1326183 九、發明說明: 【發明所屬之技術領域】 本發明是有關-種驗證客戶端之身份财法及其系統 據驗證舰n與客戶端職定的通财式,
服器通常會要求發崎求的—方進行雜的驗證, ’例如^吏用者向某一個網 t的請求(request),服務伺 '以決定是否要提供其所 ▲箱止Μ常見的身份驗證方式是由提出請求的網路用戶端直接向網站提 父預先已向該網站註冊或已存在的帳號(usemame)和密碼㈣簡叫,再由 提供服務及/或内容的服務伺服器核對鎌號及密碼是否符合已註冊或 存的内容,以進行身份的驗證。這種驗證方式對於_個猶許多不同之帳 ^及=的者而言常有„,因為他們㈣牢記許多的帳號及密 ^、’右疋制者忘記了贼及密碼就無法通過驗證。而另―方面,由於帳 號^密碼通常是由使用者在中請加入某—網站時由使用者自行設定的帳號 及挽碼’而這種帳號及密碼與使用者真實身份的關聯性並不強,也就是說 •二旦在網路上的行為或是交易發生糾紛時,使用者可以輕易地就否認他是 攻個Ί«及密碼雜有者’換言之,這⑽份的驗方式具有很高的可否 認性。 基於前述的交肖安全或是易於魏的理由,已有許多關的身份驗證 =法或是認證途逕被提出,例如:以信用卡進行交易的交易安全機制或 是以公開金鑰基礎建設(ΡΚΙ)為基礎的憑證認證機制等。 在已公告的台灣發明專利公告第1242962號的「由非完全俨 提供内容之方法及裝置」,其中提出了—種可赠網路用戶端麵非完全信 任之網頁伺服器(semi_tmsted web_server)存取一來源 赠种之限定資訊的方法,其中對於網路用戶端的驗證方法=二二 安裝於用戶端的小程式收集用戶端之資料進而產生一 c〇〇kie,並將此沈〇]^6 :1326183 分別傳送至非完全信任之網頁伺服器及用戶端,進而依此cookie之内容的 比對結果,以決定是否讓網路用戶端經由非完全信任之網頁伺服器存取一 來源網頁伺服器(origin web server)中之限定資訊。但是此一專利技術在網路 用戶端首先向來源網頁伺服器提出請求之初,仍然是採用一般的帳號及密 碼的方式進行身份驗證。 另外在已公告的台灣發明專利第034978號的「以電話用戶識別模組 為基礎之跨無線網路認證系統及方法」,其中提出了一種用以支援行動電話 上網的技術及其系統,此一系統包括由一第一無線接取點、一第二無線接 取點和一認證伺服器所構成的無線網路環境,其中的認證伺服器係透過第 一無線接取點接收由行動電話所發出之一通話交遞認證資訊,同時向一認 證=心取得一相應於行動電話的驗證種子資訊,再由認證伺服器以驗證種 子資訊計算丨-驗證資訊,而第二無線接取_是依據這個驗證資訊以及 仃動電話的連線請求’蚊行動電話是否可透過第二無線接取點進行資料 ,無線,輸。在此-技術中雖酬用了行動電話,但其中所揭露的技術只 疋^種單地應用於行動電話上網的服務,其認證的過程巾仍然需要透過 =邊中心抑協助,而且也沒有提出如何支援—般電腦在網際網路中進 行:貝料存取或是交胃^動時進行纟份認證的手段。 【發明内容】
本發月的目的在提供-種對要求存取某一需要驗證之挪^服矛务祠服器 之客戶端的制者身份進行驗證的方法。 ° *為了實現上述之目的,本發明所揭露的較佳方法至少具有―提示客戶 端的使用者以订動電話撥打某__電話門號以便進行身份驗_步驟;簡言 之;法是基於行動電話之「行動電話門號」和「該門號持有人」 本、隸屬義」,再彻此-「隸屬祕」對網際鹏之客戶端的使用 考進行身份驗證。 a依據本發崎揭露之方法輸佳實補,包括有: 驗證:ίίΐ:::蟑證伺服器進行身份驗證,並從驗證伺服器下載- 在該客戶端執行該驗證代理程式,用以將該客戶端門號傳給該驗證 1326183 伺服器; C.取得並記錄一來自客戶端所告知的客戶端門號(可為行動電話門號、 市話門號、或網路電話的門號) d. 