TW201251413A - Authentication agent apparatus, and method and system for authenticating online service - Google Patents

Authentication agent apparatus, and method and system for authenticating online service Download PDF

Info

Publication number
TW201251413A
TW201251413A TW101109327A TW101109327A TW201251413A TW 201251413 A TW201251413 A TW 201251413A TW 101109327 A TW101109327 A TW 101109327A TW 101109327 A TW101109327 A TW 101109327A TW 201251413 A TW201251413 A TW 201251413A
Authority
TW
Taiwan
Prior art keywords
verification
service
user
server
code
Prior art date
Application number
TW101109327A
Other languages
English (en)
Inventor
Tae-Yang Kim
Won-Ki Kim
Sung-Gook Jang
Jae-Ro Lee
Young-Jae Park
Original Assignee
Neowiz Games Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Neowiz Games Corp filed Critical Neowiz Games Corp
Publication of TW201251413A publication Critical patent/TW201251413A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Description

201251413 六、發明說明: 【發明所屬之技術領域】 % 本發明係關於在線服務的驗證,特別有關一 _來驗證在線服務的驗證 媒介’以及在線服務的驗證系統和方法。 ‘ 【先前技術】 隨著高速網路通訊環境快速地成長,使用者可以不受時間和空間上的 限制,在線(online)接收各種内容和多媒體服務,例如遊戲服務、音樂服 務和視訊服務。 像這樣的在線服務可能是由預定的服務供應商所提供,但是服務供應 商所提供的在線服務的類型和數目無可避免地嚴格被限制。在這方面使 用者最近反而比較喜歡在線服務入口網址,其作為—個媒介,使得使用者 能夠只經由單一個網站就能收到各種在線服務。 在線服務入口網站中較具代表性的例子就是遊戲入口網站,如pmang 網站。在此财,遊舰用者親執行登蝶序和訪問铋人口網站就能 享受相應的遊戲入口網站所提供的各種遊戲服務。接著,爲了使用遊戲服 務,必猶相應的遊戲使用者驗證其是否具有授權、是否有權利使用該款 遊戲。 然而,根據習知的技術,使用者在進行在線服務驗證時使用的密碼作 、 必須為雜湊(hash)編碼’該密碼也會放在入口伺服器(如遊戲入口伺服器) . 以及提供相應在線服務的服務伺服器(如遊戲伺服器)的程式邏輯中。因 此,就有可能相應的密碼被洩露至外部。 再者,當使用者在-開始訪問遊戲時設定了密碼,但是报久沒有變更 201251413 密碼,則骇客很有可能在那個時候透過譯解驗證雜凑值(authenticati〇nhash value)而辨識出相應的密碼’該驗證雜凑值在此簡稱為驗證代碼 (authenticationtoken)。藉著利用所識別出的密碼來直接產生驗證代碼,駭 客就能毫無關地使用相應的在線服務,即時沒有通過人口伺服器。 爲了要防止被入侵,可以採用週期性地變更密碼的方式❶但是,在此 例中’入α舰II和服務舰器兩者都必須停止在線服務,並在相同的時 間套用密碼賴更。目此’ S成服務供躺相當程度的損失雜用者來 說也相當不方便。 【發明内容】 因此’本發明被發展來解決在習知技術中發生的上述問題,本發明之 一方面提供一種用來執行在線服務之使用者驗證的代理驗證裝置,以及透 過該代理驗證裝置來進行在線服務驗證的系統和方法。 再者,本發明提供一種在線服務的驗證系統和方法,其能有效防止要 被用來產生驗證代觸驗證錄(或密碼)丟失或被骇,並提供—種代理 驗證裝置,其適用於該在線服務的驗證系統和方法。 本發明之一方面提供一種在線服務的驗證方法,其透過一代理驗證媒 介與一入口伺服器和一服務伺服器進行通訊,該方法包含: 每當從該人口舰器接收到-種子資料時,_—新的驗證金输來產 生-驗證代碼’該種子資料包含在-使用者透過該人口伺服器請求一在線 服務時使用的-使用者識別資訊,雜子資訊並_來產生—要被用來對 該在線服務作使用者驗證的驗證代碼;將所產生的驗證代碼傳送到該入口 伺服器,該驗證代碼並從該入口伺服器傳送到該服務伺服器以用作使用者 201251413 驗證;參考一查證資料和相應於包含在該查證資料的該使用者識別資訊的 一驗證金鑰來產生一查證代碼,該查證資料包含該使用者在請求使用者驗 證時使用的該使用者識別資訊;以及根據該查證代碼和從該服務伺服器接 收到的該驗證代碼之間的一致性,將請求驗證的一識別驗證結果傳送到該 服務伺服器。 本發明之另一方面提供一種計算機可讀記錄媒體,其中的程式用來執 行上述的在線服務驗證方法。 本發明之一方面提供一種在線服務的驗證方法,其透過一代理驗證媒 介與一入口伺服器和一服務伺服器進行通訊,該方法包含: 每當從該入口伺服器接收到一種子資料時,利用一新的驗證金錄來產 生一第一驗證代碼’該種子資料包含在一使用者透過該入口伺服器請求一 在線服務時使用的一使用者識別資訊,該種子資訊並被用來產生一要被用 來對該在線服務作使用者驗證的驗證代碼;將所該第一驗證代碼傳送到該 入口伺服器,該第一驗證代碼並從該入口伺服器傳送到該服務伺服器以用 作使用者驗證;從該服務伺服器接收一第二驗證代碼以及該使用者在請求 該在線服務時使用的使用者識別資訊;參考該種子資料和相應於在該使用 者進行使用者驗證時所使用的使用者識別資訊的一驗證金鑰來產生一查證 代碼;以及根據該查證代碼和該第二驗證代碼之間的一致性,將請求使用 者驗證的一識別驗證結果傳送到該服務伺服器。 本發明之另一方面提供一種計算機可讀記錄媒體,其中的程式用來執 行上述的在線服務驗證方法。 