TW200952439A - Method and system for on-screen authentication using secret visual message - Google Patents

Method and system for on-screen authentication using secret visual message Download PDF

Info

Publication number
TW200952439A
TW200952439A TW098114778A TW98114778A TW200952439A TW 200952439 A TW200952439 A TW 200952439A TW 098114778 A TW098114778 A TW 098114778A TW 98114778 A TW98114778 A TW 98114778A TW 200952439 A TW200952439 A TW 200952439A
Authority
TW
Taiwan
Prior art keywords
user
display screen
response
key
information
Prior art date
Application number
TW098114778A
Other languages
English (en)
Other versions
TWI486045B (zh
Inventor
Weng Sing Tang
Pern Chern Lee
Arief Nuradi
Original Assignee
Radiantrust Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from SG200803412-6A external-priority patent/SG142401A1/en
Priority claimed from SG200805166-6A external-priority patent/SG156558A1/en
Application filed by Radiantrust Pte Ltd filed Critical Radiantrust Pte Ltd
Publication of TW200952439A publication Critical patent/TW200952439A/zh
Application granted granted Critical
Publication of TWI486045B publication Critical patent/TWI486045B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C5/00Ciphering apparatus or methods not provided for in the preceding groups, e.g. involving the concealment or deformation of graphic data such as designs, written or printed messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Digital Computer Display Output (AREA)