向客戶端提不一「驗證端門號」(可為行動電話門號、市話門號、或 網路電話的門號); e. 取仔撥打至該驗證端門號的撥入訊息(inc〇m【ng ca.jj); f. 在撥入訊息的來源(即撥出端(〇utg〇ing cal丨)的電話門號)和前述由客 戶端提交之「客戶端門號J相符時,產生一通行碼或授權碼,並將該通行 碼或授權碼送予該驗代理程式,域驗證代理程式_通行碼或授權碼 Φ 從該客戶端送到該服務伺服器;以及 g. 在β玄撥入訊息的來源(即撥出端(〇utg〇ing call)的電話門號)是否和前 述由該客戶端提交之「客戶端門號」不相符時拒絕該客戶端所提出的服務 請求。 本發明的目的之-是提供—種具有時間關機_身份驗證方法。 為了實現上述之目的,本發明所揭露的較佳方法還包含:只在一指定 的時間H _授權客戶端對服務舰ϋ進行存取或操作的步驟。 本發月的目的之一疋&供一種對要求存取某一需要驗證之服務伺服器 之客戶端的使用者身份進行驗證的系統。 • 實現上述目的之身份驗證系統的較佳實施例,包括:一服務伺服器(可 為—來源祠服器或代理伺服器)可在網際網路中提供服務或内容;一在客戶 ,執行之驗證代理程式,該驗證代理程式係用以取得並發出一客戶端門 號;一驗證飼服器,提供可接收驗證資訊的通訊位置(例如GSM門號),並 執行-驗證程式依據驗證代理程式發出之客戶端門號對客戶端(cli㈣的使 用者身份進行驗證;及至少—由驗證舰器選定的通訊裝置,用以接收一 ,入訊息(—g 並將接收到的撥人訊息傳辭驗證舰器進而和 則述之客戶端門號比對,用以對客戶端的使用者身份進行驗證。 有關本發明的較佳實施例及其功效,茲配合圖式說明如下。 【實施方式】 ° 「第1圖」所示的是用以實現本發明之系統的較佳實施例,適用於在 7 時客^ tr—)40向—f要碰之服務舰11娜服麟求(Serviee request) 時肋驗證客戶端㈣使用者㈣身份,其包括有: 9 ) 客戶端戶端執狀驗證代理财’驗證代理程式侧啤得並發出一 Λ次财,飼服器2〇 ’具有一驗證程式21及資料庫22,透過驗證輕式21 22的協同運作’用以向客戶端4G提示-「驗證端門號」,並在網 月I務们服H户端40之使用者的身份進行驗證,再將身份驗證的結果傳給 版務词服器10 ;以及 1 —通訊裝置3〇’是指一種以硬體及/或軟體之方式實現的通訊裝置3〇, 較佳實細例疋能夠與公共交換電話網路(pSTN)及/或行動通訊系統(如 AMPS’_C3SM’ 3G(WCDMA/HSD爾行騎訊魏)連接的通訊裝 置(如行動電4 ’市#電話機),而另-較麵實細也可以是支援網路電話 iVbiee _ lntemet P_c〇1,v〇Ip)的網路通訊設備(如網路電話機)之任一者 或^组合,而這個通訊裝置3〇與驗證伺服_ 2〇連接,用以接收一來自客 戶端40驗入況息(lnc〇mmg _),並將接收到的撥入訊息傳遞予驗證飼服 器20,以便交由驗雜< 21對前述客戶端4〇之使用者的身份進行驗證。 在本發明的較佳實施例中,不論是前述的通訊裝置3〇或是客戶端4〇 之使,者所使用的軌設備5G,其巾又以行動電話(或稱手機)為實現本發 明的最佳選擇,其可為使關如GSM系統⑽,麵,丨刪)3G祕仰隐 2000, WCDA)等具備用戶識別卡(俗稱SIM卡,灿似出沈础^純福e Card),或是個人移動通訊系統(Personal Handy_ph〇ne System,pHS)具備與電 信公司客戶資料相對應的序號,或是V〇ip(如MSN Skype之登入帳號,〇7〇 碼)的行動電話;ϋ為-般而言,電信服務業者已能提縣電號碼顯示(Cal丨 ID)的服務’其服務内容至少又可分成兩種,稱為Type i來電顯示服務與 Type 2來賴示服務,可將含有來魏碼·^行動通贿置之持有者資訊 的識別資訊傳送至受話端,再由受話端的通訊裝置利用硬體解碼(如FSK解 碼器,DTMF解碼器)或是軟體解碼的技術,取得其中的來電號碼及/或行動電 1326183 話之持有者資訊。 ' 依據本發明所揭露的身份驗證方法,在客戶端40向一需要驗證之服務 伺服器10提出服務請求(servicereqUest)時,將透過下述步驟對客戶端4〇的 使用者(user)身份進行驗證’其步驟如「第2圖」所示,包含: A.導引客戶端40向驗證伺服器20進行身份驗證; 。B,取得並記錄一來自客戶端40所傳送的電話門號(可為行動電話門 號、市話門號、或網路電話的門號); C. 向客戶端40提示一「驗證端門號」,此一「驗證端門號」也可以是 行動電話門號、市話門號、或網路電話的門號,以便客戶端4〇的使用者使 φ 用一般的通訊設備50(如行動電話,市話電話機、或網路電話機)撥出 (omgoing)—訊息至此「驗證端門號」; D. 接收撥入驗證端門號」的撥入訊息(inc〇mingcaH); Ε·驗證撥入訊息(incoming caU)的來源(即撥出端(〇mg〇in幻的電話門號) 是否和前述由客戶端40提交之「客戶端門號」相符,並依據驗證的結果執 行一授權程式或是拒絕前述由客戶端4〇所提出的服務請求。 在前述步驟D所稱的撥人訊息’其巾所含之資簡最低限度至少應包 含有發話端的電話號碼,甚至可以包含行動通訊裝置之財者資訊,以便 依據此撥入訊息對前述提出服務請求的客戶端4〇進行身份的驗證。 α下就以「第3圖」所示之-實際運作流程為例子進—步說明前述之 胃方法的運作過程。 首先、網際網路之客戶端40向一服務祠服器1〇要求進行需要驗證身 份之刼作(步驟1) ’或是客戶端40向一需要驗證之服務祠服器提出服務請 求(servicer*eqUe_ ’例如.網站的會觀,或者進行網路騎而需使用 付費服務時。 服務伺服^ ίο將要求客戶端4G向驗證舰器2G進行驗證(步驟2); 在此步驟中服務伺服器ίο可能的實作方式是將進行此一操作的要求或是服 務請求以重導㈣㈣的方式,要求客戶端4〇向驗證伺服器2〇存取並事先 約定之蘭(Unif_Reso軸Idemi細統一資源識別),此聰能夠 .戶端40向驗證祠服器20提出「驗證請求」(—η% 1326183 3) ’讓驗證伺服|§ 20得以判別驗證要求是由哪一個服務伺服器1〇所發出。 其可行的方法是事先約定驗證伺服器20的正位址,例如:http://1 ^ 1JZ或 於 ™ 中指定,如 httP://i · 1 · 1 · i/service」d/ 或 http://1 j i 1/service>^ 等。但在實際的應用情況下,服務伺服器1〇和驗證伺服務器2〇 ^能是各 自獨立運作的機器或設備(如電腦或飼服主機),也可以是同一部機器或設 備。如果服務伺服器10與驗證伺服器20是同一台機器或是舰器時此 一「重導」的步驟就非必要。 口接著’驗證伺服器20得以從㈣中辨認出要求進行驗證之服務飼服 =10(target of authentication),且在確認「驗證請求」為有效之後,將一驗 證代理程式(Authentication Agent)送回給客戶端40(步驟4)。 