本發明之一方面提供—種在線服務的驗證方法,其透過一代理驗證媒 201251413 介與一入口伺服器和一服務伺服器進行通訊,該方法包含: 每當從該入口伺服器接收到一種子資料時,利用一新的驗證金鑰來產 生一第一驗證代碼’該種子資料包含在一使用者透過該入口伺服器請求一 在線服務時使用的一使用者識別資訊’該種子資訊並被用來產生一要被用 來對該在線服務作該使用者驗證的驗證代碼;將該第一驗證代碼傳送到該 入口伺服器,該第一驗證代碼並從該入口伺服器傳送到該服務伺服器以用 作使用者驗證;從該服務伺服器接收一第二驗證代碼以及該使用者進行使 用者驗證時所使用的使用者識別資訊;獲取相應於從該服務伺服器接收到 之使用者識別資訊的該第一驗證代碼;以及根據從該服務祠服器接收到的 該第二驗證代碼和相應於從該服務伺服器接收到之使用者識別資訊所獲取 到的第一驗證代碼之間的一致性,將請求使用者驗證的一識別驗證結果傳 送到該服務伺服器。 本發明之另一方面提供一種計算機可讀記錄媒體,其中的程式用來執 行上述的在線服務驗證方法。 本發明之另一方面提供一種代理驗證裝置,其與一入口伺服器和一服 務伺服器互相通訊,該代理驗證裝置包含 一接收器,用以從該入口伺服器接收一種子資料並從該服務伺服器接 收一驗證代碼和一查證資料,該種子資料包含在一使用者透過該入口伺服 器請求一在線服務時使用的一使用者識別資訊,該種子資訊並被用來產生 該驗證代碼,該查證資料包含該使用者在請求使用者驗證以取得該在線服 務時使用的使用者識別資訊;一代瑪產生器’每當接收到該種子資料時, 該代碼產生器用以利用一新的驗證金鑰來產生該驗證代碼,並參考該查證 201251413 資料和相應於包含在該查證資料的該使用者識別資訊的一驗證金鑰來產生 一查證代碼;一驗證結果產生器,用以根據該查證代碼和從該服務伺服器 接收到的該驗證代碼之間的一致性,來產生請求使用者驗證後的一識別驗 證結果;以及一發射器,用以將該識別驗證結果傳送到該服務伺服器,並 將根據該種子資料的複本產生的驗證代碼傳送到該入口伺服器。 本發明之另一方面提供一種在線服務驗證系統,該系統包含: 一入口伺服器,用以當從一客戶端接收到一在線服務請求時,該入口 伺服器獲取一種子資料,該種子資料包含在一使用者透過該入口祠服器作 出該在線服務請求時時使用的一使用者識別資訊,該種子資訊並被用來產 生一要被用來對該在線服務作使用者驗證的驗證代碼;以及一代理驗證裝 置,每當從該入口伺服器接收到該種子資料時,該代理驗證裝置用以利用 一新的驗證金鑰來產生驗證代碼,用以將所產生的驗證代碼傳送到該入口 伺服器,當從提供該在線服務的一服務伺服器中接收到該驗證代碼和一查 證資料時,用以參考該查證資料和相應於包含在該查證資料的該使用者識 別資訊的-驗證錢來產生-查職碼,顧以根制查證代碼和從該服 務伺服器接收到的驗證代碼之間的-致性’將該使財為取得該在線服務 而請求使用者驗證後得出的一識別驗證結果傳送到該服務伺服器。 本發明的功效簡述如下: 根據本發_實_,本發·_效防止要_來魅驗證代碼的 驗證金錄(或密碼)丟失或被駭。 根據本發_實施例,本發m夠大大地減少改變紐縣作為在線 服務驗證的驗證金餘以及變換驗證程序所需的時間、努力和成本 201251413 根據本發_實_,在人口舰钟服務值器分開建立在線服務 驗證的程序是沒有必要的,本發·_免在人叫職和服務飼服 器間可能存在的驗證程序互相衝突的問題。 根據本發明的實施例,本發明在根本上可以阻擋掉不正常的驗證嘗 "式’故有可能更有效率地利用人口舰器和服務伺服器的敏器資源和網 路資源。 【實施方式】 本發月上述目的、特徵及優點將結合上述詳細說明與所附圖式具體呈 現。 本發明可採用各種不_實施例來實現並進行改良,本發明中特定實 施例例示於賦巾並透過本發社詳細描絲予以制。然而,本發明並 不受限於這些特定實關,在不脫縣發明之精神和齡細内,當可作 各種之更動、均等變換與潤飾。 再者’在本發明下列描述中,在可能導致本發明主題不清楚的情況下, 會將已知技術的詳細描述予以省略。本發明說明中所使用的數詞(如第一、 第二)只是簡單的酬符號而已,絲區別—個元件與另—個元件。 需注意的是’當本發明說明中提到一個元件“連接到”或“存取,,另一個元 件時,除非制說明,否則第—元件與第二元件間存在“連接到,,或“存取” 第三兀件的可能,雜也有可能第—元件直接連制或存取第二元件。 以下將配合所附圖式,對本發明例示性的實施例作描述如下。 第1圖顯示根據本發明之-實施例實現的在線服務驗證系統的示意圖。 在此’本發明中’為方便描述和理解,假設提供在線服務的服務饲服 201251413 器與作為在線服務之中繼設備的入口伺服器分別為遊戲伺服器和遊戲入口 舰器。然而’事實上,本發明可應用於各類的在線服務,並不僅限於本 說明書描述的遊戲服務而已。 V. 第1圖例示在線服務驗證系統包含一客戶端1〇,一遊戲入口伺服器2〇〇 及-遊戲舰H3GG。客戶端1G為想要使用遊戲服務的使用者所在的終端, 使用者可透過安裝在客戶端10的網頁劉覽器12,經由對網頁介面的存取來 使用遊戲入口伺服器2〇〇提供的遊戲服務。 遊戲入口伺服器200提供這樣一個在線遊戲服務給已註冊的會員,為 此目的,遊戲入口伺服器200通常具有一會員資料庫2〇2,用來作為使用者 之驗證和使用者之會員資格的管理。 遊戲伺服器300實際上提供使用者在線遊戲服務,因此遊戲伺服器3〇〇 可能具有用來提供在線遊戲服務的一遊戲資料庫3〇2 ^ 為了讓使用者實際使用遊戲伺服器300提供的在線遊戲服務,遊戲服 務相應的使用者驗證應該被執行。當執行使用者驗證而驗證成功時,使用 者即可透過安裝在客戶端10的遊戲客戶端程式14使用相應的遊戲服務。 請參閲第1圖,提供使用者驗證的在線服務驗證系統可包含遊戲入口 祠服器200、遊戲伺服器300及代理驗證裝置(authentication agent apparatus) 100。代理驗證裝置100係透過通訊網路5〇連接遊戲入口伺服器2〇〇和遊 ^ 戲伺服器300。 ' 當使用者想要透過遊戲入口伺服器200使用遊戲伺服器300提供的遊 戲服務時’代理驗證裝置100會針對不同的遊戲服務執行相應的使用者驗 證。在此過程中,代理驗證裝置100可能會查閱一驗證碼資料庫1〇2和一 201251413 訪問歷史資料庫104。 以下將配合第2圖來描述根據本發明之實施例實現的在線服務驗證系 統的通用驗證流程。 第2圖顯示根據本發明之實施例實現的在線服務驗證通用流程。 請參閱第2圖,當客戶端10向遊戲入口伺服器200請求一預定的遊戲 服務時’遊戲入口伺服器200會傳送種子資料(seeddata)到代理驗證裝置 100。 該種子資料是使用者請求遊戲服務用作使用者驗證產生一驗證代碼 C authentication token )所需的基本資料。可用來作為種子資料的資料沒有 特別限定,根據在線服務驗證系統實際的實施方案指出,各種預定的資料 都可用來作為該種子資料。 在本發明的實施例中’從遊戲入口伺服器200傳送到代理驗證裝置1〇〇 的種子資料至少包含使用者識別資訊(user identification information),透過 使用者識別資訊使得識別一個請求相應遊戲服務的使用者成為可能。