TWI392310B - 電子晶片的單次性密碼設定及認證方法 - Google Patents
電子晶片的單次性密碼設定及認證方法 Download PDFInfo
- Publication number
- TWI392310B TWI392310B TW98109373A TW98109373A TWI392310B TW I392310 B TWI392310 B TW I392310B TW 98109373 A TW98109373 A TW 98109373A TW 98109373 A TW98109373 A TW 98109373A TW I392310 B TWI392310 B TW I392310B
- Authority
- TW
- Taiwan
- Prior art keywords
- time password
- password
- electronic chip
- condition
- time
- Prior art date
Links
Landscapes
- Storage Device Security (AREA)
Description
本發明係有關於密碼的認證方法,尤其更有關於一次性密碼的認證方法。
現今科技發展的腳步快速,電子產品早已充斥於一般大眾的生活之中,甚至許多與使用者自身機密相關的資料,也漸漸改以電子產品來儲存與實現。
琳瑯滿目的電子產品中,近來最受到重視的,即是各種可以代表持有者身分之電子式晶片,因此種電子晶片的延伸使用,例如金融卡、行動電話的用戶識別模塊(Subscriber Identity Module,以下簡稱SIM卡)及門禁卡等,更可直接代表使用者進行身份之確認,著實省下使用者諸多之不便。
上述之電子晶片金融卡,即是最具代表性的一種電子晶片的產品,該晶片金融卡發明後即逐漸汰換掉用存款簿與提款單至銀行櫃台領款之傳統方式。只要使用者持有該晶片金融卡,並擁有得以通過該晶片金融卡認證之個人識別碼(Personal identification number,以下簡稱PIN碼),即使於銀行之下班時間,亦可在提供提款功能之提款機提取固定帳戶中之金錢,著實替使用者增加使用上之便利性。
又例如上述行動電話之SIM卡,只要使用者持有得以代表發話者身份之SIM卡,且知道通過該SIM卡認證之PIN碼,即可將該SIM卡插接於任何行動電話中,與外界進行通話。而任何接收通話之一方,皆可因該SIM卡所發出之一獨一無二的電話號碼,確認發話方之身份。
惟,雖然上述晶片卡可代表持有者之身份,並各自具有一持有者才可得知之PIN碼加以保護該晶片卡,提高安全性。但近年來網際網路發展快速,電腦駭客與電腦病毒當道,致使許多電腦使用者儲存於個人電腦中之機密檔案,包括各種電子晶片之PIN碼等資訊被竊取。使得使用者之電子晶片有被盜用之風險,造成使用者極大之不安,個人權益也受到極大之威脅。再者,電子晶片內部之PIN碼雖可變更,但礙於便利,或不具高度的資訊安全觀念,使用者常以同一組熟稔之密碼,設定大部份需要PIN碼才可使用之電子晶片,並未定期更新。如此一來,一旦發生上述資料被盜用之情事,常令被盜用者損失慘重。
由於上述輸入固定PIN碼進行認證的方式,安全性較低,且PIN碼具有被竊取與盜用之風險,因此後來發展出一種單次性密碼(One time password,以下簡稱OTP)的身分驗證方式。
如第一圖所示,為OTP驗證方法之方塊圖。主要係由一OTP用戶端11及一OTP服務端13所共同實現。該用戶端11欲使用OTP驗證服務前,係需先向該服務端13進行註冊。因此該服務端13之一後端資料庫131中係儲存有該用戶端11之檔案夾133。而該用戶端11之檔案夾133中,除了基本個人資料之外,係更包括一套由該OTP服務端13與該用戶端11所共同協議之演算法(11a,13a)及一組相同之密鑰(secret key)(11c,13c)。