Description

200952439 六、發明說明: 【發明所屬之技術領域】 本發明通常係關於安夺B ^ 目的之一人物身份的認證或驗 證’並且更特別係關於~藉田认冰m 種用於使用一機密視覺信息之螢 幕上認證的方法。 【先前技術】 -認證因素係安全目的而被用來認證或驗證一人物之 身份。雙因素認證係使用兩個不同因素來認證該人物。使 用兩個因素而不是一個係读丨_妒古U τ 货連到較南水平的認證保障。使 用超過一個因素係被稱為強力認證。 目前,雙因素認證係能以下列數種方式所達成: υ生物特徵辨識一使用一人物之特有自然特徵作為— 認證因素。該生物特徵辨識認證之主要缺點係終端使用者 的影隱私議題。一終端使用者對於允許銀行以及經銷商捕 捉其生物特徵辨識資料(諸如一視網膜掃描與指 係不願意並且感到不舒服。 2 )安全性符記一智慧卡、通用序列匯流排符記、動熊 密碼(OTP )符記係為實例。該動態密碼符記係具有顯示帶 有6個或更多字母數字字元之一偽隨機數字的—液晶顯示 (LCD )螢幕(其係取決於供應商以及模型之數字咬字母與 數字的組合)。該偽隨機數字係以通常每60秒> 、 人 < 預定 時間區間進行改變,但是係亦能以其它時間區間或在〜 用者事件之後(諸如該使用者按壓該符記上之—按紐)、 200952439 ::變。在-預定時間區間之後改變該偽隨機數字的符記 二‘、' 為寺間’’而在一使用者事件之後改變該偽隨機數 子的付a己係為稱為序列㉟(因為區間數值係目前使用者事 件之序號’亦即:1、2、3、4蓉莖、j, 、 Z 3 寺專)。當該偽隨機數字合 併於一個人識別碼(ρι>η或密讲(拉 ^ ^ l ^ J 3在碼時,所生成通行代碼係具 有雙因素的認證(―個來自該個人識別碼/密碼,另一個則 來自該動態密碼符記)。混合式符記係組合該等智慧卡、 〇 ❹ 通用序列匯流排符記、以及動態密碼符記的機能。 3 )行動電話—雙因素過證卫具係使用簡訊服務(SMS ) 通信或-互動電話通話而將該使用者之行動電話轉變成為 一符記裝置。該行動電話係變為_雙因素、雙通道認證機 制的一部分。然而,該簡訊服務符記裝置係具有一些操作 問題以及限制,例如:經由行動電話之一簡訊服務動態密 碼可能係因為取決於行動電話之供應商而無法適當地運 作,並且該簡訊服務動態密碼係可引起電話帳單的增加。 然而’雙因素s忍證係因為其成本效應而不普遍。加入 第二認證音數係增加實施以及維持成本,大部分的雙因素 認證系統係裝有的’並且目前係按照使用者來改變美金$ 〇 到100的年費。此外,在大型產業(諸如銀行業務)中或 甚至於大型企業内之硬體符記部署保險係需要受到管 ~ 再者,具有簡訊服務符記裝置之終端使用者係^面^個 問題,諸如當一符記裝置被忘記、錯置、損璁、杳 投、遭失或類 似行為時。以簡訊服務通信之另外操作限制係當—彳吏用 可能無法在海外接收一簡訊服務信息時而出現。 5 200952439 因此’係存有一種管理雙因素認證的需要,其中要方 便使用、需要相對低的操作成本、抵抗釣魚網站及類似的 攻擊。 【發明内容】 本發明一觀點係一種認證一使用者之方法,其係包 括.提供一使用者金鑰至一認證權限機構;自該認證權限 機構提供一傳輸信息以響應該使用者金鑰;使用該傳輸信 息來提供一機密信息;使用一顯示螢幕來將該機密信息顯 不至該使用者;以及提供一使用者回應至該認證權限機構 以響應觀察該機密信息的使用者。 該機密信息係能為一偽隨機字母數字代碼,並且係能 為一(m,n)臨界值機密分享方案之一部分,其中^係需 要恢復一機密之組成部分的數目,而n係組成部分總數目。 該顯不螢幕係能為一平面顯示螢幕、一液晶顯示螢 幕、及/或一行動電話螢幕。 該使用者回應係能為該機密信息。 該認證權限機構係能提供該使用者金鑰至該使用者。 此外°亥s忍磴權限機構係能使用網際網路來提供該傳輸信 息至該使用者,並且該使用者係能使用網際網路來提供該 使用者回應至該認證權限機構。 該方法係能為一雙因素認證方案,其中該使用者金鑰 係為第一因素、而該使用者回應係為第二因素。 本發明一觀點係一種認證一使用者之方法,其係包 200952439 括:從-認證權限機構提供一視覺覆叠 鑰至該認證權限播 提供一使用者金 m ^ 堝構提供一背景信息 響應該使用者金鑰;將該背景信 上,同眭吁钼座 、顯不在—顯示螢幕 门時忒視覺覆疊係被定位在、斜 n &隹 w徘列於、且依附至 :二頁不螢幕上;使用該視覺覆_背景信息而將一機密 5心顯不至該使用纟;以及提供一使用者回應至該認證權 限機構以響應觀察該機密信息的使用者。 ❹
該視覺覆疊係能包含諸如一偽隨機視覺矩陣模式之一 視覺矩陣模式。該視覺覆疊係亦能包含一透明媒體,其中 該視覺矩陣模式係不透明的、並且該視覺矩陣模式係被印 刷在該透明媒體上。該認證權限機構係能將該視覺矩陣模 式印刷在該透明媒體上;另或者,該使用者係能將該視覺 矩陣模式印刷在該透明媒體上。 該視覺覆疊係能允許該使用者觀察該顯示螢幕之一第 一挑選部分、而不允許該使用者觀察該顯示螢幕之一第二 挑選部分。此外,該顯示螢幕之第一挑選部分係能將該機 密信息顯示於該背景信息内、該顯示螢幕之第一挑選部分 係能為該顯示螢幕之第二挑選部分内的一視窗、該視覺覆 疊係能允許該使用者觀察該顯示螢幕之一第二挑選部分、 並且該使用者係能將該使用者回應輸入該顯示螢幕之第三 挑選部分。 該視覺覆疊係能為一(m,n)臨界值機密分享方案之一 部分,其中m係需要恢復一機密之組成部分的數目,而η 係組成部分總數目。此外,該視覺覆疊係能具有與該顯示 200952439 螢幕大致上相同的尺寸。 該使用者回應係能為該機密信息。 該認證權限機構係能提供該使用者金鑰至該使用者, 並且提供該視覺覆疊至該使用者以響應來自該使用者的使 用者金鑰。此外,該認證權限機構係能使用網際網路來提 供該背景信息至該使用者,並且該使用者係能使用網際網 路來提供該使用者回應至該認證權限機構。 該方法係能為一雙因素認證方案,其中該使用者金鑰 係為第一因素、而該使用者回應係為第二因素。 本發明一觀點係一種認證一使用者之方法,其係包 括:從一認證權限機構提供一使用者金鑰至該使用者;接 著自該使用者第一次提供該使用者金鑰至該認證權限機 構;從該認證權限機構提供一視覺覆疊至該使用者,以響 應該第一次所提供之使用者金鑰;接著自該使用者第二次 提供該使用者金鑰至該認證權限機構;從該認證權限機構 提供一背景信息至該使用者,以響應該第二次所提供之使 用者金鑰;將該背景信息顯示在面對該使用者之一顯示螢 幕上,同時該視覺覆疊係被定位在、對齊排列於、且依附 至該顯示螢幕上;使用該視覺覆疊與該背景信息而將一機 密信息顯示至該使用者;以及接著從該使用者提供一使用 者回應至該認證權限機構,以響應觀察該機密信息的使用 者。 S玄編碼信息係能被顯示在該顯示榮幕上並且提示該使 用者對該編碼信息進行解碼,以及該編碼信息係能經解碼 200952439 以響應該使用者。 