例 如’使用者識別資訊包含一使用者序列號(user serial number),其被遊戲入 口伺服器200用來管理提供遊戲服務、持有遊戲入口伺服器2〇〇之公司的 會員0 當代理驗證裝置100接收到從遊戲入口伺服器2〇〇傳來的種子資料 時,代理驗證裝置100會獲取一驗證金鑰(authenticationkey)、使用該驗證 金鑰和所接收到的種子資料來產生驗證代碼’並將所產生的驗證代碼傳送 到遊戲入口伺服器200。此時,產生驗證代碼的時候也可使用預定的雜湊 (hash)函數。 201251413 遊戲入口值H 2()0將碰證代碼無代微證裝置⑽接收到的種 子資料傳刻絲在客戶端㈣纖客戶端程式14。在_中,遊戲客戶 端程式Μ會將驗證代碼和從遊戲人口祠服器2〇〇接收到的種子資料傳送到 遊戲伺服器300。 當遊戲飼服器300接收到該驗證代碼以及從遊戲客戶端程式Μ接收到 的種子資料時,遊戲舰器·會將該驗證代碼和預定的查證資料 (verification data)傳送到代理驗證裝置1〇〇。從遊戲客戶端程式14接收到 的種子資料就可以作為該查證資料。 但是’根據驗證系統實際的實施方案指出,該查證資料未必需要完全 ”從遊戲客戶端程式Μ接收到的種子資料―致。舉例來說,遊戲伺服器3⑻ 可以僅將-部份的種子資料作為該查證資料傳送到依據驗證系統實際的實 施方案實賴代理驗證裝置_,這部份將可透過對第$圖和第關的描 述得到清楚的理解。但是,爲了描述上的方便,除了對第9圖和第1〇圖的 描述之外,其他所有的描述會如後續描述—般將種子龍當做是該查證資 料。 代理驗證裝置1GG會基_查證㈣錄赌賴舰$廟接收到 6«驗證代碼。檢驗該驗證代碼財法可透輯以圖、第9圖和第ι〇圖 的描述而制清楚的轉。紐的絲,亦即—識職證絲(a— identification職lt) ’會被傳送到遊細㈣·,而遊戲祠㈣3〇〇會根 據從代理齡裝i 100接__姻驗縣絲_纖歸的使用者 驗證。 如刖所述,在本發明的實施例中,在線服務的使用者驗證是在代理驗 11 201251413 證裝置100中執行’且遊戲伺服器300只有鑒別從代理驗證裝置100傳來 的驗證結果。因此’與習知的使用者驗證方案相反的,本發明在在線服務 的使用者驗證方面’遊戲入口伺服器2〇〇及遊戲伺服器300不需要直接執 订產生和檢驗驗證代碼的程序,在遊戲入口伺服器2〇〇和遊戲伺服器3⑻ 中也不需要管理用來產生該驗證代碼的驗證金鑰 ’從而能夠大大減輕遊戲 入口祠服器200和遊戲飼服胃300執行驗證程序所生的負擔。 然而’由於每當代理驗證裝置100接收從遊戲入口伺服器200傳來的 驗證金錄時,來產纽驗職碼的麟金齡冑要錄_,透過以下 的描述可雜胃瞭朗,本發難財錄止紐錢遺失,以及能夠解 決因驗證麵遺失料朗在線服紐駭(haddng)關題^ 第3醜示在-實例中客戶端要求認證和請求在線服務的程序的流程 圖’也就是說,第3圖例示了第2圖中[η至[习個程序,並假定在線服務為 遊戲服務。 在步驟S10中,使用者使用網頁劉覽器12來訪問遊戲入口祠服器, 並透過步驟S12和步驟S14彻該使用者的帳號/密碼來進行登錄的程序。 在步驟S16中’使用者凊求執行遊戲人口伺服器提供的在線服務中的 一預定的遊戲服務’也就是說’第2圖中的程糊對應第3圖中的步驟抓。 當該預定的遊戲服務被請求執行時,在步驟训中啟動器(la職her) 被驅動,在步驟㈣中該啟動器啤叫遊戲客戶端程式M’並接著在步驟您 中在客戶端10執行遊戲客戶端程式14。 再者’當該預定的遊戲服務被請魏行時,在步驟辦中遊戲入口飼 服器咖獲取用來產生驗證代碼的種子資料,在步驟S26中雜的種子資 12 201251413 料被傳送到代理驗證伺服器100,也就是說,第2圖中的程序[2]對應第3 圖中的步驟S26。 在此例中’代理驗證裝置100利用所接收到的種子資料來產生該驗古登 代碼’這將會在後文對照第5圖作進一步的描述。在步驟S38中,遊戲入 口伺服器200接收從代理驗證伺服器1〇〇傳來的該驗證代碼,也就是說, 第2圖中的程序[3]對應第3圖中的步驟S38。 在步驟S40中,遊戲入口伺服器200將從代理驗證裝置1〇〇接收到的 種子資料和驗證代碼傳送到客戶端10的遊戲客戶端程式14,也就是說第 2圖中的程序[4]對應第3圖中的步驟S40。 接著,在步驟S42中,當使用者透過遊戲客戶端程式14嘗試要訪問遊 戲伺服器3〇0時,也就是說,嘗試要對相應的在線服務取得驗證時,在步 驟s44中’遊戲客戶端程式M會將從遊戲入口祠服器2〇〇接收到的驗證代 碼和種子資料傳送到遊戲词服器3〇〇,也就是說,第2圖中的程序[5]對應 第3圖中的步驟S44。 代理驗證裝置1〇〇以及在代理驗證裝置_中執行的驗證程序將會在 後文對照第4圖至第7圖來作進—步的描述。 -為了t田述上的方便’作又没全部有兩種資料,亦即包含作為使用者識別 貝訊的使用者序列號以及作為種子資料的一時間資料,該種子資料係從 遊戲入口伺服益200傳送到代理驗證褒置並被帛來產生該驗證代碼。 代理驗e裝置1〇〇以及在代理驗證裝置中執行的驗證程序將會在 後文參考第4騎不的方_和第$圖至第7圖—併描述。 第5圖顯7F在-實例巾根縣自職人时孤⑽軒資料複本而在
S 13 201251413 代理驗證裝置中產生驗證代碼的程序的流程圖,也就是說,第5圖例示了 介於第2圖中的程序[2]和程序[3]之間的在代理驗證裝置100中執行的驗證 程序。 在步驟S28中’代理驗證裝置1〇〇透過一接收器110接收來自遊戲入 口伺服器200傳來的種子資料。 接著’在步驟S30中,代理驗證裝置1〇〇獲取來自驗證金鑰資料庫1〇2 的驗證金鑰,該驗證金鑰可能是由代理驗證裝置.1〇〇中的一驗證金鑰管理 器(authentication key manager) 120 來獲取。 在此,可角來產生该驗證代碼的驗證金錄池(P〇〇l)係已登錄在驗證金 鑰資料庫102中。因此,當代理驗證裝置100從接收器1〇〇接收到種子資 料時,驗證金鑰管理器120可從已登錄在驗證金鑰資料庫1〇2的該驗證金 鑰池中析出一個驗證金鑰,並將所取出的驗證金鑰作為要用來產生該驗證 代碼的驗證金鑰。在此例中,該驗證金鑰可從該驗證金鑰池中隨機選出。 每當從遊戲入口伺服器200接收到種子資料時,驗證金鑰就會被獲取。 因此’在本發明的實施例中’每當從遊戲入口伺服器2〇〇接收到種子資料 時’代理驗證裝置100就會獲取到新的驗證金錄。 在本發明中,獲取驗證金鑰的方案主要是基於從已登錄在驗證金输資 料庫1〇2的驗證金綸池中隨機地選取或析出的這個方式來描述,但是當然 其他獲取驗證麵的方案也可以細在本發I舉例麵,每當接收到種 子資料時’利用一預定的隨機號碼產生演算法,驗證金餘管理器120可直 接產生-個新的驗證金錄。但是,爲了不要模糊焦點,獲取驗證金錄的方 案在此後會假定是從驗證金鑰池中析出驗證金鑰的這個方案。 14 201251413 在步驟S32中,驗證金餘管理器⑶會作資訊(此後以“驗證金錄識別 資訊,,稱之)連結的動作,將所析出的驗證金賴定等同於包含在所接收到 的種子資料中的使用者識別資訊,並將所連結的資訊儲存或登錄(响时) 在訪問歷史資料庫104中。 在此例中,每當驗證麵管理器12〇從同一使用者獲取到一個新的驗 證金斜’驗錢管黯⑶會取細___賴的驗證金錄 Y :貝°孔對應改反過的驗證金鑰來儲存驗證金鑰識別資ΙίΙ。