TWI224459B - Implementation method of secure authentication of electronic transaction - Google Patents

Description

1224459

發明所屬之技術領域： a本發明係一種網路交易安全認證之實現方法，尤指/種 令一具手寫輸入之手機或一具寫字板之電腦並配合/般手 機之使用者端，可透過一認證伺服器所發送之一動態密 碼且配合一使用者之簽名，以取得該認證伺服器之雙重 驗證後，即可獲得一增加網路上安全交易之方法。 先前技術： 、由於網路世界之蓬勃發展’各式各樣之網路設備不斷地 被開4出來’且被各行各業廣泛地使用於其生活及工作環 化中’此一發展趨冑，不僅加速了資訊流通之速度及效 率，亦為人們在生活及工作上帶來極大了之便利。 夕〜近，=，酼著無線區域網路卡之安裝數量日漸增加，許 夕：：已開始透過無線區域網路技術 且隨著網^路應 1之高速擴張與電子 ^ 人們對網路銀行、網路支付， 兄 又° 子化服務曰益普及，已期務=的電 話銀行服務、手機銀行服務與網路銀行服務，缺^展至由U 許多無線網路完全沒有任何防護措施，駭客於 網路弋V:與曰劇增，即可能遭附近駭客入；；； 機密資料、植入病毒或修改網頁’因此 ^要 可靠、及時、準確之網路安全交易服務，是必須d: 術問題。 尸、肝决之技

1224459 五、發明說明（2) 目前國内網路交易系統通常採用之方法’係在一傳輸控 制協定（Transmission Control Protocol ，以下簡稱 TCP)架構上實現一安全編碼技術（Secure Socket

Layer ，以下簡稱)，田砂ί ir示稱丫〜丨、训丁丨儿力 區段（segment )，因此會在資料中，加入檢查碼，以便 接收端進行查核之工作。而該SSL是目標最為常見之一種 資料加密技術，也被廣泛應用在網路交易安全上，用以避 免在網路上傳遞之資料被其他人所攔截，其實現技術係在 用戶端安裝該SSL貧料安全代理，以網頁通訊代理服務 (Web Proxy)的形式，為瀏覽器提供一資料加密之能力。 該SSL資料安全代理與網頁瀏覽器係安裝在同一台電腦 上。當該網頁瀏覽器要與遠端網頁伺服器建立安全連接 時，其將會向該SSL資料安全代理發出請求，並由該ssl資 料安全代理負責與該遠端網頁伺服器建立連接；當該ss、 資料安全代理貞責與It遠端網頁飼服器連接建 剛器與遠端網頁伺服器之間的資料傳輸，則係‘ SSL資料安全代理轉發完成的。 刺你、.二過该 惟，透過該SSL資料安全❹ 最大缺點在於安全性差，仓 曰驗也方式，其 友 匕的安全缺陷來自於它的A太+ 碼，由於該兩套密碼都|^ %匕的兩套密 破解、易竊取，且存在較大 :3故易知測、易 如何提供一種網路交易更h 王®心 土於這些現實， 決之一重要課題。 女王之力法’即成為業者亟待解

第5頁 1224459

五、發明說明（3) 發明内容： 有鑒於前述傳統該SSL資料安全代理之電子證書驗證方 式’存在較大之安全隱患’容易為其他人所攔截等諸多缺 點。故，發明人乃經過多年之實務經驗及研究心得，終於 開發設計出本發明之一種「網路交易安全認證之實現方 法」，期藉由該實現方法，以增加使用者在網路交易上之 安全性。 本發明之目的，係在使用者端進行網路交易時，可先向 認證伺服器發送第一次交易請求，經該認證伺服器產生一 隨機動態密碼，並發送回該使用者端後，再將該動態密碼 連同一使用者所輸入之簽名，向該認證伺服器發送第二次 交易請求，並經該認證伺服器確認該動態密碼與使^用立簽 名無誤後广即向網路銀行交易系統發出交易命令，如此， 透過該簽名筆跡及動態密碼之雙重驗證，可增加該網路交 易之安全性；其中該使用者端可以為一具有手寫輸入功能 之手機或一具有寫字板之電腦並配合一般之手機，藉此， 可進行一網路銀行、網路保險、網路證券及網路採^等交 易，同時，該認證伺服器係採用專用認證伺服器進行認 證’可保障使用者應用系統之完整性及系統資源。 今，為能更清楚地表達本發明之技術手段及運作過程， 茲配合圖式舉一較佳實施例，詳細說明如下： 實施方式：