續請參閱第二圖之OTP驗證方法之流程圖。當該用戶端11欲進行身份驗證時,係需使用該用戶端11的一資料庫111中之該演算法11a及該公鑰11c,經運算後產生一組OTP(步驟S20),並將該OTP及該用戶端11之基本資料傳送至該OTP服務端13進行身份驗證之申請(步驟S22)。當該OTP服務端13接收到該用戶端11之申請要求時,係先檢查該OTP服務端13之該後端資料庫131中,是否儲存有該用戶端11之資料夾133,即,該用戶端11是否有向該服務端13註冊之記錄(S24)。若該用戶端11已註冊,且該後端資料庫131中也儲存有該用戶端11之檔案夾133,即取出該用戶端11儲存之該演算法13a及該公鑰13c,並依該演算法13a、該公鑰13c及申請時之條件運算出一OTP(步驟S26)。
最後,該服務端13係依運算出之該OTP,比對該用戶端11傳送過來之OTP是否符合(步驟S28),若該二OTP互相符合,該用戶端之身份即通過驗證。最後再將驗證之結果回傳至該提出申請之用戶端11(步驟S2a)。
惟,此種驗證方法係僅能對使用者進行身份之確認,無法當作個人識別密碼運用於多樣性的電子產品上,因此雖然安全性較高,但使用範圍較為狹小,市場上實需提供一套作法,能將此種驗證方法更為廣大的運用。
本發明之主要目的,係在於提供一種電子晶片的單次性密碼設定及認證方法,係可使用OTP服務提供者所授權之OTP來代替電子晶片認證所需之PIN碼,不但可每次皆以不同之OTP來進行認證,亦可對OTP做使用上之條件限定。
為達上述目的,本發明係利用單次性密碼(One time password,OTP)服務經運算所產生之OTP代替電子晶片用以認證之個人識別碼(Personal identification number,PIN碼),於欲使用該電子晶片時向OTP提供者申請,或是使用預先申請之具有條件限定之OTP授權做為電子晶片認證之鑰匙。
透過本發明之方法,不但可大幅地改善電子晶片的認證方法,亦可增加電子晶片認證上的安全性。
茲就本發明之一較佳實施例,配合圖式,詳細說明如後。
首請參閱第三圖,係為本發明之電子晶片的單次性密碼設定及認證方法之方塊圖。如圖所示,本發明之方法主要係由單次性密碼(One time password,以下簡稱OTP)之服務提供者31及一電子晶片35所實現。該電子晶片35係由一OTP驗證單元351、一私有區儲存單元353及一公有區儲存單元355所共同組成。該二儲存單元353,355中係儲存有可供對應使用之物件,常見者為一私鑰3531,3551及一公鑰3533,3553,但不以此為限。其中,具有通常知識者皆知,電子晶片內之儲存單元係可視實際所需而加以規劃。需透過PIN碼或本發明之OTP驗證才可存取內部物件者,即被視為受保護之私有區儲存單元,而不需透過驗證,僅需載入電子晶片之驅動程式即可存取內部物件者,即被視為未受保護之公有區儲存單元。該電子晶片35中並不必然包括一私有區儲存單元353及一公有區儲存單元355,並非用來對本發明加以限制者。下述將僅以該私有區儲存單元353為例,加以說明。
本發明係以該OTP服務提供者31所授權之一OTP 33做為該電子晶片35認證所需之個人識別碼(Personal identification number code,以下簡稱PIN碼),令使用者得以通過認證,進入該儲存單元353,使用該儲存單元353內之該私鑰3531或該公鑰3533。當一使用者欲使用該電子晶片35時,係需先使用該電子晶片35之PIN碼進行認證,因此,欲進行認證時,需向該OTP服務提供者31申請一OTP 33。該電子晶片35內之該驗證單元351係可檢驗所使用之該OTP 33是否為該OTP服務提供者31所授權之有效OTP 33。當該驗證單元351確認該所使用之該OTP 33有效後,才可通過認證,並使用該電子晶片35內該儲存單元353中所儲存之該私鑰3531或該公鑰3533,執行進一步之簽章、提款等等動作。然而,不同於該私有區儲存單元353,該公有區儲存單元355係於載入該電子晶片35之一驅動程式後使用該公有區儲存單元355中之該私鑰3551或該公鑰3553;亦可於上述OTP驗證方式通過後使用該公有區儲存單元355中之該私鑰3551或該公鑰3553,即,定義上視為另一受保護之私有區儲存單元。上述分配實可就實際運用而加以置換,上述僅為本發明之一較具實例,不可加以限定。