也就是說, I 可输識別資訊也會依據改變過的驗 證麵在鄕 1社資料庫1G4巾縣麟。批,如果已雜在訪問歷史 資料庫104中的驗證金餘識別資訊被識別的話,就可能可以辨識出每個使 用者(即職會貞)最近最常使㈣驗證麵q部份將在後文對照第6 圖 '第9圖和第10圖中查證驗證代碼的程序作詳細的描述。 ^ 51 f tfl ( authentication key index information) 址貝讯(authemication key address inf〇福i〇n)可用來^ 資訊。舉例來說’如果在驗證金鑰資料庫1〇2登錄的驗證金鑰池全部包含 了 1〇〇個驗證金鍮’則發給每個驗證金鑰#索引號或記錄驗證金錄之儲存 位置的位址資訊可被用來作為該驗證金錄識別資訊。該驗證金鑰識別資訊 可在與使用者酬資訊(在本例巾為使用者序顺)進行連接時—併儲存 於訪問歷史資料庫104中。 在上述描述中,假定驗證金鑰識別資訊係與使用者識別資訊連結而後 儲存’而不是驗證金論本身與使用者識別資訊連結。但是,根據驗證系統 中的-個可狀案指出’所獲取的驗證金鑰本身當然也可以與使用者識別 15 201251413 資訊連結而再進行儲存。 再者’上述&述疋基於只有驗證金鑰識別資訊與要概存的使用者識 別貧訊進行連結的方案而作_述。但是,根據驗證系財的—個可行方 iB > -fm (service reference time information) 被儲存的使用者識別資訊進行連結。 在此’該服務參考時間資訊是由一確定的參考時間(determi顿如 reference time)定義出的資訊’其與使用者透過遊戲人口祠服器2〇〇作出遊 戲服務請求的時間有關。 舉例來說,使用者透過遊戲人口値器作出遊戲服務請求的時刻, 在遊戲入σ词服器2〇〇中獲取種子資料的時刻,在代理驗證裝置丨⑽中接 收到種子資料的時刻’以及根據種子資料複本在代理驗證裝置⑽中獲取 驗證金鑰的時刻,這些之中的任一個時刻都可用來作為該服務參考時間資 訊。 當作出遊戲服務請求的時刻或獲取種子資料的時刻用作該服務參考時 間資訊時,遊戲入口伺服器200可使用作出遊戲服務請求的時刻或獲取種 子資料的時刻來作為種子資料。在此例中,遊戲入口伺服器2〇〇可能無法 將遊戲服務的請求時刻或種子資料的獲取時刻,與種子資料分開傳送到代 理驗證裝置100。 根據本發明的一個特定實施例(見第7圖,容後描述),前述的服務參 考時間資訊可被用於遊戲服務之使用者驗證的一個程序中。 在步驟S34中’代理驗證裝置1〇〇的一代碼產生器130會利用在前述 步驟S30中獲取的驗證金鑰以及在前述步驟S28中從遊戲入口伺服器200 16 201251413 接收到的種子資料’根據預定的雜湊函數來產生驗證代碼。 接著,在步驟S36中,代理驗證裝置1〇〇的一發射器16〇會將所產生 的驗證代碼傳送給遊戲入口伺服器200。 如前所述’在本發明的實施例中,每當使用者請求相應的在線服務並 傳送請求到遊戲入口伺服器200時,用作在線服務之使用者驗證的驗證代 碼係由代理驗證裝置100使用新的驗證金鑰來重新產生。在使用者想要取 得驗證時,轉送到遊戲入口伺服器200的驗證代碼又會透過安裝在客戶端 1〇〇中的遊戲客戶端程式14轉送到遊戲伺服器300,因此本發明在驗證過 程中根本上可以避免掉被非善意的使用者駭入或盜取的風險。 第6圖顯示在一實例中代理驗證裝置從遊戲艮器接收到驗證代碼進 行驗證識程序的流糊’也就是說,第6酬示了介於第2圖中的程 序[6]和程序[7]之間的在代理驗證裝置巾執行的一個驗證程序(亦即, 查證該驗證代碼的程序)。 在步驟S46中,當遊戲伺服器接收到從遊戲客戶端程式Μ傳來的 想要進行驗證的-個特定驗證代碼時,遊戲値器獨會將從遊戲客戶端 程式14接收到的該驗證代碼以及查料傳送給代理驗證值器⑽。 如果嘗試要進行驗證的該特定驗證代碼是正常的話該查證資料可與 遊戲客戶端程式U從遊戲入〇飼服器獅傳來而從遊戲键器3⑻轉 w…的種子貝料相同。也就是說’遊戲祠服器3⑻可使用透過遊戲客戶 端程式14從遊戲入口飼服器接收到的種子資料就作為該查證資料,這 部份將會在後謂㈣9嶋—步的贿,輯的是,娜驗證系統 中的一個可行實施方案指出,《證㈣未必需要與該種子資料相同。但 17 201251413 是,在第6圖中,是假定該查證資料是與該種子資料相同而作的描述。 當代理驗證裝置100透過步驟S48接收到驗證代碼和查證資料時,在 步驟S50中,代理驗證裝置100中的一查證資訊獲取單元14〇會從訪問歷 史資料庫104中獲取相應於使用者嘗試驗證以在使用者驗證取得相應遊戲 服務時使用的驗證金鑰識別資訊。 如前所述,在第5圖的步驟S32中,代理驗證裝置10〇的驗證金鑰管 理器120會將驗證金鑰的驗證金鑰識別資訊登錄至訪問歷史資料庫1〇4,該 驗證金鑰係與遊戲服務請求者的使用者識別資訊作連結,且被用來產生要 被用來對相應遊戲服務請求取得驗證的驗證代碼。 因此,查證_貝訊獲取單元14〇可從訪問歷史資料庫1〇4識別該驗證金 鑰識別資訊,其與相應於使用者嘗試驗證的使用者識別資訊作連結。 接著’在步驟S52中,查證資訊獲取單元14〇可從訪問歷史資料庫中, 基於識別ώ的驗證金賴職訊,㈣(或獲取)相麟使用者嘗試進行 驗證的驗證金鑰。 藉此,當個驗證金鑰被析出時,在步驟S54中,代碼產生器13〇會參 照所析出的驗證金鑰和查證資料產生—查證代碼(verificati〇n t〇ken)。在此 例中’於第3圖的前述步驟S34中用來產生驗證代碼的雜凑函數也用來產 生該查證代碼。 在步驟S56中’代理驗證裝置1〇〇的一驗證結果產生$ W會將在前 述步驟S48中接收到的驗證代顯該查證代碼進行比較,並產生一識別驗 證結果。也就是說,當該兩代碼彳目同時,驗證結果產生器15()會產生指出 嘗4的驗知正常的識職騎果(例如,驗證成功)。但是,當該兩代碼 201251413 不相同時’驗證結果產生器150會產生指出嘗試的驗證是不正常的識別驗 證結果(例如,驗證失敗)。 在步驟S58中’所產生的識別驗證結果會透過發射器ι6〇傳送到遊戲 飼服益300 ’而在步驟S6〇中,遊戲伺服器3〇〇會基於所接收到的識別驗證 結果來處理驗證。也就是說,當所接收到的識別驗證結果是一個成功驗證, 則遊戲伺㈣會允許細者轉驗絲使舰舰務。但是,當所接 收到的識別驗證結果是一個失敗驗證’則遊戲伺服器3〇〇會禁止使用者取 得驗證來使用遊戲服務。 在上述描述中,嘗試驗證而被判定為不正常的情況係例示於第8圖。 第8圖例不了客戶端1〇嘗試進行由特定遊戲伺服器3〇〇提供的在線服務而 執行的使用者驗證時沒有通過遊戲入口伺服器2〇〇驗證的情況。 舉例來說’假設在最近使用的時間中使用者A透過遊戲入口伺服器2〇〇 使用遊戲伺服器300提供的遊戲服務,在最近使用的時間中種子資料為“種 子-貝料1 ’使用“種子資料丨”所產生的驗證代碼和在最近使用的時間中隨機 析出的驗證代碼假定為“驗證代碼1”。 接著雖然傳統上駭客會針對用來作為使用者A使用遊戲服務之使用 者驗。