在客戶端40的驗職理程式被啟動運行之後,會要求客戶端4〇向驗 也伺服器20告知被驗證者的電話門號(即前述的客戶端門號)(步驟5),此時 某-個由驗證伺服器2〇所選擇的通訊裝置%即進入待命狀態(步驟6),而 驗證概H 20也會將代表被選定之通訊裝置3()的電朝靖是前述 ^驟C中所指的驗證端門號)告知客戶端*的使用者(步驟乃,使用者就必 而要使用可以和則述「客戶端門號」構成關聯的通訊設備如行動電話, 市話電話機或是網路電話機)撥打驗證端門號(步驟8),即可和前述被指定的 通訊裝置30進行舰,而軌裝置3G齡騎錢息進行麟,以取得 該撥入訊息的來源門號(即撥出端的電話門號)並將之傳送給驗證舰器 2〇(步驟9),*驗翻服器2〇中的驗證程式21將會驗證撥入訊息的來源門 献否和前述由客戶端4〇提交之「客戶簡號」相符,並將驗證的結果告 知服務鑛器零驟10),如果相符表示驗證通過,此時會執行一授權機 mi端40得以向服務飼服器1〇進行資料的存取或是取得服務舰 is 10所提供的服務。 而在「第2圖」的較佳實施例中,其中所稱的授權機制包含產生一授 權碼可以幾種不同的方式產生,例如「第3圖」所示··(模式 2。私、、” 10產生並傳給驗證飼服器2〇(步驟lla),再經由驗證伺服 ’以便客戶端4〇向服務舰器1〇提交其所收到的授 推碼’進而向服務錬器10進行資料的存取或是取得服務値器1〇所提 1326183 供的服務。(模4 一)由驗證飼服器20產生再分別傳給服務飼服$ i〇和客 戶端40(步驟lib) ’以便客戶端4〇向服務舰器1〇提交其所收到的授權碼 (步驟12) ’進❿向服務词服器10進行資料的存取或是取得服務祠服器⑺ 所提供的服務(步驟13)。 驗證代理程式的可行實施方式可為下列數種:⑴内含於一通訊程式(例 如:瀏覽器,bi〇wser)中或是網頁中之ActiveX 〇bject物件,μ ^ovieClip’JavaApplet,Ajax 等 ciient_sidetechn〇1〇gy,由驗證伺服器 2〇 或其 指定之伺服器下載;⑺由服務伺服器配合c〇〇kie及標籤(ETAQ _
所控制之session加以實現。⑶為一預先安裝於客戶端4〇之裝置(個人電腦、 PDA、行動電話java)的獨立程式。其主要的功能在於負責:⑴客戶端 與服務伺服器之_通訊,(2)客戶端4G與服務舰器1()之間的授權碼或 通行碼之傳遞。並在必要時進行授權碼或通行碼之加冑(_^叫與驗證 等客戶端計算(Client-side computing^。 有關驗證代理程式的處理流程說明如下: 一 '當驗證代理程式開始運作之後,向驗證伺服器2〇建立連結。此一 P皆段在於確雛難狀可雜⑴迦_賤可服叙資源;⑵ 要求客戶端4G(即被驗)提供有狀碰請求。並可在鱗取回⑴驗證 服務之公告(2)啸驗證魏之有紐。細錄_訊之動作並非必要。 哎二。。、通知驗證伺服器20所要用以驗證的電話門號(就是前述提供予驗 證飼服器2G的客戶端門號),或其他可以使得舰器端_出電話門號之代 稱(如預先建立在龍庫22巾崎細係或約定之特殊編碼、加密方式等)。 〇三、從驗證伺服器20取回可接受驗證的t話門號(即前述的驗證端門 號)’必要時開始倒數計時,並將此驗證端門號顯示予客戶端*㈣使用者, ,顯示驗證端門號的方式可為明碼或經過變形之則, 作 ==之用途,避免惡意輪入行動電話號碼,造成該行動 极鎖疋而無法驗證的破壞性攻擊。 四、 等候驗證伺服器20回報驗證的結果。 五、 在驗證失敗的情況下,回報驗證結果給客戶端4〇的使用者。 六 '在驗證成功的情況下’更可包括:接受驗證舰^ 2()之指令操作, 1326183 進行通行碼或授權碼的傳遞。而此步驟可以有幾種不同的實施方式如下. ⑴將客戶端的π>4立址當作是通行碼或授權碼;例如,驗證词服器2〇 1將5端40的1p位址當作是通行碼而在驗證完成後通知服務词服写 H),^甚至在安全無虞τ,以某段__作為通行之依據(此—實例_ 即為别述模式二的授—機制)。 ⑺驗證代理程式k顯示通行碼或授權碼給客戶端4〇的使用者而 ^端40的使用者自行將通行碼或授權碼發送予服務伺㈣ι〇(可為人工 輸入或交由其它之處理程式以手動方式開始執行)。 (3)授權碼紐行碼可能㈣㈣心料的通訊管 Emai卜簡訊等。 