該機密信息係能為一(m, η )臨界值機密分享方案之一 部分,其中m係需要恢復一機密之組成部分的數目,而幻 係組成部分總數目。 該使用者回應係能為該機密信息。 該認證權限機構係能提供該使用者金鑰至該使用者。 此外,該認證權限機構係能使用網際網路來提供該編碼俨 息至该使用者,並且該使用者係能使用網際網路來提供該 使用者回應至該認證權限機構。 該方法係能為一雙因素認證方案,其中該使用者金鑰 係為第一因素、而該使用者回應係為第二因素。 本發明一觀點係一種認證一使用者之方法,其係包 括:提供一使用者金鑰至一認證權限機構;於該認證權限 機構處編碼一機密信息以響應該使用者金鑰,藉此提供— 編碼信息;從該認證權限機構提供該編碼信息以響應該使 用者金鑰;解碼該編碼信息,藉此提供該機密信息;在— 顯示螢幕上將該機密信息顯示至該使用者以響應解碼該編 碼信息;以及提供一使用者回應至該認證權限機構以響應 觀察該顯示螢幕上之機密信息的使用者。 本發明一觀點係一種認證一使用者之方法,其係包 括:從一認證權限機構提供一使用者金鑰至該使用者;接 著從該使用者提供該使用者金鑰至該認證權限機構;於該 認證權限機構處編碼一機密信息以響應該使用者金鑰,藉 此提供一編碼信息;從該認證權限機構提供該編碼信息至 200952439 "亥使用者以響應來自該使用者之使用者金鑰;將該編碼信 息顯示在一顯示螢幕上,藉此提示該使用者對該編碼信息 進行解碼;解碼該編碼信息以響應觀察該顯示螢幕上之編 碼信息的使用者,藉此提供該機密信息;在一顯示螢幕上 顯示》亥機後彳s息以響應解石馬該編碼信息;以及從該使用者 提供一使用者回應至該認證權限機構以響應觀察該顯示螢 幕上之機密信息的使用者。 本發明一觀點係一種認證一使用者之方法,其係包
括:提供一使用者金鑰至一認證權限機構;自該認證權限 機構提供—傳輸信息以響應該使用者金輪;使用該傳輸信 息來提供一機密信息η吏用一顯示螢幕來將該機密信息顯 示至該使用〇以及提供-使用纟回應至該認證權限機 構’以響應藉由使用具有解密金錄之〜行動電話來觀察經 加密機密信息的使用者。 本發明一觀點係一種認證一使用者之方法,其係《 括:從一認證權限機構提供一私人金鑰;提供一使用者4 ❹ 鑰至該認證權限機構;從該認證權限機構提供一背景信丨 以響應該使用者金鑰該背景信息顯示在一顯示螢$ 上’同時具有該使用者之私人金鑰的行動電話係被用來· 捉該顯示螢幕上的背景信息;使用含有該私人金鑰與該, 景信息之行動電話而將一機密信息顯示至該使用者;以石 提供-使用者回應至該認Μ限機構以響減察該機密七 息的使用者。 其係包 本發明一觀點係一種認證一使用者之方法 10 200952439 括:從一認證權限機構提供一使用者金鑰至該使用者;接 著自該使用者第一次提供該使用者金鑰至該認證權限機 構;從該認證權限機構提供一私人金鑰至該使用者,以響 應該第一次所提供之使用者金鑰;接著自該使用者第二次 提供該使用者金鑰至該認證權限機構;從該認證權限機構 提供一背景信息至該使用者,以響應該第二次所提供之使 用者金鑰;將該背景信息顯示在面對該使用者之一顯示螢 幕上’同時一行動電話係被定位在、對齊排列於、且捕捉 ® 該顯示螢幕上之條碼;使用該行動電話而將一機密信息顯 示至該使用者;以及接著從該使用者提供一使用者回應至 該認證權限機構,以響應觀察該機密信息的使用者。 【實施方式】 本發明多個實施列係提出一種有成本效益並且容易使 用封閉式螢幕上認證方法來管理雙因素認證的方法以及系 ❹ 統,其中該「符記」基本上係使用一般印刷元件所印刷在 一般透明紙張上的一偽隨機視覺矩陣模式。圖1至3所顯 不係依據本發明一實施例中說明註冊舆金鑰發佈過程(圖 1)、使用者登入過程(圖2)、以及密碼重設過程(圖” 的方塊圖。本發明一實施例係不同於典型符記解決方案之 一技術’其係因為能被使用於安全的多方登入。本發明另 一實施例係一行動電話型之應用。 機密分享方案在密碼學上係—充份研究的領域,其係 由 Nor,M.以及 Shamir,A.於 In: LNCS, ν〇ι 95〇 11 200952439
Springer-Verlagpp. !_12的「視覺密碼學」中所提出其係 以引用方式納入本文中。在一些情形中,豸常係存有一個 提供許多重要檔案之存取的機密金鑰。假如失去此機密金 餘(例如:知道該機密金餘無法取用之人#、或者是儲存 該機密金錄之電腦受到損壞),則無法對所有的重要槽案 進行存取。機密分享上之基本理念係將該機密錢㈣成 數個片斷並且將該等片冑發佈至不同人#,以至於某些子 集合之人物係能一起恢復該機密金餘。 機密分享之一般模型係被稱為整數1、 以及 之
m-out-of_n方案(或(m,n)臨界值方案)。在該方案中, 發送者(或業者)以及n個參與者。該發送者將機 密分割成η _分並且係給予每個參與者一個部分,以至 於任何m個部分係能被組合—起以恢復該機密,但是任何 H個部分係、不顯露關於機密的資訊。該等片斷通常係被 =刀享或陰影。對於m以及η之數值的不同抉擇係反應 女全性與可靠度之間的權衡輕重。假如最多爪―“固參與者 (内部人士)在猜測該機密上不具有超過外部人士:優 槿j冑密刀享方案係完美的。因此在-單方面的認證 障=’該機密分享方案係一 (2,2)臨界值方案。實際上, 密係能為任何顏色的影像,其係含有來自任何語言 2竹圖形或字7°。此機密在使用者登人期間係將需要被 作為一第二因素認證。 隨 線管、 者在像是液晶顯示器、電漿電視、平面螢幕陰極射 並且甚至是行動裝置之平面螢幕顯示裝置上的成本 12 200952439 變成更有說服力之項目。 可例如藉由視覺代碼覆疊、行動 而包含用於有效並且安全雙因素 处、—實施例中,所提出藉由該視覺代碼覆疊之方案係 ^進仃敘述.⑴註冊與金鑰發佈至多使 ^上使用者登入;以及(3 )密碼重設。 ❹
降低,機密分享方案係將 本發明多個實施例係 符記認證、或類似認證, 認證之不同方案。 =1Α中所示之階段i,用於線上資源之權限機構Η 、(例如提供網路銀行業務服務之一銀行)t先係需要註冊 以及發佈-分早給—使用者12之隨機金鑰。包含權限機構 Η之伺服H 15係以虛線方塊顯示,然而將要理解的是:如 權限機構系統14、視覺金鑰產生器16、以及資料庫Μ所 示之構件係可採取不同組態m㈣件係可位於遠 端或彼此分開。典型地,該使用者係提供諸如身分、密碼、 以及類似者之註冊資訊10a,並且係將被給予所生成之一使 用者身分以及該視覺金鑰產生器16所生成之密碼,並且最 重要的是:該機密金鑰分享係被印刷在一透明'實體媒體 (透明物件)24上。該視覺金鑰8係被產生〇〇b),並且 藉著該視覺金鑰產生器16係將所儲存身分、密碼、s等等 儲存(l〇c)在該資料庫18中。此視覺金鑰係能透過註冊郵 件或甚至是用於自行列印之電子形式而被發送〇〇d)至該 使用者。該權限機構係將保持所有使用者資訊(使用者身 刀I密碼丨金鑰分享)之一資料庫18。