^'的特疋的驗證代碼進行譯解,基於所譯解的驗證代碼來獲取特定 的驗證金鑰,並使用所獲取的該特定的驗證金鑰來產生“驗證代碼2”,但是 在本發明的實施财,該驗證錄每次都會錄被改變,這_客所嘗試 的驗證會被處理為如第8圖所示的驗證失敗。 在上述描述中,已經描述過了透過驗證代碼和查證代碼之間的比較所 、行的驗程序。然而,根據本發明的實施例,其他的驗證參考資訊也可 19 201251413 這部份會配合第7圖作進一步的描述。 以進一步加入該驗證程序中 第7圖顯7F在-實例中代理驗證裝置透過比較一驗證參考時間和一服 齡糊細爾樣糾細。紐m關示了— 特定的寺間翻參考進—步加人作為驗證參考,這個例子可顧於服務參 考時間魏與使用者識別資訊連結以透過第5圖的前述步驟啦登錄在訪 問歷史資料庫中的情況。 當代理驗證裝置100在步驟S48從纖飼服器3〇〇接收到驗證代碼和 查證資料時,在麵S7G ’代理驗職置的查料崎取單元14〇會從 访問歷史資料庫104獲取(或識別)相應於使用者嘗試驗證的使用者識別 資訊的服務參考時間資訊。 在步驟S72中,查證資訊獲取單元14〇會獲取驗證參考時間資訊。該 驗證參考時間資訊是由—確定的參考時間定義出的資訊,其與使用者針對 相應服務所作的驗證有關。 舉例來說,嘗試進行驗證的時刻,從遊戲伺服器3〇〇接收到驗證代碼 或查證資料的時刻,根據該查證資料複本在代理驗證裝置1〇〇中獲取的驗 證金鑰的時刻’以及將服務參考時間資訊與驗證參考時間進行比較的現在 這個時刻,都可以用來作為該驗證參考時間資訊。 在步驟S74中’代理驗證裝置1〇〇的驗證結果產生器ι5〇可指出驗證 參考時間資訊和所獲取的服務參考時間資訊之間的時間差異是否超出了一 預定的時間範圍T0。 當判定的結果指出該時間差異超出了該預定的時間範圍時τ〇,在步驟 S76中驗證結果產生器150會產生一個指出嘗試驗證為不正常的識別驗證 201251413 、、·.果並且在步驟S78中發射器⑽#將該識別驗證結果傳送到遊戲伺服 器300。在此例中,在步驟S8〇中,遊戲伺服器300會基於指出不正常之嘗 試驗證的賴微證結絲處理驗證,也就是防堵(w〇ck)。 如前所述叫湖時間範圍(例如15分鐘)被額外蚊為該驗證參 考,此因如果嘗试的驗證為正常的話,一般遊戲服務的驗證會在請求遊戲 服務之後隨即進行。也就是說,錄將該時間差異超出了該日_圍的情 況就必紐其認定為是不善意的,例如侵人意圖,但是這種情況有很高的 可能性是不具善意的。’透過額外設定該時·異,更能夠加強使用 者驗證的安全性。 然而,如步驟似判定的結果—般,當該時間差異沒有超出該預定的 時間範圍T。時,驗證結果產生器15〇可進行第6圖的前述步驟⑽,也就 是說’基於驗證紐的-個可行方案,驗證辦可被設定為僅當該時間差 異在該時間翻内時,第6圖的步驟S5Q之前的步驟才會被執行。 使用代理驗證餘的錢職驗财法已祕如上,但是本發明 的在線服務驗證方法並不限定簡述第4圖至第7圖,其他實施例和各種 改良實例也適用於本發明。在此’另—實施例和各種改良實例會配合第9 圖和第10圖來加以描述,第9圖和第10圖的幾個技術内容和第4圖至第 10圖相同,因此在此只會簡短地描述其間的主要差異。 第9圖顯示在另-實例中代理驗證裝置識別從纖飼服器接收到的驗 证代竭的程序的示意圖。在此’第9圖中步驟S46、⑽及_與第6圖的 相同,因此其詳細的描述在此予以省略;第9圖中步驟撕和步驟犯9與 第6圖中步驟S5〇和步驟S56類似,因此其詳細的描述在此予以省略。 21 201251413 在前述第6圖中,如在步驟S54描述的,代理驗證裝置1〇〇會使用從 遊戲伺服器300接收到的查證資料來產生查證代碼。但是,在第9圖中, 代理驗證裝置100會使用先前從遊戲入口伺服器2〇〇接收到的種子資料(見 步驟S85和步驟S87)來產生該查證代碼。步驟S85和步驟S87可簡單地 透過代理驗證裝置1〇〇以下述方式來實現:當代理驗證裝置1〇〇從遊戲入 口伺服器200接收到該種子資料時,將從遊戲入口伺服器2〇〇接收到該種 子資料與使用者識別資訊進行連結並將他們儲存起來(見步驟S81)。 在這樣的實施方式中,從遊戲伺服器3〇〇傳送到代理驗證裝置1〇〇的 查證資料只包含使财嘗試進行驗證驗贿酬資訊也是可以接受的。 第10圖顯示在另一實例中代理驗證裝置識別從遊戲伺服器接收到的驗 證代碼的程序的示意圖。在此,第1G圖中步驟S46、S58及S6G與第6圖 的相同,因此其詳細的描述在此予以省略。 在第6圖和第9g中,代理驗證裝置關用查證f料或種子資料來產 生該查證代碼,麟皱證金鑰酬資減/或驗證金鑰。但是,在第10 圖t ’在步驟S91 ’代理驗證裝置100將第5圖的前述步驟S34所產生的驗 迅代碼與該細者酬資訊進行連結,並將驗證錄直雜存在訪問歷史 資料庫中,因此並不特別需要產生查證代碼的程序。 也就是說’在此例巾,藉自朗所儲存的驗證代碼作為該查證代瑪, 並比較所齡驗證代韻錢戲值$ 3⑽魏_碰_ (見步驟 S93和步驟S95) ’代理驗證裝置廳即可簡單地產生識職證結果。 '斤过雖…本發明已用較佳實施例揭露如上,然本發明所屬技術 領域中具有通常知識者,在不麟本發明之技術精神和劍内,當可作各 22 201251413 種之更動與潤飾’顯然地’所作之更動與潤飾均落在本發明後附之申請專 利範圍所界定之保護範圍内。 【圖式簡單說明】 第1圖顯示根據本發明之實施例實現的在線服務驗證系統的示意圖。 第2圖顯示根據本發明之實施例實現的在線服務驗證通用流程。 第3圖顯示在一實例中客戶端要求認證和請求在線服務的程序的流程 圖。 第4圖顯示根據本發明之實施例實現的代理驗證裝置的示意圖。 第5圖顯示在一實例中根據來自遊戲入口伺服器的種子資料複本而在 代理驗證裝置中產生驗證代碼的程序的流程圖。 第6圖顯示在一實例中代理驗證裝置從遊戲伺服器接收到驗證代碼進 行驗證識別的程序的流程圖。 第7圖顯示在一實例中代理驗證裝置透過比較驗證參考時間和服務參 考時間來進行驗證識別的程序的流程圖。 第8圖顯示根據本發明的實施例中被在線服務驗證方法判定為不正常 的驗證嘗試的情況的示意圖。 第9圖顯示在另一實例中代理驗證裝置識別從遊戲伺服器接收到的驗 證代碼的程序的示意圖。 第10圖顯示在另一實例中代理驗證裝置識別從遊戲伺服器接收到的驗 證代碼的程序的示意圖。 【主要元件符號說明】 10 客戶端 12 網頁瀏覽器 23 201251413 14 遊戲客戶端程式 50 通訊網路 100 代理驗證裝置 102 驗證金鑰資料庫 104 訪問歷史資料庫 110 接收器 120 驗證金鑰管理器 130 代碼產生器 140 查證資訊獲取單元 150 驗證結果產生器 160 發射器 200 遊戲入口伺服器 202 會員資料庫 300 遊戲伺服器 302 遊戲資料庫 S10-S18 步驟 S20-S28 步驟 S30-S38 步驟 S40-S48 步驟 S50-S58 步驟 S60 步驟 S70- -S78 步驟 S80 步驟 S81-S89 步驟 S91 〜S95 步驟 24