第6頁 1224459 五、發明說明（4) 本發明係一種「網路交易安全認證之實現方法」，請參 閱第1圖所示’該方法主要係令一使用者端丨〇在進行網路 交易時，先向一認證伺服器丨丨發送第一次交易請求，並經 該認證伺服11上之一使用者數據庫與一認證紀錄，產生 一隨機動態密碼後’由一通信模組丨2將該動態密碼發送回 該使用者端1 0 ’㈣’再由該使用者端1 〇將該動態密碼連同 一使用者所輸入之簽名’向該認證伺服器丨丨發送第二次交 易請求，並經該認證伺服器1丨確認該動態密碼與使用者簽 名無誤後，即向一網路銀行交易系統丨3發出交易命令，藉 以增加網路交易之安全性。 明之一最佳實施例中 或一具有寫字板之電腦並配合一般 一專用認證伺服器11進 認證’保障使用者應用 該使用者數據庫與認證 動態密碼認證基礎，並 在本發 有手寫輸入 之手機，且 行認證，能 系統之完整 紀錄，藉以 對使用者之 在該實 該網路銀行 為一X乘一Y 使用者在進 跡至該認證 内之手寫簽 手寫簽名筆 功能之手機 該認證伺服 處理使用者 性及系統資 構成本發明 手寫簽名筆 施例中，該 交易系統1 3 大小之點陣 行網路交易 伺服器1 1上 名筆跡進行 跡的每個相 器11係採用 之訪問請求 源，並擁有 所謂之隨機 跡進行驗證 手寫簽名之 内留下其手 ，並保存在 時，係透過 ，與預存在 一相似度之 鄰之點採樣 實現，係令使用者預先在 寫簽名筆跡，且可定義 該認證伺服器丨1中，去 網路發送其手寫簽名i :::罔路銀行交易系統13 k匕較，其中對所收 其χ，γ座標值，用 用以計 1224459 五、發明說明（5) 其斜率，與預存之手寫簽名筆跡進行比對，若輪入之 名筆跡有任—筆晝之斜率與預存之相應筆晝斜率， 1，過-定範圍時，即可判定不相似；同時，；每 = 度’當任何一筆之長度誤差超過-定範圍，也 ^ ^相似，若每一筆晝之斜率及長度與預存手寫簽名 是相似。一聿思，祆呈均在汉疋犯圍内時，即可認為其 易日士由二上所述，可清楚得知，該使用者端10在進行網路交 守，係依下列步驟，進行處理，請參閱 (201、苦止 不么口尸/1不· 社 二1 ) f先，係先向該認證伺服器1 1發送第一次交易 =異i ΐ該使用者端10係具手寫輸入之手機，則該第一次 又=w求將自動包含該手機之號碼，若該使用者端丨〇係具 寫字板之電腦，則該電腦網路交易平臺會要求提供該一般 ^機之號碼’ 以接受一動態密碼），ϋ等待該認證词服 器11上之使用者數據庫與認證紀錄，產生該隨機動態密 碼； 〜山 (2 0 2 )判斷是否收到該認證伺服器丨丨經由該通信模組 1 2所發送回之動態密碼？若接收到該動態密碼時則進入步 驟（2 0 4 )，否則即進入步驟（2 〇 3 ); (2 0 3 )繼續等待該動態密碼之發送，並返回步驟 (202); ( 2 04 )接收一使用者所輸入之手寫簽名（若該使用者 端1 0係具手寫輸入之手機，則係透過其上之手寫屏幕輸入 簽名，若該使用者端1 0係具寫字板之電腦，則係透過其上