圖⑺係具有權限機構 系統模組14之一伺服器15的一方塊圖,其係能被使用在 13 200952439 依據本發明-實施列的系統中。該伺服器15係具有一處理 器u、e己憶H 13、資料庫18、介面17、視覺金錄產生器 16 '以及類似元件。將要理解的(:該伺服器中所示之多 個構件係為說明目@ ’並且係可採取不同的配置以及組 態,例如,諸如資料庫等等之構件係可分開地定位及/或位 於該祠服器之遠端。 如圖2A之系統10中所示的階段2,當一使用者12嘗 試存取線上資源時,該權限機構14係將對該使用者提示 (l〇e )使用者身分以及密碼。—旦此資訊經驗證為正確, 基於將在螢幕20上被顯示(10h) & s之一機密信息以及 使用者金鑰分享,該系統係將自該權限機構14產生一偽隨 機分享s,以至於當該使用者將其在螢幕22上自行持有之 視覺符記覆疊(10h、1〇i)在其電腦2〇之機密信息上(在 S的上面)時,該機密信息係將被顯露。該資料庫1 8係被 查詢以擷取視覺金錄分$ s。t玄使用I接著係需要鍵入此機 密訊息並且假如為正確,則該使用者係得以存取該線上資 源。對於多方登入來說,至少n個使用者在能進行登入之❹ 前係需要將其金鑰分享呈現至覆疊24並且顯露該機密信 息。圖2Β係能被使用在依據本發明一實施列之系統中的一 電腦20之一方塊圖。該„ 2〇係說明性並且係可包含一 處理器23、記憶體25、以及介面27’以用於互連與通訊於 該系統之其它構件、顯示器22與輸入件21(諸如一鍵盤或 小鍵盤)。 如圖3所示的階段3,如果發生終端使用者洩露或遺失 14 200952439 金鑰符記,則該終端使用者係能輕易地以該權限機構進行 密碼重設。基本上,終端使用者12係將註冊(l〇j)於該權 限機構並且要求一新符記。該權限機構系統14係將處理此 請求,並且係藉該視覺金鑰產生器16來重新產生(i〇k) -新視覺金餘,以及對該資料庫18中之使用者身分丨密^ 金餘分享登錄項進行更新(間。該新視覺金鑰係能方便 地經由㈣郵件、電子郵件等等而被發佈(iGm)至該終端 使用者。 5 自於顯示裝置在該使用者終端處之變化,所以該级端 使用者在認證㈣將透鏡0ens)靠著該顯示螢幕對齊並且 覆疊來正確顯示該機密信息可能係困難的。爲應付前述問 題本發明-實施例係包含數個針對輕鬆進行榮幕上認證 所提出的技術,如下: 技術1.對於終端使用者為輕易可調整的螢幕上透鏡尺 寸。 .技術2:機密信息結構中的冗餘。 技術3 .動態的螢幕尺寸匹配程式。 技術4:預先列印之多重尺寸的透鏡金鑰(lens key)。 〜:由將4等透鏡金鑰作為—符記,係有數個超越傳統 付C解決方案之優勢,如下: U每個透鏡金鑰之成本遠少於一自然符記。 2)透鏡金鑰係能輕易地被發佈至該終端使用者以用於 自行列印。 3 )假如該等透鏡金餘發生任㈣露,則-更換金鍮係 15 200952439 輕易地被產生並且發佈至受 又則衫響的終端使用者。 實施例中,所提出藉由行動符記認證之方案係能 以多個主要階段推 > 、+..,、 灯敛述.1)使用者註冊與行動金鑰發 佈、2使用者登入與認證)、 ) 乂及3)行動金錄重設。圖4 至1 〇係提供具有一相似過程之并么々々 1❿程之仃動符記認證的另一實施 例。圖4之系統5〇所示包 3權限機構54之一伺服器係由 虛線方塊所顯示,舞而將i柿β 然而將要理解的是:#限機構系統54、 行動金錄產生器56、以及資 _ _ 叶單5 8所不之多個構件係可具 ❹ 有不同組態,例如:該等構件係可位於遠端或彼此分開。 依此方式,使用者52係將諸如身份、密碼、行動號碼、以 及類似者之註冊資訊接供 貝汛杈供(55a)至該權限機構系統54。該 行動金鎗產生器56係建立(5〇b)行動金錄K。該註冊資訊 以及該行動金餘以系被儲存(5〇c)在資料庫中。該行動金 矯K接著經由該權限機媒& & ^ 機構系統54而返回(5〇d )以被儲存 在該使用者52之行動電話中。圖4B係在依據本發明一實 施例中之系統所能使用的一行動電話62之一方塊圖。所示 〇 之行動電話62係為說明性並且係可包括一處理器1〇2、記 憶體104、以及一介面1〇6與通訊模組,以用於互動與相互 通訊於該系統之其它構件、顯示器80、輸入件92 (諸如一 照相機)、輸人件94(諸如—鍵盤或小鍵盤)、與其它類 似構件。 爲了將該行動金鑰安全地傳送(經由簡訊服務、通用 封包無線電服務(GPRS) '或輸送通訊協定之任何形式), 該行動金鑰在傳輸之前係先將被解密。該解密作業係經由 16 200952439 一對稱金鑰演算法或基於公用金錄基礎架構(pUblic key infrastructure,PKI )之金鑰對而完成。當使用一公用金錄 基礎建設系統,視覺代碼中所内截的内容係可使用該權限 機構系統54之公用金錄以及私人金錄進行加密與數位簽 章。依此方式,服務供應商以及服務請求者之一雙向驗證 安全上係被確立,藉此增加整個系統的安全性。 相似地,所產生之行動金鑰係能基於一對稱金鑰演算 法或基於公用金鑰基礎建設之金鑰對。 假如其中該使用者52需要認證於超過一個權限機構系 統54的情況,則該使用者52之行動電話上所安裝的相同 行動應用程式係能被使用。在此情況中,對該等權限機構 系統中各者為特有之多重行動金鑰係將安全地被儲存在該 行動電話上。該行動金鑰產生器56係建立新的行動金錄κ。 圖5中所示之系統50係顯示具有該資料庫58之權限 機構系統54以及隨機機密集與視覺代碼產生器7〇,其係具 多有隨機機密集產生器模組72、加密模組74、與用於產生視 覺代碼V 82之視覺代碼產生器76。該使用者52係經由一 電腦60而以身份、密碼、以及類似者進行登入(5〇e ),並 且該資料庫58係被查詢(50f)以擷取該行動金鑰κ,其中 如圖5所示該機密信息^係被產生(5〇g)且以〖進行加密 來產生E。經編碼E係被產生(5〇h、5〇i)到該視覺代碼v 82内。§玄視覺代碼v係被顯示在該電腦6〇之螢幕上, 並且該使用者52係使用一行動裝置62來捕捉以及解碼該 該視覺代碼V,以將行動裝置視覺代碼84顯示(5〇j)在= 17 200952439 行動裝置62之顯示器上、並且將密碼86顯示(50j )在該 顯示器上。該使用者52係使用(5 0K )經解碼密碼來進行 登入。 圖6係顯示該系統5 0之行動金錄重設過程之流程圖。 遠使用者52係要求(501) —行動金鑰重設。該權限機構系 統54係建立(50m )新的一行動金鑰K。諸如身份、密碼、 仃動號碼、K、以及類似者之儲存身份與其它資訊係被儲存 (5〇n )在該資料庫58中。該新的行動金鑰κ係經由該權 限機構系統54而返回(50〇)以被儲存在該使用者的行動 ❹ 電話中。 視覺透鏡或使用者覆疊24對比自然符記係相對容易 地’並且將要被理解的是:該視覺透鏡係更有成本效益。 本發明一實施例係能使用於針對具有下述重要特徵之 凊節的認證方法:交叉下單(cr〇ss-order )以及大量認證。 