Claims (1)

  1. 201251413 七、申請專利範圍: 1、 一種在線服務的驗證方法,其透過一代理驗證媒介與一入口词服器 和一服務伺服器進行通訊,該方法包含: 每當從該入口词服器接收到一種子資料時,利用一新的驗證金餘來產 生一驗證代碼’該種子資料包含在一使用者透過該入口伺服器請求一在線 服務時使用的一使用者識別資訊’該種子資訊並被用來產生一要被用來對 該在線服務作使用者驗證的驗證代碼; 將所產生的驗證代瑪傳送到該入口伺服器,該驗證代碼並從該入口伺 服器傳送到該服務伺服器以用作使用者驗證; 參考一查證資料和相應於包含在該查證資料的該使用者識別資訊的— 驗證金鑰來產生一查證代碼,該查證資料包含該使用者在請求使用者驗證 時使用的該使用者識別資訊;以及 根據該查證代碼和從該服務伺服器接收到的該驗證代碼之間的一致 性’將請求驗證的一識別驗證結果傳送到該服務伺服器。 2、 如申請專利範圍第1項所述之在線服務的驗證方法,其中每當該種 子資料被接收時,該驗證金鑰係隨機地從包含複數個驗證金錄的一驗證金 输池中選出。 3、 如申請專利範圍第1項所述之在線服務的驗證方法,其中每當從該 入口伺服H接㈣難子資料時,_賴的驗證金齡產生驗證代碼的 步驟包含賴該钱無個者刻f訊,並_所賴雜證金输。 4、 如申請專利範圍第1項所述之在線服務的驗證方法,其中每當從該 入口伺服器接收到該種子資料時,利用該新的驗證金鑰來產生驗證代碼的 25 201251413 以連結一驗證金鑰識 步驟包含繼驗證金麟定等同於該使用者識別資訊 別資訊,並儲存所連結的驗證金鑰識別資訊,以及 產生該查證代碼的步驟包含: 獲取相應於包含在該查證資料中之該使用者識別資訊的驗證代碼識別 資訊;以及 從-驗澄金錄池中取出相應於所獲取之驗證金錄識別資訊的驗證金 錄。 5、 如申請專利範圍第1項所述之在線服務的驗證方法,更包含: 每當接收到該種子資料時’連結與該使用者透過該入口伺服器作出的 一在線服務請求相關的一服務參考時間資訊以及包含在該種子資料令的該 使用者識別資訊,並儲存所連結的服務參考時間資訊; 獲取相應於包含在該查證資料中的該使用者識別資訊的服務參考時間 資訊;以及 當與該使用者驗證相關的一驗證參考時間資訊和所獲取的服務參考時 間資訊之間的時間差異超過一預定的時間範圍時,將指出驗證嘗試為不正 常的一識別驗證結果傳送到該服務伺服器。 6、 如申請專利範圍第5項所述之在線服務的驗證方法,其中該服務參 考時間資訊係為該使用者透過該入口伺服器作出在線服務請求的時刻,在 該入口伺服器中獲取該種子資料的時刻,接收到該種子資料的時刻’以及 根據該種子資料的複本而獲取驗證金鑰的時刻,這些時刻任一者的資訊; 以及 該驗證參考時間資訊為嘗試進行使用者驗證的時刻’從該服務伺服器 26 201251413 接收到該驗證代碼或該查歸_時刻,娜該查證#_複本所獲取的 驗證金賴綱’以及將該服務參考時間資訊與該驗證參考時間進行比較 的現在時刻,這些時刻任一者的資訊。 摹 . 7、如申請專利範圍第5項所述之在線服務的驗證方法,其中產生該查 證代碼的步祕在該麟參考時間魏和舰務參考時間資歡間的該時 間差異落在該預定的時間範圍内時才被執行。 8、 一種在線服務的驗證方法,其透過一代理驗證媒介與一入口伺服器 和一服務伺服器進行通訊,該方法包含: 每當從該入口伺服器接收到一種子資料時,利用一新的驗證金鑰來產 生一第一驗證代碼,該種子資料包含在一使用者透過該入口伺服器請求一 在線服務時使用的-使用者識別資訊,該種子資訊並被用來產生一要被用 來對該在線服務作使用者驗證的驗證代碼; 將所該第一驗證代碼傳送到該入口伺服器,該第一驗證代碼並從該入 口伺服器傳送到該服務伺服器以用作使用者驗證; 從該服務伺服器接收一第二驗證代碼以及該使用者在請求該在線服務 時使用的使用者識別資訊; 參考該種子資料和相應於在該使用者進行使用者驗證時所使用的使用 者識別資訊的一驗證金錄來產生一查證代碼;以及 根據s玄查證代碼和該第二驗證代碼之間的一致性,將請求使用者驗證 的一識別驗證結果傳送到該服務伺服器。 9、 一種在線服務的驗證方法’其透過一代理驗證媒介與一入口伺服器 和一服務伺服器進行通訊,該方法包含: 27 201251413 每當從該入口伺服器接收到一種子資料時,利用—新的驗證金錄來產 生一第一驗證代碼’該種子資料包含在一使用者透過該入口伺服器請求一 在線服務時使用的一使用者識別資訊,該種子資訊並被用來產生一要被用 來對該在線服務作該使用者驗證的驗證代碼; 將該第一驗證代碼傳送到該入口伺服器,該第一驗證代碼並從該入口 伺服器傳送到該服務伺服器以用作使用者驗證; 從該服務词服器接收一第二驗證代碼以及該使用者進行使用者驗證時 所使用的使用者識別資訊; 獲取相應於從該服務伺服器接收到之使用者識別資訊的該第一驗證代 碼;以及 根據從該服務伺服器接收到的該第二驗證代碼和相應於從該服務伺服 器接收到之使用者識別s訊所獲取到的第一驗證代碼之間的一致性,將請 求使用者驗證的一識別驗證結果傳送到該服務伺服器。 10、一種代理驗證裝置,其與一入口伺服器和一服務伺服器互相通訊, 該代理驗證裝置包含: 一接收器,用以從該入口伺服器接收一種子資料並從該服務伺服器接 收一驗證代碼和一查證資料’該種子資料包含在一使用者透過該入口伺服 器請求一在線服務時使用的一使用者識別資訊,該種子資訊並被用來產生 該驗證代碼,該查證資料包含該使用者在請求使用者驗證以取得該在線服 務時使用的使用者識別資訊; 一代碼產生器’每當接收到該種子資料時,該代碼產生器用以利用一 新的驗證金錄來產生該驗證代碼,並參考該查證資料和相應於包含在該查 201251413 證資料的該使用者識別資訊的一驗證金錄來產生—查證代碼; 一驗證結果產生器,用以根據該查證代碼和從該服務伺服器接收到的 . 該驗證代碼之間的一致性,來產生請求使用者驗證後的一識別驗證結果; 以及 一發射器,用以將該識別驗證結果傳送到該服務伺服器,並將根據該 種子s料的複本產生的驗證代碼傳送到該入口词服器。 U、如申請專利範圍第10項所述之代理驗證裝置,其中每當該種子資 料被接收時,該驗證金鑰係隨機地從包含複數個驗證金鑰的一驗證金鑰池 中選出。 12、 如申請專利範圍第1〇項所述之代理驗證裝置,更包含一驗證金输 管理器’每當該種子資料被接收時’該驗證金鑰管理器用以將該驗證金输 或一驗證金鑰識別資訊連結到包含在該種子資料中的該使用者識別資訊, 並儲存所連結的驗證金鑰或驗證金鑰識別資訊。 