^24459

五、發明貌明⑹ 之手寫板輸 入簽名 及該動態密碼；

(205 )將該動態密碼連同該手寫簽名一併向該認 ^ $ 1 1發送第二次交易請求； 节手^ 2 〇 6 )故該認證伺服恭11判斷，並確認該動態密碼與 I被f簽名是否正確？若該動態密碼與該手寫簽名二者皆 隹則進入步驟（ 2 0 8 )，若該動態密碼與該手寫簽名二 者中有任何一個不正確或皆不正確，即進入步… (207 )； 〆邵 (2 0 7 )接收由該通信模組1 2發送回之一請求交易失敗 信息，並返回步驟（2 0 6 ); 、 ( 2 08 )透過該認證伺服器11向該網路銀行交易系統^ 發出交易命令，開始交易。 μ / 承上所述，當該認證伺服器11接收到該使用者端1〇進行 網路交易請求時，係依下列步驟，進行處理，請參閱第3 圖所示： (3 0 1 )首先，接收到使用者端1 〇發送之第一次交易請 求； 3 (3 0 2 )判斷該第一次交易請求是否完整？意即是否有 手機號碼’如果沒有則進入步驟（303 )，如果有則進入 步驟（3 〇 5 )， ( 3 0 3 )，求使用者端10提供手機號碼； ( 3 04 )若收到使用者端1〇提供手機號碼則進入步驟 (3 0 5 )’否則繼續等待使用者端1 〇提供手機號碼； (3 〇 5 )透過該使用者數據庫與認證紀錄產生一隨機動 1224459

態密7 (使用者可以根據需求，將該動態密碼設成一天改 人1 2小日守改變一次或幾小時改變一次等），並將兮 動態密碼傳送到該通信模組12 ; μ ( 3 0 6 、

)通信模組1 2接收到認證伺服器11傳送之動態宓 碼後，即透過網路傳送到使用者端1 0 ; 〜、A j 3 0 7 )嗣’判斷是否收到使用者端1 0發送之手寫簽名 及動悲搶竭之第二次交易請求？若收到則進入步驟 (3 0 9 ) ’若沒有收到則進入步驟（3 〇 8 ); (3 〇 8 )繼續等待該手寫簽名及動態密碼，並 (307)，直到收到為止；

(3j9)進行判斷該手寫簽名與使用者預先存入網路銀 ^ ^易系統13内之手寫簽名筆跡相似度之驗證，及將該動" 態密碼與先前所發送出去之動態密碼進行校驗，若驗證結 果皆正確，則進入步驟（311)，若其中之一個驗證結果。 不正確或皆不正確，即進入步驟（3丨〇 ); (3 1 0、）經該通信模組丨2發送出一請求失敗信息給使用 者端10，並返回步驟（3〇g); (3 11 )向該網路銀行交易系統1 3發出交易命令，開始 交易。 σ

、、因此，對於一種如何提供網路交易更安全之方法，確可 透過本發明之該網路交易手寫簽名及動態密碼之雙重驗 證，以增加該網路交易之安全性。 ” 以上所述，僅為 之特徵在實際實施時 本發明之一最佳具體實施例，惟本發明 ’並不侷限於此，按，凡任何熟悉該 1224459

第11頁 1224459 圖式簡單說明 圖式說明： 第1圖係本發明實施例之架構示意圖； 第2圖係本發明實施例之使用者端操作流程示意圖； 第3圖係為本發明實施例之認證伺服器端操作流程示 意圖。 主要部分之代表符號： 使用者端 ......10 認證伺服器 ……11 •12 •13 通信模組 網路銀行交易系統

第12頁

Claims (1)