本發明多個實施例中關於雙因素認證之市場區隔及/或 應用係可包含:企業應用,諸如安全遠端存取、企業認證、 止業對企業(B2B )交易、或類似者;消費應用諸如線上 ◎ 銀行業務、電子商務、網際網路服務供應商(ISp)、或類 似者,政府應用,諸如共同認證、或類似者。 , 本發明—實施例係不同於典型符記解決方案之一技 術,其係因為能被使用於安全登入。 在一實施例中,公用金鑰密碼系統係一種用於雙方面 之間的機密通訊所使用的方法’而不需要一開始的機密金 交 4A ^ y_ 俠。该么用金鑰密碼系統係亦被使用於建立數位簽 18 200952439 章。該公用 傳輸。 金鑰密碼系統係致能網際網路上之安全的資訊 , ™ .金鑰密蝎系統係亦被稱為非對稱金鑰密碼系 n:來加密—信息之金鑰不同於用來解密該信息之 金鑰.一 I用金鑰密碼系統中,一使用者係具有一對密碼 密,而,:用金鍮以及—私人金瑜。該私人金鑰係保持機 η A用金鑰係可廣泛地發佈。多條信息係以接受者 2:用金鑰予以加密’並且係僅能相對應的私人金鑰加以 4該對密碼金鑰數學上係相關的,但是該私人金鑰係 無法切實地(亦即:在實際或預計的實行上)自該公用金 鑰推導出。 —對稱密碼系統係將一單一機密金錄使用於加密以及解 '、^爲使用一對稱密碼系統方案,發送者以及接收者 事=係必須分享一金鑰。因為該對稱密碼系統之計算性較 不:集並且需要較少的頻寬,所以使用一金鑰交換演算法 ❹纟交換-金鑰而且使用—編密方案來傳送資料係常見的。 圖7係說明一啟動過程110之一方塊圖,其中一私人 金鑰係被產生並且安全地發佈至該終端使用者52之行動電 話62 ^該啟動過程11〇係涉及從網站下載(經過簽 章的Midlet應用程式,並且產生(n〇b) 一對金鑰。以帶 外(out of band)方式所接收來對所產生的公用金鑰進行加 密之通行碼係被輸入(110c),其中該帶外(〇ut〇fband) 方式係取決於銀行 '其它組織、以及類似者而有彈性,儘 管例如ATM為使用者登入來自行註冊或系統自動地產生。 200952439 所加密公用金鑰係經由通用封包無線電服務簡訊服務、 或類似服務而被註冊(110d)於組織中。該系統係驗證使 用者身分並且經過解密以取得該使用者之所產生的公用金 鑰,其係將被儲存(l10e)在該系統的儲存庫中。 圖8係說明依據本發明一實施例之—使用者登入過程 120的一方塊圖。該認證過程係涉及該終端使用者52藉著 登入或註冊資訊來登入(120a)系統(例如:該伺服器55)。 所加密的動態密碼係例如以2維條碼格式所產生(i2〇b)。 該系統使用該終端使用者52在其中所註冊之公用錄進行 加街。具有影像捕捉裝置(諸如該行動電話62上之照相機 94 )之使用者係對該2維條碼進行快照(丨2〇c )以獲取由該 使用者之公用金鑰所加密的動態密碼。該終端使用者5 2係 例如將該動態密碼以及密碼輸入(I〇2d )網頁_,並且成 功地登入(12〇e)。 圖9係說明依據本發明一實施例中一行動金鑰更換過 程13〇之—方塊圖。該終端使用者52係要求(130a )新的 通行碼,並且新的一對金鑰係被產生(13〇b)。該通行碼 〇 係被輸入(1 3〇c )以加密並且產生公用金鑰。經加密金鑰係 例如經由通用封包無線電服務、簡訊服務、或類似服務而 被注冊(130d )於多個組織。該系統係驗證該使用者身份 並且進行解密,以取得該使用者所產生的公用金鑰,而且 接著儲存(13〇e)在該系統之儲存庫中。 圖1 〇係說明依據本發明一實施例中一行動金鑰撤銷或 電法遺失過程140之一方塊圖。該終端使用者52係通知 20 200952439 (140a)管理員142。在另一實施例中,該終端使用者52 係使用諸如自動櫃員機(ATM )之其它裝置進行撤銷 (140b )。該等金鑰係由系統55所撤銷(140c ),並且更 換係被取消。在一實施例中,僅有預先註冊係被允許的。 該終端使用者32係重複(140d )註冊過程以註冊新的金錄。 儘管本發明多個實施例已經經過敘述並且說明,然而 將理解到熟習該項技術人士所關心的是:眾多變化例或修 改例在設計或結構細節上係可進行而沒有悖離本發明。 0 【圖式簡單說明】 爲了使本發明多個實施例可以經由多個非限制性實例 而凡整且更清楚地彳于到理解,上述說明係配合後附圖式進 行敘述,其中等同的參考元件符號係指定類似或對應的元 件、區域、與部分,並且其令: 圖1A係說明依據本發明一實施例中一註冊以及金鑰發 _ 佈過程的一方塊圖; 圖1B係說明依據本發明—實施例中本系統所能使用之 具有權限機構系統的一伺服器之一方塊圖; 圖2A係說明依據本發明—實施例中—使用者登陸過程 之一方塊圖; 圖2B係說明依據本發明—實施例中本系統所能使用之 一電腦的一方塊圖; 圖3說明依據本發明 ^ . , r ^ 赞明實施例中一密碼重設過程的一 方塊圖, 21 200952439 圖4A係說明依據本發明一實施例中一註冊以及行動金 瑜發佈過程的一方塊圖; 圖4B係依據本發明一實施例中本系統所能使用之一行 動電話的一方塊圖; 圖5係說明依據本發明一實施例中一使用者登陸過程 之一方塊圖; 圖6係說明依據本發明一實施例中之一金输重設過程; /圖7係說明一啟動過程之一方塊圖,其中一私人金输
係被產生並且被安全地發佈至終端使用者的行動電話; 圖8係說明依據本發明一實施例中一使用者登陸過程 之一方塊圖; 圖9係說明依據本發明一 程之一方塊圖; 實施例中一行動金錄更換過 一行動金鑰撤銷過 圖1 〇係說明依據本發明一實施例中 程之一方塊圖。 【主要元件符號說明 10, 5〇 10a - i〇d 10e- i〇i I 〇j ~ l〇m II 23,i〇2 12, 52 13, 25,l〇4 系統 §主冊與金餘發佈過程 使用者登入過程 密碼重設過程 處理器 (终端)使用者 記憶體
22 200952439
14 權限機構系統模組 15, 55 伺服器 16 視覺金輪產生器 17, 27,106 介面 18, 58 資料庫 20, 60 電腦 21, 92 輸入件 22, 80 螢幕/顯示器 24 透明時實體媒體/覆疊 50b, 50c, 55a, 55d 5主冊與行動金鑰發佈過程 50e, 50g - 50k, 55f 使用者登入過程 501 - 50m 行動金鑰過程 54 權限機構系統 56 行動金瑜產生器 62 行動(裝置)電話 70 隨機機密集與視覺代碼產生器 72 機密集產生器模組 74 加密模組 76 視覺代碼產生器模組 82 視覺代碼V 84 行動裝置視覺代碼 86 密碼 94 照相機/輸入件 110 (110a - 1lOe) 啟動過程 23 200952439 120 (120a - 120e) 使用者登入過程 130 (130a - 130e) 行動金鑰更換過程 140 (140a - 140d) 行動金鑰撤銷或電話遺失過程 142 管理員 144 自動櫃員機