13、 如申請專利範圍第12項所述之代理驗證裝置,更包含一查證資訊 獲取單7G,其用以獲取相應於包含在該查證資料中之該使用者識別資訊的 驗1^代碼識別資訊,並從一驗證金錄池中取出相應於所獲取之驗證金鑰識 別資訊的驗證金錄。 14、 如申請專利範圍第10項所述之代理驗證裝置,其中每當接收到該 種子貝料時’該驗證金鑰管理器連結與該使用者透過該入口伺服器作出的 在線服務睛求相關的一服務參考時間資訊以及包含在該種子資料中的該使 用者識別資訊’並儲存所連結的服務參考時間資訊;以及 當與該使用者驗證相關的一驗證參考時間資訊和相應於包含在該查證 29 201251413 資料中的該使用者識別資訊的服務參考時間資訊之間的時間差異超過一預 定的時間範圍時,該驗證結果產生器會產生指出使用者驗證嘗試為不正常 的一識別驗證結果。 15、 一種在線服務驗證系統,該系統包含: 一入口伺服器,用以當從一客戶端接收到一在線服務請求時,該入口 伺服益獲取一種子資料,該種子資料包含在一使用者透過該入口伺服器作 出该在線服務請求時時使用的一使用者識別資訊,該種子資訊並被用來產 生一要被用來對該在線服務作使用者驗證的驗證代碼;以及 一代理驗證裝置,每當從該入口伺服器接收到該種子資料時,該代理 驗證裝置用以新的驗證金齡產生驗證代碼,用以將所產生的驗證 代碼傳送到該入口伺服器,當從提供該在線服務的一服務伺服器中接收到 該驗證代碼和-查證資料時’用以參考該查證資料和減於包含在該查證 資料的該使用者識別資訊的一驗證金鑰來產生一查證代碼,並用以根據該 查證代碼和從該服務伺服器接收到的驗證代碼之間的一致性,將該使用者 為取得該在線服務而請求使用者驗證後得出的一識別驗證結果傳送到該服 務伺服器》 16、 如申請專利範圍第15項所述之在線服務驗證系統,其中每當從該 入口飼服器接收到該種子資料時,該代理驗證裝置將該驗證金鑰或一驗證 金矯識別資訊連結到包含在該種子資料中的該使用者識別資訊,並儲存所 連結的驗證金鑰或驗證金鑰識別資訊。 17、 如申請專利範圍第15項所述之在線服務驗證系統,其中每當接收 到該種子資料時’該代理驗證裝置連結與該使用者透過該入口伺服器作出 30 201251413 的該在線麟請求相關的-服務參考_資誠及包含在該種子資料中的 該使用者識別資訊’並儲存所連結的服務參考時間資訊; 獲取相應於包含在該查證資料中之該使用者識別資訊的服務參考時間 資訊;以及 當與該使用者驗證相關的驗證參考時間資訊和所獲取的服務參考時間 資訊之間的賴差異超過i定_間範_,傳送如使用者驗證嘗試 為不正常的一識別驗證結果。 18、如中請專利範圍第15項所述之在線服務驗證系統,其巾當該服務 祠服器為-遊戲舰器時’該入口祠服器傳送該種子資料和從該代理驗證 裝置接收到的該驗證代碼到安裝在該客戶端的一遊戲客戶端程式, 傳送到該遊齡戶·_該驗證代碼和該好雜透過該服務舰 器被傳送到該代理驗證裝置,以及 該代理驗證裝置使用從該服務伺服器接收到的該種子資料作為該該查 證資料。 19 種6十算機可瀆記錄媒體程式,用於執行一在線服務驗證方法, 其透過-驗證媒介與-人口値器和—服務飼服器進行通訊,該程式包含 以下功能: 每备從該入口伺服器接收到一種子資料時,利用一新的驗證金餘來產 生一驗證代碼,該種子資料包含在一使用者透過該入口伺服器請求一在線 服務時使關-使用者制資訊,該種子資訊並被用來產生—要被用來對 該在線服務作使用者驗證的驗證代碼; 將所產生的驗證代碼傳送到該入口伺服器,該驗證代碼並從該入口伺 31 201251413 服器傳送到該服務伺服器以用作使用者驗證; 參考一查證資料和相應於包含在該查證資料的該使用者識別資訊的一 驗證金鑰來產生一查證代碼’該查證資料包含該使用者在請求使用者驗證 時使用的該使用者識別資訊;以及 根據該查證代碼和從該服務伺服器接收到的該驗證代碼之間的一致 性,將請求驗證的一識別驗證結果傳送到該服務伺服器。 20、 一種計算機可讀記錄媒體程式,用於執行一在線服務驗證方法, 其透過一驗證媒介與一入口伺服器和一服務伺服器進行通訊,該程式包含 以下功能: 每當從該入口伺服器接收到一種子資料時,利用一新的驗證金鑰來產 生一第一驗證代碼,該種子資料包含在一使用者透過該入口伺服器請求一 在線服務時使用的一使用者識別資訊,該種子資訊並被用來產生一要被用 來對該在線服務作使用者驗證的驗證代碼; 將所該第一驗證代碼傳送到該入口伺服器,該第一驗證代碼並從該入 口伺服器傳送到該服務伺服器以用作使用者驗證; 從該服務魏器接收-第二驗證代碼以及該使用者在請求該在線服務 時使用的使用者識別資訊; 參考該種子資料和城於在紐用者進行制者驗證_使用的使用 者識別資訊的一驗證金鑰來產生一查證代碼;以及 根_查證代竭和該第二驗證代碼之間的__致性,將請求使用者驗證 的一識別驗證結果傳送到該服務伺服器。 21、 一種計算機可讀記錄媒難式,用於執行-在線服務驗證方法, 32 201251413 其透過一驗證媒介與一入口伺服器和一服務伺服器進行通訊,該程式包含 以下功能: 每當從該入口伺服器接收到一種子資料時,利用一新的驗證金鑰來產 生一第一驗證代碼,該種子資料包含在一使用者透過該入口伺服器請求一 在線服務時使用的一使用者識別資訊,該種子資訊並被用來產生一要被用 來對該在線服務作該使用者驗證的驗證代碼; 將該第一驗證代碼傳送到該入口伺服器,該第一驗證代碼並從該入口 伺服器傳送到該服務伺服器以用作使用者驗證; 從該服務伺服器接收一第二驗證代碼以及該使用者進行使用者驗證時 所使用的使用者識別資訊; 獲取相應於從該服務伺服器接收到之使用者識別資訊的該第一驗證代 碼;以及 根據從該服務伺服器接收到的該第二驗證代碼和相應於從該服務伺服 器接收到之使用者識別資訊所獲取到的第一驗證代碼之間的一致性,將請 求使用者驗證的一識別驗證結果傳送到該服務伺服器。 33
TW101109327A 2011-06-03 2012-03-19 Authentication agent apparatus, and method and system for authenticating online service TW201251413A (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110054198A KR101273285B1 (ko) 2011-06-03 2011-06-03 인증 에이전트 장치, 온라인 서비스 인증 방법 및 시스템

