有限公司 一种设备配置安全下发防篡改方法和系统
CN115174229B (zh) * 2022-07-08 2024-02-27 医利捷(上海)信息科技有限公司 一种业务认证方法、系统和电子设备

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6226383B1 (en) * 1996-04-17 2001-05-01 Integrity Sciences, Inc. Cryptographic methods for remote authentication
US6023708A (en) * 1997-05-29 2000-02-08 Visto Corporation System and method for using a global translator to synchronize workspace elements across a network
US6085192A (en) * 1997-04-11 2000-07-04 Roampage, Inc. System and method for securely synchronizing multiple copies of a workspace element in a network
US6708221B1 (en) * 1996-12-13 2004-03-16 Visto Corporation System and method for globally and securely accessing unified information in a computer network
US6292896B1 (en) * 1997-01-22 2001-09-18 International Business Machines Corporation Method and apparatus for entity authentication and session key generation
US6105133A (en) * 1997-03-10 2000-08-15 The Pacid Group Bilateral authentication and encryption system
US6766454B1 (en) * 1997-04-08 2004-07-20 Visto Corporation System and method for using an authentication applet to identify and authenticate a user in a computer network
US5961590A (en) * 1997-04-11 1999-10-05 Roampage, Inc. System and method for synchronizing electronic mail between a client site and a central site
US7290288B2 (en) * 1997-06-11 2007-10-30 Prism Technologies, L.L.C. Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network
US6151606A (en) * 1998-01-16 2000-11-21 Visto Corporation System and method for using a workspace data manager to access, manipulate and synchronize network data
US6161185A (en) * 1998-03-06 2000-12-12 Mci Communications Corporation Personal authentication system and method for multiple computer platform
US6233341B1 (en) * 1998-05-19 2001-05-15 Visto Corporation System and method for installing and using a temporary certificate at a remote site
US20020002678A1 (en) * 1998-08-14 2002-01-03 Stanley T. Chow Internet authentication technology
US6131096A (en) * 1998-10-05 2000-10-10 Visto Corporation System and method for updating a remote database in a network
JP2002528801A (ja) * 1998-10-16 2002-09-03 リモート モービル セキュリティ アクセス リミテッド リモートアクセスおよびセキュリティシステム
US6826616B2 (en) * 1998-10-30 2004-11-30 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network
GB2400962B (en) * 2001-05-02 2004-12-29 Virtual Access Ltd Secure payment method and system
US7114178B2 (en) * 2001-05-22 2006-09-26 Ericsson Inc. Security system
US7421733B2 (en) * 2002-02-06 2008-09-02 Hewlett-Packard Development Company, L.P. System and method for providing multi-class processing of login requests
US6980081B2 (en) * 2002-05-10 2005-12-27 Hewlett-Packard Development Company, L.P. System and method for user authentication
US7581100B2 (en) * 2003-09-02 2009-08-25 Authernative, Inc. Key generation method for communication session encryption and authentication system
US7886345B2 (en) * 2004-07-02 2011-02-08 Emc Corporation Password-protection module

Also Published As

Publication number Publication date
US20070220253A1 (en) 2007-09-20
EP1994487A2 (en) 2008-11-26
WO2007106679A2 (en) 2007-09-20
WO2007106679A3 (en) 2007-11-01

Similar Documents

Publication Publication Date Title
TW200810465A (en) Mutual authentication between two parties using two consecutive one-time passwords
JP4235676B2 (ja) 認証システム及び認証方法
US8209744B2 (en) Mobile device assisted secure computer network communication
TW200818838A (en) Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords
TWI436627B (zh) 使用瀏覽器認證線上交易的方法
JP5345675B2 (ja) トークンとベリファイアとの間の認証のためのネットワーク・ヘルパー
JP4617763B2 (ja) 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム
US8132020B2 (en) System and method for user authentication with exposed and hidden keys
TW201914256A (zh) 一種身份驗證方法、裝置及電子設備
US20120284506A1 (en) Methods and apparatus for preventing crimeware attacks
CN108243176B (zh) 数据传输方法和装置
US20160381001A1 (en) Method and apparatus for identity authentication between systems
JP2015528149A (ja) 企業トリガ式2chk関連付けの起動
GB2434724A (en) Secure transactions using authentication tokens based on a device "fingerprint" derived from its physical parameters
CN107920052B (zh) 一种加密方法及智能装置
CN106464493B (zh) 包含一次性通行码的持久性认证系统
JP4698751B2 (ja) アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
US20110162053A1 (en) Service assisted secret provisioning
JP6240102B2 (ja) 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム
KR100750214B1 (ko) 공인 인증서를 이용한 로그인 방법
WO2017029708A1 (ja) 個人認証システム
US20220286289A1 (en) Username-less and password-less one-time identification and authentication code method and system
JP2004295761A (ja) 端末装置及び情報処理装置
TWI745026B (zh) 認證系統及其方法
Xu et al. Qrtoken: Unifying authentication framework to protect user online identity