1224459 六、申請專利範圍 1、一種網路交易安全認證之實現方法，該方法係令一 使用者端在進行網路交易時，依下列步驟，進行處理： 首先，向一認證伺服器發送第一次交易請求’經該認證 伺服器上之一使用者數據庫與一認證紀錄，產生一隨機動 恶欲石馬後，由一通信模組將該動態密碼發送回該使用者 端； 嗣，再由該使用者端將該動態密碼連同一使用者所輸入 之簽名，向該認證伺服器發送第二次交易請求，經該認證 伺服器確認該動態密碼與使用者簽名無誤後，即向一網路 銀行交易系統發出交易命令，如此，可增加網路交易之安 全性。 2、如申請專利範圍第1項所述之網路交易安全認證之實 · 現方法，其中該使用者端可為一具有手寫輸入功能之手機 或一具有寫字板之電腦並配合一般之手機，且該認證伺服 為係採用一專用認證伺服器進行認證，能處理使用者之訪 問請求認證，保障使用者應用系統之完整性及系統資源， 並擁有該使用者數據庫與認證紀錄，以構成該隨機動態密 碼認證基礎，並對使用者之手寫簽名筆跡進行驗證。 3、如申請專利範圍第2項所述之網路交易安全認證之實 現方法’纟中該手寫簽名之實現，係令使用者預先在該網鲁 路銀行交易系統内留下其手寫簽名筆跡，且可定義為一X 乘一 Y大小之點陣，並保存在該認證伺服器中，當使”'用者 在進行網路交易時，係透過網路發送其手寫簽名"筆跡至★亥 認證伺服器上，與預存在該網路銀行交易系統内之手寫簽·

第13頁 1224459

六、申請專利範圍 名筆跡進行一相似度之比較，並對所收到之手寫簽名筆跡 的每個相鄰之點採樣其χ，γ座標值，用以計算出其斜率，’、 與預存之手寫簽名筆跡進行比對。 4、如申請專利範圍第3項所述之網路交易安全認證之實 現方法，其中該使用者端在進行網路交易時，係依下列I芦 驟，進行處理： "" 首先，係先向該認證伺服器發送第一次交易請求，並 待該認證伺服器上之使用者數據庫與認證紀錄，產生嗲 機動態密碼； ~ % 判斷疋否收到該認證伺服器經由該通信模組所發送回之 動態密碼，若接收到該動態密碼時，則接收一使用者所輸 入之手寫簽名及該動態密碼，否則即繼續等待該動態密碼 之發送； ^ 將違動悲密碼連同該手寫簽名一併向該認證伺服器發送 第二次交易請求； 經該認證伺服器判斷，並確認該動態密碼與該手寫簽名 是否正確’若該動態密碼與該手寫簽名二者皆正確，則透 過該認證祠服器向該網路銀行交易系統發出交易命令開始 交易’若δ亥動恶岔碼與該手寫簽名二者中有任何一個不正

確或皆不正確’即接收由該通信模組發送回之一請求交易 失敗信息。 5、如申請專利範圍第3項所述之網路交易安全認證之實 現方法’其中戎認證伺服器接收到該使用者端進行網路交 易請求時’係依下列步驟，進行處理：

第14頁 1224459 六、申請專利範圍 首先，接收到使用者端發送之第一 判斷該第一次交易請求是否完整， 若沒有則要求使用者端提供手機號碼， 者數據庫與認證紀錄產生一隨機動態密 碼傳送到该通信模組； 通信模組接收到認證伺服器傳送之 網路傳送到使用者端； 々嗣，判斷是否收到使用者端發送之 之第二次交易請求，若收到則進行判斷 者預先存入網路銀行交易系統内之手寫 ，及將該動態密碼與先前所 出 若沒有收到制續等待該 到收到為止； 贫 右驗證結果皆έ 人人 0日， 自正確，則向該網路銀 命令，開始交易，芒甘士 m 確，即經該通信槿έ 、、° 6、如申請真;;發迗出一請求失敗 現方半 ^ , 利乾圍第5項所述之網 現方法，其中該動能 ^ 松碼可根據使用者 次父易請求； 即是否有手機號碼， 若有則透過該使用 碼，並將該動態密 動態密碼後，即透過 手寫簽名及動態密碼 該手寫簽名與使用 簽名筆跡相似度之 去之動態密碼進行 名及動態密碼，直 行交易系統發出交易 果不正確或皆不正 信息給使用者端。 路交易安全認證之實 之需求設定改變。

第15頁