Publications (1)

Publication Number Publication Date
TW201251413A true TW201251413A (en) 2012-12-16

Family

ID=47259538

Family Applications (1)

Application Number Title Priority Date Filing Date
TW101109327A TW201251413A (en) 2011-06-03 2012-03-19 Authentication agent apparatus, and method and system for authenticating online service

Country Status (3)

Country Link
KR (1) KR101273285B1 (zh)
TW (1) TW201251413A (zh)
WO (1) WO2012165716A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI499269B (zh) * 2013-02-04 2015-09-01 Delta Networks Xiamen Ltd 認證與授權的方法及系統
TWI746920B (zh) * 2019-01-04 2021-11-21 臺灣網路認證股份有限公司 透過入口伺服器跨網域使用憑證進行認證之系統及方法

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101473656B1 (ko) * 2013-01-07 2014-12-24 주식회사 안랩 모바일 데이터 보안 장치 및 방법
US10021091B2 (en) 2013-05-23 2018-07-10 Intertrust Technologies Corporation Secure authorization systems and methods
US9313024B1 (en) * 2013-06-13 2016-04-12 Masergy Communications, Inc. Keyed communication token
CN109861954B (zh) * 2018-07-24 2021-12-10 西安新路网络科技有限公司 一种认证方法、移动终端、pc端及辅助认证服务器

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100908378B1 (ko) * 2002-06-28 2009-07-20 주식회사 케이티 에이전트를 이용한 타임스탬프 서비스 방법
US7900247B2 (en) 2005-03-14 2011-03-01 Microsoft Corporation Trusted third party authentication for web services
EP2051469A1 (en) 2007-10-15 2009-04-22 Axalto SA Delegation of authentication
KR20090054774A (ko) * 2007-11-27 2009-06-01 한국정보보호진흥원 분산 네트워크 환경에서의 통합 보안 관리 방법
KR100991651B1 (ko) * 2008-07-28 2010-11-02 주식회사 엔씨소프트 통신망을 이용한 pc 인증 및 과금 처리 시스템과 그 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI499269B (zh) * 2013-02-04 2015-09-01 Delta Networks Xiamen Ltd 認證與授權的方法及系統
TWI746920B (zh) * 2019-01-04 2021-11-21 臺灣網路認證股份有限公司 透過入口伺服器跨網域使用憑證進行認證之系統及方法

Also Published As

Publication number Publication date
KR20120134942A (ko) 2012-12-12
KR101273285B1 (ko) 2013-06-11
WO2012165716A1 (en) 2012-12-06

Similar Documents

Publication Publication Date Title
CA3053316C (en) Method for providing simplified account registration service and user authentication service, and authentication server using same
US20200106768A1 (en) Single sign on with multiple authentication factors
US9641521B2 (en) Systems and methods for network connected authentication
US7447910B2 (en) Method, arrangement and secure medium for authentication of a user
US7730321B2 (en) System and method for authentication of users and communications received from computer systems
WO2019134233A1 (zh) 网络令牌生成的方法、装置、终端设备及存储介质
KR101689419B1 (ko) 온라인 멤버십 검증
EP1719283B1 (en) Method and apparatus for authentication of users and communications received from computer systems
MX2008015958A (es) Estructura de verificacion de credencial biometrica.
CA2525121A1 (en) Method and apparatus for authentication of users and web sites
US20110276804A1 (en) Server authentication method and client terminal
TW201251413A (en) Authentication agent apparatus, and method and system for authenticating online service
CN107005568A (zh) 数据安全操作与预期
JP2001265694A (ja) 通信チャンネル設定の支援方法及びその具現のためのコンピューターで読出できる記録媒体
JP2017507552A (ja) クライアント側のスコアベース認証を与える方法及び装置
JP2006311529A (ja) 認証システムおよびその認証方法、認証サーバおよびその認証方法、記録媒体、プログラム
US11444936B2 (en) Managing security credentials
JP2010531005A5 (zh)
CN108475309A (zh) 用于生物特征协议标准的系统和方法
WO2021101632A1 (en) Know your customer (kyc) and anti-money laundering (aml) verification in a multi-decentralized private blockchains network
CN111143822A (zh) 一种应用系统访问方法及装置
US7757080B1 (en) User validation using cookies and isolated backup validation
US20170104748A1 (en) System and method for managing network access with a certificate having soft expiration
JP2004302921A (ja) オフライン情報を利用したデバイス認証装置及びデバイス認証方法
WO2021107755A1 (en) A system and method for digital identity data change between proof of possession to proof of identity