Claims (1)

  1. 200952439 七、申請專利範圍: 1. 一種認證一使用者之方法,其係包括: 提供一使用者金鑰至一認證權限機構; 自該認證權限機構提供一傳輸信息以響應該使用者金 输; 使用該傳輸信息來提供一機密信息; 使用一顯示螢幕來將該機密信息顯示至該使用者;以 及 © 提供一使用者回應至該認證權限機構以響應觀察該機 密信息的使用者。 2. 如申請專利範圍第1項之方法,其中該機密信息係一 偽隨機字母數字代碼。 3. 如申請專利範圍第1項之方法,其中該機密信息係一 (m,η )臨界值機密分享方案之一部分,m係需要恢復一機 密之組成部分的數目、而η係組成部分總數目。 4. 如申請專利範圍第1項之方法,其中該顯示螢幕係一 〇 平面顯示螢幕。 5. 如申請專利範圍第1項之方法,其中該顯示螢幕係一 液晶顯示螢幕。 6. 如申請專利範圍第1項之方法,其中該顯示螢幕係一 行動電話螢幕。 7. 如申請專利範圍第1項之方法,其中該使用者回應係 該機密信息。 8. 如申請專利範圍第1項之方法,其中該認證權限機構 25 200952439 係提供該使用者金输至該使用者。 9. 如申請專利範圍第1項之方法,其中該認證權限機構 係使用網際網路來提供該傳輸信息至該使用者,並且該使 用者係使用網際網路來提供該使用者回應至該認證權限機 構。 10. 如申請專利範圍第丨項之方法,其中該方法係一雙 因素認證方案,並且其中該使用者金鑰係為第一因素、而 該使用者回應係為第二因素。 11. 一種認證一使用者之方法,其係包括: ◎ 從一認證權限機構提供一視覺覆疊; 提供一使用者金鑰至該認證權限機構; 從該認證權限機構提供一背景信息以響應該使用者金 餘; 將該背景信息顯示在一顯示螢幕上,同時該視覺覆疊 係被定位在、對齊排列於、且依附至該顯示螢幕上; 使用该視覺覆叠與該背景信息而將―機密信息顯示至 該使用者;以及 ❹ 提供一使用者回應至該認證權限機構以響應觀察該機 密信息的使用者。 12. 如申請專利範圍第η項之方法,其中該視覺覆疊係 包含一視覺矩陣模式。 13. 如申請專利範圍第η項之方法’其中該視覺覆疊係 包含一偽隨機視覺矩陣模式。 14·如申”專利範圍第11項之方法’其中該視覺覆疊係 26 200952439 包含一視覺矩陣模式以及一透明媒體,該視覺矩陣模式係 不透明的、並且該視覺矩陣模式係被印刷在該透明媒體上。 15.如申請專利範圍第丨丨項之方法,其申該視覺覆疊係 包含一偽隨機視覺矩陣模式以及一透明媒體,該偽隨機視 覺矩陣模式係不透明的、並且該偽隨機視覺矩陣模式係被 印刷在該透明媒體上。
    16·如申請專利範圍第14項之方法,其中該認證權限機 構係將該視覺矩陣模式印刷在該透明媒體上。 17.如申請專利範圍第14項之方法,其中該使用者係將 邊視覺矩陣模式印刷在該透明媒體上。 18. 如申請專利範圍第16項之方法,其中該認證權限機 構係將該偽隨機視覺矩陣模式印刷在該透明媒體上。 19. 如申請專利範圍第16項之方法,其中該使用者係將 该偽隨機視覺矩陣模式印刷在該透明媒體上。 20.如申請專利範圍第n項之方法,其中該視覺覆疊係 允許該使用者觀察該顯示螢幕之一第—挑選部分、而不允 許該使用者觀察該顯示螢幕之—第二挑選部分,並且該顯 示螢幕之第一挑選部分係將該機密信息顯示於該背景信息 内。 21.如申請專利範圍第2〇項之方法,其中該顯示螢幕之 第一挑選部分係為該顯示螢幕之第二挑選部分内的一視 窗。 22·如申吻專利範圍第2 1項之方法,其中該視覺覆疊係 允許該使用者觀察該顯示螢幕之—第三挑選部分、並且該 27 200952439 使用者係將該使用者回應輸入該顯示螢幕之第三挑選部 分。 23. 如申請專利範圍第丨丨項之方法,其中該視覺覆疊係 一(m,η )臨界值機密分享方案之一部分,m係需要恢復一 機德、之組成部分的數目、而η係組成部分總數目。 24. 如申請專利範圍第η項之方法,其中該視覺覆疊係 具有與該顯示螢幕大致上相同的尺寸。 25. 如申請專利範圍第η項之方法,其中該顯示螢幕係 一平面顯示螢幕。 26. 如申請專利範圍第丨丨項之方法,其中該顯示螢幕係 一液晶顯示螢幕。 27. 如申請專利範圍第u項之方法,其中該使用者回應 係該機密信息。 28. 如申凊專利範圍第i丨項之方法其中該認證權限機 構係提供該使用者金鑰至該使用者,並且該認證權限機構 係提供該視覺覆疊至該使用者以響應來自該使用者的使用 者金餘。 29. 如申請專利範圍第丨〖項之方法,其中該認證權限機 構係使用網際網路來提供該背景信息至該使用者,並且該 使用者係能使用網際網路來提供該使用者回應至該認證權 限機構。 30. 如申請專利範圍第u項之方法,其中該方法係能一 雙因素認證方案,並且其中該使用者金鑰係為第一因素、 而該使用者回應係為第二因素。 200952439 3 1. —種認證一使用者之方法,其係包括: 從一認證權限機構提供一使用者金鑰至該使用者;接 著 自該使用者第一次提供該使用者金鑰至該認證權限機 構; 從該認證權限機構提供一視覺覆疊至該使用者,以響 應該第一次所提供之使用者金鑰;接著 自該使用者第二次提供該使用者金鑰至該認證權限機 〇 構; 從該認證權限機構提供一背景信息至該使用者,以響 應該第二次所提供之使用者金鑰; 將該背景信息顯示在面對該使用者之一顯示螢幕上, 同時該視覺覆疊係被定位在、對齊排列於、且依附至該顯 不榮幕上; 使用該視覺覆疊與該背景信息來將一機密信息顯示至 該使用者;以及接著 從該使用者提供一使用者回應至該認證權限機構,以 響應觀察該機密信息的使用者。 32. 如申請專利範圍第3 1項之方法,其中該視覺覆疊係 包含一偽隨機視覺矩陣模式以及一透明媒體,該偽隨機視 覺矩陣模式係不透明的、並且該偽隨機視覺矩陣模式係被 印刷在該透明媒體上。 33. 如申請專利範圍第32項之方法’其中該認證權限機 構係將該偽隨機視覺矩陣模式印刷在該透明媒體上。 29 200952439 34. 如申請專利範圍第32項之方法,奚中該使用者係將 該偽隨機視覺矩陣模式印刷在該透明媒體上。
    35. 如申請專利範圍第31項之方法,其中該視覺覆疊係 允許該使用者觀察該顯示螢幕之一第一挑選部分與一第三 挑選郤分、而不允許該使用者觀察該顯示螢幕之一第二挑 選邛/刀,並且該顯示螢幕之第一挑選部分係為該顯示螢幕 之第一挑選部分内的一視窗,該顯示螢幕之第一挑選部分 係將該機密信息顯示於該背景信息内,並且該使用者係將 名使用者回應輸入該顯示螢幕之第三挑選部分。 3 6.如申睛專利範圍第丨丨項之方法,其中該視覺覆疊係 一(m,η)臨界值機密分享方案之一部分,^係需要恢復一 機密之組成部分的數目、而n係組成部分總數目。 37. 如申凊專利範圍第丨丨項之方法,其中該視覺覆疊係 具有與該顯示螢幕大致上相同的尺寸。 38. 如申請專利範圍第丨丨項之方法,其中該使用者回應 係該機密信息。
    39·如申請專利範圍第31項之方法,其中該認證權旧 構係使用網際網路來提供該使用者金鑰以及該背景信息 該使用者,並且該使用者係能使用網際網路來提供 次與該第二次所提供的使用者金鑰以及該使用者回應至1 認證權限機構。 〜 40.如申請專利範圍第31項之方法,其中該方法係一雙 因素認證方案,並且其中該使用者金鑰係為第一因素、而 該使用者回應係為第二因素。 μ 30 200952439 4 1. 一種認證一使用者之方法,其係包括 提供一使用者金鑰至一認證權限機構. 進行編碼以響應該 以響應該使用者金 於S玄3忍證權限機構處對一機密γ古拿、 使用者金鑰,藉此提供一編碼信息; 從該認證權限機構提供該編碼信息 鑰·;
    對該編碼信息進行解碼, 在一顯示螢幕上將該機密 解碼該編竭信息;以及 藉此提供該機密信息; 4吕息顯示至該使用者以響應 提供使用者回應至該認證權限機構以響應觀察該顯 示螢幕上之機密信息的使用者。 , 一 ·申請專利範圍第41項之方法,其中編碼信息係被 顯不在該顯+然^ . 貝不螢幕上並且提示該使用者對該編碼信息進行 解碼以及該編碼信息係經解碼以響應該使用者。 /| 3 tjj •甲請專利範圍第4 1項之方法,其中該機密信息係
    (m,η )臨界值機密分享方案之一部分,⑺係需要恢復— 機密之組成邱八&虹α 口!5刀的數目、而η係組成部分總數目。 4.如申睛專利範圍第41項之方法,其中該顯示螢幕係 一平面顯示螢幕。 如申請專利範圍第41項之方法,其中該顯示螢幕係 一液晶顯示榮幕。 如申睛專利範圍第41項之方法,其中該顯示螢幕係 一行動電話螢幕。 申睛專利範圍第41項之方法,其中該使用者回應 31 200952439 係該機密信息。 48.如申請專利範圍第41頊之古i # 項之方法,其中該認證權限機 構係提供該使用者金鑰至該使用者。 49_如申請專利範圍第41頂 項之方法’其中該認證權限機 構係使用網際網路來提供該编旗# έ E ^ 个风货邊编碼彳5息至該使用者,並且該 使用者係使用網際網路來揾供兮祐田 水扠供該使用者回應至該認證權限 機構。 50. 如申請專利範圍第41項之方法,其中該方法係一雙 因素認證方案,並且其中該使用者金鑰係為第一因素、❿ 〇 該使用者回應係為第二因素。 51. —種認證一使用者之方法,其係包括: 從一認證權限機構提供一使用者金輪至該使用者;接 著 從忒使用者提供該使用者金鑰至該認證權限機構; 於該認證權限機構處對一機密信息進行編碼以響應該 使用者金鑰,藉此提供—編碼信息; 從該認證權限機構提供該編碼信息至該使用者以響應 〇 來自該使用者之使用者金餘; 將該編碼信息顯示在—顯示螢幕上,藉此提示該使用 者對該編碼信息進行解碼. 對該編碼信息進行解碼以響應觀察該顯示螢幕上之編 碼k息的使用者,藉此提供該機密信息; 在一顯不榮幕上顯示該機密信息以響應解碼該編碼信 息;以及 32 200952439 從該使用者提供一使用者回應至該認證權限機構以響 應觀察該顯示螢幕上之機密信息的使用者。 5 2.如申請專利範圍第5 1項之方法,其中編碼信息係使 用一對公用金繪基礎架構金鑰進行編碼以及解碼。 5 3 ♦如申請專利範圍第5 1項之方法,其中該機密信息係 一偽隨機字母數字代碼。