μ 舰可行3施例’服務伺服器1〇亦可非原要求使用者驗證之服務 it &而 網際網路上^服 ’戲院的售票機6G或是其他的資料讀取裝置,其架構的可行實 別僂、4 s」所不’在制麵顧證讀’翻碼歧通行碼會分 if而 1==端Γ驗时从可吨路(包含區_路或是網際網 2=縣1G或麟_2G触_票_,當制者在取得 ς。’叫gp可直接至貫體_、驗票之場合憑授權瑪取得產品或是服 關於前親織段_作騎行之絲的具 ::預訂/劃位。消費者可以先在網路訂票,並且事先約定好預 ^㈣程機位的劃位時間,消f者只要在該約定的時間直接至割位植 碼或授權碼劃位。或是以行動電話撥打至航空公司之指定門號的 術@满侧糖,甚至可 字母’符號,s數字或二⑽行碼或授權碼(如 驗證伺服器20主要的作用包括: (1)確認驗證要求之有效性; (=^聽料酿|麵财細如GSM門號); (3)等待並處理驗證結果; 12 1326183 (4) 向服務伺服器10與客戶端4〇(被驗證者)回報驗證結果;以及 (5) 留存紀錄以備核驗。 而上述作用的具體内容,說明如下: ⑴驗證要求之有效性的驗證: 驗證伺服器20驗證是否為有效驗證要求之資料結構,如下列資料表(一) 所示。 資料表(一) 欄位 Service ID Authen_Server Path_Info Parameter_Name 類型 文字或數字 文字 文字 文字 說明 服務伺服器 識別碼,如 ID,IP位址等 對應之驗證伺服 器;如IP位址, hostname,或其 他足以識別之數 據 URI之路 徑部份 URI之參數部份 例1 Http://www.se rvice.com.tw: 8888 168.95.1.10 /service SMS= 1 ·> 例1之有效驗證可為: http://168.95.1 · 10/service?SMS=l or https://168.95.1.10/service?SMS=l。 而驗證之標.的為 http://www.service.com.tw:8888 ,或 http://www.serive.com.tw:8888/service__, 或 http://www.service.com.tw:8888/service?SMS=l。或根據所輸入之參數而改變 對應之驗證標的。此外,其他附加資訊亦可以在此一作業階段傳遞,以提 供下一階段選擇最佳的通訊認證媒介或設備使用。 在實際應用時,亦可建立一如下之資料表(二),以便提供更多樣化之 「驗證」服務。 _資料表(二) ί~~ ~_ — -- 欄位丨 Service ID ; Active ! Description ! Deny Allow •---------i -__i______! ______ 13 1326183 類型 1 1 文字或數字 Ί —.—. 布林值 文字 文字或陣列 文字或陣 列 丨說明 i服務祠服器識 1 是否有 服務描述 禁止驗證1允許驗證 1 I 別碼,如ID, 效 (黑名單) ! IP位址等 例2 HttD://www Qi» True 對於本服務的 0921913124, 096329899 rvice.com.tw-R 描述 0936177154, 1, 888 … 091686900 —---L ------- 1”.· Active搁位可以用來「暫時關閉」某項服務,Desc_〇n欄位可以用 來顯示給^树認所要騎的驗證是㈣是賴想要的,或料「暫時 關閉」時© ’a告」使用。Deny可用來禁止某些使用者使用本驗證服務(負 面表列),AU〇W資料可以用在只允許預先登錄之使用者使用驗證服務(正 面表列)。為了增進效率與彈性,可將Descripti〇n,M〇wDeny #另以資料 f 22(如關聯式資料庫)或檔案系統之方式另外存放,或與對應之服務舰 器10溝通’以即時動態的方式進行驗證有效性之確認。 (2)提供接受驗證的通訊位置 當一個「驗證要求」的有效性被驗證伺服器2〇證實為有效之後,驗證 祠服益20必須提供-種通訊位置或通訊方式(例如GSM門號冰進行認證。 驗證伺服@ 2G可配備-個或多個電話門號’並根據(2」)客戶端4〇的使用 者識別:貝訊(2.2)及各電話門號的狀態(八讀咖丨办)來配發給客戶端4〇的使 用者。另-方©,在必制雜’可彻這讎據情況而動·機選擇的 ,性,加強確保「客戶端40的使用者」是一個自然人,降低遭受「程式機 器人」阻斷攻擊(Deny of Service)的風險。⑴)所稱的識別資訊是指與客戶 端40的使用者相關的屬性’如客戶端門號所屬的電信公司、通訊系統 (GSM,CDMA)、驗證對應之資料庫(例如:會員、員工、股東)或其它在前一 階段所取得之附加資料。前述的(2.2)是指各個驗證端門號的工作狀態,避 免同一驗證端門號同時配發給不同之客戶端4〇的使用者以至於發生衝突 1326183 (忙線,無回應等)的情形。 (3)等待並處理驗證結果 驗證舰器20在送出驗證之通訊方式的資訊後,在前一階段被配發予 客^40的使用者之驗證端門號便進入等候客戶端4〇的使用者以行動電 職。麵的舰裝置3嶋接聽來電,並取得來細資訊(如 ’-般而言,可透魏财或硬贿刺麟在移接通來電的 得來電號碼;.必要時,亦得接通電話,要求撥打電話的使用者 。°彳再將取得的獻資喊峻湖服胃20巾_證程式21 進行:證處理’以產生驗證成功與否的驗證結果。:= ί所接21」輯,觸編通訊裝置如 則持續「觀察」該諸庫22⑽雜,直物草 段限制的時間區間超過之後,才開始進行驗證處i 料疋則述某 簡可行的實施例中,在客户端4G的使用者的行動電話 由會員資料庫的内容辨識出客户端40的使用 由通二穿置如::灿心的方心由驗證飼服器如的驗證程式靠 由通訊裝置30主_給要求進行驗證之客戶端⑽ =處:=倾理的驗證(例如_認)可應用= 戶端4〇的驗^式的好處疋可以利用較少的驗證端門號來處理大量之客 ⑷向服務健器舆使时端(被驗證者)回 結果。果之後’得树效响客戶⑽回報驗證 此時的網路終=:== 服==權)_者 刪驗證値器 2〇傳'給服務 中,「許可Λ身40的驗證代理程式轉達。於上述兩種方式 」本身了以疋經過加密的或其他經過約定的編碼,以加強其有效 15 丄以6183 it與安全度。在實際的應用中,亦可採取「逾時失效」以及「單次有效」 的方式來處理「重複使用」或被留存(如cache)的問題。 」 (s)留存紀錄以備核驗。 综上所述,本發明所揭露的驗證方法,係基於行動電話之「行動電話 門號」和「該門號持有人」之間的「隸屬關係」,再利用此一「隸屬關係」 對網際網路之客戶端的使用者進行身份驗證,可以加強其不可否認性,'二 使用者也不必記背許多的帳號及其密碼,只需要撥打電話至指定的通訊位 置,就可以進行身份驗證,對於習慣使用行動電話的使用者而言,顯然 具便利性。 … 雖然本發明僅以上述的較佳實施例揭露如上,但並非用以限定本發明 之範疇,舉凡熟悉此項技藝者,在不脫離本發明之精神内,所作的等^變 化或潤飾,皆應屬本發明之技術範疇。 【圖式簡單說明】. 第1圖,為本發明之驗證系統架構的較佳實施例。 第2圖’為本發明之驗證方法的較佳實施例步驟。 第3圖,為依據本發明之驗證方法的一詳細運作流程例子。 第4圖’為本發明之驗證系統架構的另一較佳實施例。 【主要元件符號說明】 10 · · ••服務伺服器 20 ·. ••驗證伺服器 21 · · •.驗證程式 22 · · ••資料庫 30 · · ••通訊裝置 40 ·. ••客户端 50 · · ••客戶端的通訊設備 1326183