    54.如申請專利範圍第5 1項之方法,其中該機密信息係 一(m,η)臨界值機密分享方案之一部分,m係需要恢復一 機密之組成部分的數目、而η係組成部分總數目。 5 5.如申請專利範圍第51項之方法,其中該顯示螢幕係 一平面顯示螢幕。 5 6.如申請專利範圍第5丨項之方法其中該顯示螢幕係 一液晶顯示螢幕。 57· 4申喷專利範圍第51項之方法,其中該顯示螢幕 係一行動電話螢幕。 58·如申請專利範圍帛51項之方*,其中該使用者回應 係該機密信息。 59.如申請專利範圍第 ^ 固昂^項之方法,其中該認證權限機 構係使用網際網路來提#, 扠伢这編碼信息至該使用者,並且該 使用者係使用網際網路來 捉仏及便用者回應至該認證權限 機構。 60.如申請專利範圍第 mw 因乐M項之方法,其中該方法係一雙 因素s忍證方案,祐文 並且其中該使用者金鑰係為第一因素、 該使用者回應係為第二因素。 、而 33 200952439 61. 一種認證一栋田^ 便用者之方法,其係包括: 提供一使用者金鑰至一認證權限機構; 自該認證權限機構提供一傳輸信息以響應該使用者金 输; 使用该傳輸信息來提供一機密信息; 使用一顯示螢幕來將該機密信息顯示至該使用者;以 及 提供一使用者回應至該認證權限機構,以響應藉由使 用具有解密金鑰之一行動電話來觀察經加密機密信息的使 用者。 62_如申請專利範圍第6丨項之方法,其中編碼信息係以 一條碼進行加密以及儲存。 63.如申請專利範圍第61項之方法,其中該機密信息係 一偽隨機字母數字代碼。 64·如申請專利範圍第61項之方法,其中該顯示螢幕係 一平面顯示螢幕。 65. 如申請專利範圍第61項之方法,其中該顯示螢幕係 —液晶顯示螢幕。 66. 如申請專利範圍第61項之方法,其中該顯示螢幕係 —行動電話螢幕。 67. 如申請專利範圍第61項之方法,其中該使用者回應 係該機密信息。 68. 如申請專利範圍第61項之方法,其中該認證權限機 構係提供該使用者金錄至該使用者。 200952439 少如申叫專利範圍第61項之方法,其中該認證權限機 構係使用網際網路來提供該傳輸信息至該使用I,並且該 使用者係使用網際網路來提供該使用者回應至該認證權限 機構。 70.如申請專利範圍第61項之方法,其中該方法係一雙 因素認證方案,並且其中該使用者金瑜係為第一因素、而 該使用者回應係為第二因素。
    7 1 · 一種認證一使用者之方法,其係包括: 從一認證權限機構提供一私人金鑰; 提供一使用者金鑰至該認證權限機構; 從該認證權限機構提供一背景信息以響應該使用者金 鑰; 將該背景k息顯示在一顯示榮幕上,同時具有該使用 者之私A金餘的行動電話係被用纟捕捉該顯#帛幕上的背 景信息; 使用含有該私人金鑰與該背景信息之行動電話來將一 機ίϊτ 息顯示至該使用者;以及 提供一使用者回應至該認證權限機構以響應觀察該機 密信息的使用者。 72. 如申請專利範圍第71項之方法,其中該私人金鑰係 由該認證權限機構所產生作為一對私人-公用金输。 73. 如申請專.利範圍第71項之方法,其中該私人金鑰係 作為一 Midlet應用程式而被下載至該使用者。 74. 如申請專利範圍第η項之方法,其中該私人金鑰係 35 200952439 作為一 Midlet應用程式而被下載至該使用者、以及被安裝 至該使用者的行動電話内。 75.如申請專利範圍第71項之方法,其中該私人金鑰係 作為一 Midlet應用程式而被下载至該使用者、以及被安裝 至該使用者的行動電話内,並且係被鏈接至一條碼捕捉應 用程式。 7 6.如申請專利範圍第7 4項之方法,其中該認證權限機 構係在註冊期間對該使用者產生一私人-公用金鑰。 77. 如申請專利範圍第74項之方法,其中該使用者係下❹ 載該Midlet應用程式。 78. 如申明專利範圍第76項之方法,其中該認證權限機 構將該私人金鑰作為一 Midlet應用程式來發送至該使用 者。 79·如申請專利範圍帛76項之方法,其中該使用者係將 該Midlet應用程式安裝至—行動電話内。 8 〇 ·如申請專利範圍第71項之方法’其中具有該私人金 鑰之行動電話係允許該使用者觀察該顯示螢幕之一第—挑 〇 選部分、而不允許該使用者觀察該顯示螢幕之一第二挑選 部分’並且該顯示螢幕之第一挑選部分係顯示經過—條碼 進行加密以及儲存的機密信息。 以.如申請專利範圍第8〇項之方法,其中該顯示螢幕之 第一挑選部分係為該顯示瑩幕之第二挑選部分内的—視 窗。 82.如申請專利範圍第81項之方法其中具有該私人金 36 200952439 顯示螢幕之一第三挑 回應輸入該顯示螢幕 鑰之行動電話係允許該使用者觀察該 選部分、並且該使用者係將該使用者 之第三挑選部分。 其中該私人金錄係 機密信息的私人-公 83.如申請專利範圍第71項之方法, 由該認證權限機構所產生之需要恢復— 用金鑰對之一部分。 其中行動螢幕係具 其中該顯示螢幕係 84. 如申請專利範圍第71項之方法, 有大致上小於該顯示螢幕的一尺寸。 85. 如申請專利範圍第71項之方法, 一平面顯示螢幕。 86. 如申請專利範圍第71項之方法,其中該顯示螢幕係 一液晶顯示螢幕。 87. 如申請專利範圍第71項之方法,其中該使用者回應 係該機密信息。 88.如申請專利範圍第71項之方法,其中該認證權限機 構係提供該使用者金鑰至該使用者,並且該認證權限機構 係提供該背景信息至該使用者以響應來自該使用者的使用 者金矯。 89. 如申請專利範圍第71項之方法’其中該認證權限機 構係使用網際網路來提供該背景信息至該使用者’並且該 使用者係使用網際網路來提供該使用者回應至該§忍證權限 機構。 90. 如申請專利範圍第7丨項之方法,其中該方法係一雙 因素認證方案,並且其中該使用者金鑰係為第一因素、而 37 200952439 該使用者回應係為第二因素。 91. 一種認證一使用者之方法,其係包括: 從一認證權限機構提供一使用者金鑰至該使用者;接 著 自該使用者第一次提供該使用者金鑰至該認證權限機 構, 從該a忍證權限機構提供一私人金鑰至該使用者,以響 應該第一次所提供之使用者金鑰;接著 自该使用者第二次提供該使用者金鑰至該認證權限機 0 構; 從該認證權限機構提供一背景信息至該使用者,以響 應該第二次所提供之使用者金餘; 將該考景彳§息顯示在面對該使用者之一顯示螢幕上, 同時一行動電話係被定位在、對齊排列於、且捕捉該顯示 螢幕上之條碼; 使用β亥行動電话來將一機密信息顯示至該使用者;以 及接著 © 從该使用者提供一使用者回應至該認證權限機構,以 響應觀察該機密信息的使用者。 92. 如申請專利範圍第91項之方法,其中該私人金鑰係 作為對私人-公用金錄而被產生、並且被安裝至該使用者 的行動電話内。 =如申响專利範圍第92項之方法,其中該認證權限機 構係該私人金鑰,並且經由Midlet應用程式將該私人金鑰 38 200952439 發送至該使用者。 94. 如申請專利範圍第92項之方法,其中該使用者係將 Midlet應用程式安裝至一行動電話内。 95. 如申凊專利範圍第91項之方法,其中具有該私人金 鑰之行動電話係允許該使用者觀察該顯示螢幕之一第一挑 選部分、而不允許該使用者觀察該顯示螢幕之一第二挑選 部分’並且该顯示螢幕之第一挑選部分係顯示經過一條碼 進行加密以及儲存的機密信息。 Ο
    96. 如申請專利範圍第71項之方法,其中該私人金鑰係 由該認證權限機構所產生之需要恢復一機密信息的私人公 用金錄對之一部分。 97. 如申請專利範圍帛71工頁之方法,其中該行動電話之 螢幕係具有大致上小於該顯示螢幕的一尺寸。 98. 如申請專利範圍第71項之方法,其中該使用者回應 係該機密信息。 99.如申請專利範圍第91項之方法,其中該認證權限機 構係使用網際網路來提供該使用者金鑰以及該背景信息至 忒使用者,並且該使用者係使用網際網路來提供該第一次 與该第二次所提供的使用者 用者金鑰以及该使用者回應至該認 證權限機構。 100·如申請專利範圍第 -m t 罘yl項之方法,其中該方法係一 ^ 並且其中該使用者金鑰係為第一因素、 而該使用者回應係為第二因素。 、 1 01.如申請專利範圍坌 圍卓41或51項之方法,其中該機密 39 200952439 信息係以一條碼進行編碼之一加密信息。 102.如申請專利範圍第41或51項之方法,其中該私人 金鑰係所需要恢復一機密信息之一對私人-公用金鑰的一部 分。 八、圖式· (如次頁) 40
TW098114778A 2008-05-02 2009-05-04 使用機密視覺信息以用於螢幕上認證的方法及系統 TWI486045B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
SG200803412-6A SG142401A1 (en) 2008-05-02 2008-05-02 System and method for single or multi-party on-screen authentication using visual overlay
SG200805166-6A SG156558A1 (en) 2008-07-09 2008-07-09 System and method for single or multi-party on-screen authentication using visual codes

Publications (2)

Publication Number Publication Date
TW200952439A true TW200952439A (en) 2009-12-16
TWI486045B TWI486045B (zh) 2015-05-21

Family

ID=41255589

Family Applications (1)

Application Number Title Priority Date Filing Date
TW098114778A TWI486045B (zh) 2008-05-02 2009-05-04 使用機密視覺信息以用於螢幕上認證的方法及系統

Country Status (3)

Country Link
US (1) US20110026716A1 (zh)
TW (1) TWI486045B (zh)
WO (1) WO2009134213A2 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI456524B (zh) * 2012-03-28 2014-10-11 Univ Chang Gung 應用於雲端運算環境中的金融資料處理方法及其架構
US9066027B2 (en) 2012-11-09 2015-06-23 Jrsys International Corp. Picture delivering system based on visual cryptography and related computer program product

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110016515A1 (en) * 2009-07-17 2011-01-20 International Business Machines Corporation Realtime multichannel web password reset
US20110022835A1 (en) * 2009-07-27 2011-01-27 Suridx, Inc. Secure Communication Using Asymmetric Cryptography and Light-Weight Certificates
US9532222B2 (en) 2010-03-03 2016-12-27 Duo Security, Inc. System and method of notifying mobile devices to complete transactions after additional agent verification
US9544143B2 (en) 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
EP2365457A1 (en) * 2010-03-11 2011-09-14 Alcatel Lucent Tag-based secured connection on open device
FR2959896B1 (fr) * 2010-05-06 2014-03-21 4G Secure Procede d'authentification d'un utilisateur requerant une transaction avec un fournisseur de service
US8855300B2 (en) * 2010-09-30 2014-10-07 Google Inc. Image-based key exchange
US8745401B1 (en) * 2010-11-12 2014-06-03 Google Inc. Authorizing actions performed by an online service provider
US8635556B2 (en) * 2010-11-30 2014-01-21 Alcatel Lucent Human readable iconic display server
JP2013020609A (ja) * 2011-06-13 2013-01-31 Kazunori Fujisawa 認証システム
TWI430217B (zh) * 2011-08-08 2014-03-11 Ind Tech Res Inst 驗證方法與系統
US9467463B2 (en) 2011-09-02 2016-10-11 Duo Security, Inc. System and method for assessing vulnerability of a mobile device
NO334144B1 (no) 2011-09-12 2013-12-16 Aker Subsea As Roterende undervannsinnretning
US8826398B2 (en) 2011-09-29 2014-09-02 Hewlett-Packard Development Company, L.P. Password changing
US9524388B2 (en) 2011-10-07 2016-12-20 Duo Security, Inc. System and method for enforcing a policy for an authenticator device
EP2798777B1 (en) 2011-12-27 2018-03-28 Intel Corporation Method and system for distributed off-line logon using one-time passwords
KR101381789B1 (ko) * 2012-05-24 2014-04-07 아주대학교산학협력단 웹 서비스 사용자 인증 방법
CN102769628B (zh) * 2012-07-27 2014-03-26 腾讯科技(深圳)有限公司 页面登录方法及服务器
CN102801724A (zh) * 2012-08-09 2012-11-28 长城瑞通(北京)科技有限公司 一种图形图像与动态密码相结合的身份认证方法
CN103685384A (zh) * 2012-09-12 2014-03-26 中兴通讯股份有限公司 防恶意骚扰的用户身份验证方法及装置
US9166961B1 (en) * 2012-12-11 2015-10-20 Amazon Technologies, Inc. Social networking behavior-based identity system
US9443073B2 (en) 2013-08-08 2016-09-13 Duo Security, Inc. System and method for verifying status of an authentication device
US9338156B2 (en) 2013-02-22 2016-05-10 Duo Security, Inc. System and method for integrating two-factor authentication in a device
US9607156B2 (en) 2013-02-22 2017-03-28 Duo Security, Inc. System and method for patching a device through exploitation
US9053310B2 (en) 2013-08-08 2015-06-09 Duo Security, Inc. System and method for verifying status of an authentication device through a biometric profile
US9608814B2 (en) 2013-09-10 2017-03-28 Duo Security, Inc. System and method for centralized key distribution
US9092302B2 (en) 2013-09-10 2015-07-28 Duo Security, Inc. System and method for determining component version compatibility across a device ecosystem
US9774448B2 (en) 2013-10-30 2017-09-26 Duo Security, Inc. System and methods for opportunistic cryptographic key management on an electronic device
US9928358B2 (en) * 2013-12-09 2018-03-27 Mastercard International Incorporated Methods and systems for using transaction data to authenticate a user of a computing device
US9424410B2 (en) 2013-12-09 2016-08-23 Mastercard International Incorporated Methods and systems for leveraging transaction data to dynamically authenticate a user
US9332008B2 (en) 2014-03-28 2016-05-03 Netiq Corporation Time-based one time password (TOTP) for network authentication
BR102014007666B1 (pt) * 2014-03-28 2023-01-10 Samsung Eletrônica Da Amazônia Ltda Método para autenticação de transações móveis usando criptografia de vídeo e método para criptografia de vídeo
US9762590B2 (en) 2014-04-17 2017-09-12 Duo Security, Inc. System and method for an integrity focused authentication service
US10467896B2 (en) 2014-05-29 2019-11-05 Rideshare Displays, Inc. Vehicle identification system and method
US9892637B2 (en) 2014-05-29 2018-02-13 Rideshare Displays, Inc. Vehicle identification system
US9715585B2 (en) * 2014-10-07 2017-07-25 Nxp Usa, Inc. Optical authentication of operations for a mobile device
CN105634738B (zh) * 2014-11-05 2019-06-18 北京握奇智能科技有限公司 一种动态令牌参数的更新方法和系统
BR102014032168B1 (pt) * 2014-12-18 2022-12-27 Universidade Estadual De Campinas - Unicamp Método para recuperação de segredos encriptados com criptografia visual por alinhamento automático em dispositivos móveis
US9979719B2 (en) 2015-01-06 2018-05-22 Duo Security, Inc. System and method for converting one-time passcodes to app-based authentication
US9641341B2 (en) 2015-03-31 2017-05-02 Duo Security, Inc. Method for distributed trust authentication
US9774579B2 (en) 2015-07-27 2017-09-26 Duo Security, Inc. Method for key rotation
US9984217B2 (en) * 2016-02-19 2018-05-29 Paypal, Inc. Electronic authentication of an account in an unsecure environment
US10536436B1 (en) 2016-06-24 2020-01-14 Amazon Technologies, Inc. Client authentication utilizing shared secrets to encrypt one-time passwords
US10412113B2 (en) 2017-12-08 2019-09-10 Duo Security, Inc. Systems and methods for intelligently configuring computer security
US10063542B1 (en) 2018-03-16 2018-08-28 Fmr Llc Systems and methods for simultaneous voice and sound multifactor authentication
US11658962B2 (en) 2018-12-07 2023-05-23 Cisco Technology, Inc. Systems and methods of push-based verification of a transaction
US11641363B2 (en) * 2019-01-14 2023-05-02 Qatar Foundation For Education, Science And Community Development Methods and systems for verifying the authenticity of a remote service
US11184351B2 (en) 2019-09-04 2021-11-23 Bank Of America Corporation Security tool
US11102197B2 (en) 2019-09-04 2021-08-24 Bank Of America Corporation Security tool
US11102198B2 (en) 2019-11-19 2021-08-24 Bank Of America Corporation Portable security tool for user authentication

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3560860B2 (ja) * 1999-07-23 2004-09-02 株式会社東芝 秘密分散システム、装置及び記憶媒体
KR20040008550A (ko) * 2002-07-18 2004-01-31 엘지전자 주식회사 시크리트 공유를 이용한 비밀문서의 공유방법
EP1785900A1 (de) * 2005-11-04 2007-05-16 Christian Hogl Verfahren und System zum Übertragen von Daten von einer ersten Datenverarbeitungseinrichtung an eine zweite Datenverarbeitungseinrichtung
EP1943605A1 (de) * 2005-11-04 2008-07-16 Christian Hogl Verfahren und system zum übertragen von daten von einer ersten datenverarbeitungseinrichtung an eine zweite datenverarbeitungseinrichtung
US8689016B2 (en) * 2005-12-02 2014-04-01 Google Inc. Tamper prevention and detection for video provided over a network to a client
KR100819024B1 (ko) * 2005-12-12 2008-04-02 한국전자통신연구원 아이디/패스워드를 이용한 사용자 인증 방법
TWI288554B (en) * 2005-12-19 2007-10-11 Chinatrust Commercial Bank Ltd Method of generating and applying one time password in network transactions, and system executing the same method
TW200816068A (en) * 2006-09-27 2008-04-01 Ming-Chih Tsai A transaction payment method by using handheld communication devices
JP2008103936A (ja) * 2006-10-18 2008-05-01 Toshiba Corp 秘密情報管理装置および秘密情報管理システム
WO2009056897A1 (en) * 2007-10-30 2009-05-07 Telecom Italia S.P.A Method of authentication of users in data processing systems

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI456524B (zh) * 2012-03-28 2014-10-11 Univ Chang Gung 應用於雲端運算環境中的金融資料處理方法及其架構
US9066027B2 (en) 2012-11-09 2015-06-23 Jrsys International Corp. Picture delivering system based on visual cryptography and related computer program product

Also Published As

Publication number Publication date
WO2009134213A2 (en) 2009-11-05
TWI486045B (zh) 2015-05-21
WO2009134213A3 (en) 2010-03-04
US20110026716A1 (en) 2011-02-03

Similar Documents

Publication Publication Date Title
TWI486045B (zh) 使用機密視覺信息以用於螢幕上認證的方法及系統
EP3721578B1 (en) Methods and systems for recovering data using dynamic passwords
US7437757B2 (en) Token for use in online electronic transactions
US9124433B2 (en) Remote authentication and transaction signatures
RU158940U1 (ru) Токен строгой аутентификации с визуальным выводом подписей инфраструктуры открытых ключей (pki)
CN101312453B (zh) 用户终端及其登录网络服务系统的方法
US20050193198A1 (en) System, method and apparatus for electronic authentication
WO2018145127A1 (en) Electronic identification verification methods and systems with storage of certification records to a side chain
GB2434724A (en) Secure transactions using authentication tokens based on a device "fingerprint" derived from its physical parameters
WO2000030292A1 (en) Method and system for authenticating and utilizing secure resources in a computer system
BRPI0722174A2 (pt) Método e sistema para autenticar usuários em um sistema de processamento de dados.
NO326037B1 (no) Databekreftelsesmetode og apparat
US20170032360A9 (en) Systems and methods for enrolling a token in an online authentication program
CA2453853C (en) Method and system for verifying data integrity
CN101335754A (zh) 一种利用远程服务器进行信息验证的方法
TWI476629B (zh) Data security and security systems and methods
CN104125064A (zh) 一种动态密码认证方法、客户端及认证系统
EP2051469A1 (en) Delegation of authentication
AU2009202963B2 (en) Token for use in online electronic transactions
US20230351923A1 (en) Content encryption and in-place decryption using visually encoded ciphertext
Molla Mobile user authentication system (MUAS) for e-commerce applications.
Auyong et al. Authentication services for computer networks and electronic messaging systems
ZA200502178B (en) Systems and methods for secure authentication of electronic transactions