接著請參閱第四圖,係為本發明之電子晶片的單次性密碼設定及認證方法之流程圖。首先,當使用者欲使用該電子晶片35之一延伸產品,例如使用一晶片金融卡進行提款時,係需先向該OTP服務提供者31要求一組OTP 33(步驟S40)。接著,當該OTP服務提供者31確認該申請之使用者的身份,確定具有申請OTP之資格後,即經運算後隨機產生一組OTP 33並授權予該使用者(步驟S42)。
當該使用者接收到經該OTP服務提供者31授權之該OTP 33後,即可使用該OTP 33做為該電子晶片35之PIN碼(步驟S44),進行該電子晶片35之認證動作(步驟S46)。若所申請之該OTP 33錯誤,無法通過該電子晶片35內之該OTP驗證單元351之認證時,即需重請向該OTP服務提供者31申請另一組OTP 33,並重新進行認證。而若所申請之該OTP 33通過該OTP驗證單元351之認證後,該OTP驗證單元351係接著檢驗該OTP 33是否符合兩端協議之使用條件(access condition)(步驟S48)。
使得一提的是,一般使用者(Normal User)係僅可使用該電子晶片35之資源,而該電子晶片35之初始化與管理,則係經由一安全管理者(Security Officer,SO)來進行。該SO係可對該電子晶片35進行下列管理:
設定該電子晶片35是否以OTP代替一般PIN碼進行驗證,即,本發明所述之方法;而若不以OTP代替一般PIN碼,則該電子晶片35亦可當作一般透過PIN碼進行認證之電子晶片來使用;
設定該電子晶片35中之該些儲存單元353,355係為公有區或私有區,即,是否需透過OTP或PIN碼之驗證後才可進行存取;
本發明之OTP驗證方法所需之演算機制。
而上述第三點所述之演算機制,即為OTP之使用條件,主要有時間限定(time limitation)、次數限定(count limitation)及事件限定(event limitation)等模式。係可依兩端協議之使用條件,於該電子晶片35內設置不同驗證功能之OTP驗證單元351。或者設定更改運算所得之OTP,使OTP具有得以被辨別使用條件之辨別碼(例如A123456,其中A代表時間限定)。OTP之時間限定係指該組OTP僅能於特定時間內使用(例如每30秒更換一次OTP,或設定接受OTP驗證之開始時間與結束時間等);次數限定係具有使用之次數限制(例如可使用次數大於零時,或可使用次數位於三與十之間時才滿足次數限制等);而事件限定係於特定情況被觸發時,才可使用OTP等(例如金融卡只可在某些特定區域內使用,或行動電話sim卡只可播打特定電話等)。惟以上所述皆僅為本發明較佳之具體實例,不可以此為限。
如上所述,當該OTP驗證單元351確認所使用之該OTP 33符合所設定之使用條件(步驟S4a)時,才可順利進入該電子晶片35內之該私有區儲存單元353或該公有區儲存單元355,使用各該儲存單元353,355內之該私鑰3531,3551或該公鑰3533,3553(步驟S4c),進行電子簽章、提款等等具有高機密性之動作。
然,除以上所述以用戶端向OTP服務提供端申請OTP授權之方式外,亦可參閱如第五圖所表示之實施方法,於該用戶端註冊時,該OTP服務提供端31即將該用戶端經協定後所留下之個人資料、演算法及公鑰等資訊,導入一獨立之硬體或軟體,藉以製成一OTP產生器5。並設定OTP33之產生條件(同上所述之時間限定、次數限定及事件限定等)。用戶端自該OTP服務提供端處取得該OTP產生器5後,可於符合該些產生條件之情況下,觸發該OTP產生器5(例如按下該OTP產生器5上之一按鈕之方法),藉以得到一OTP33,做為用戶端進行該電子晶片35認證之PIN碼。但此僅為本發明另一較佳具體實施例,不可加以為限。
以上所述僅為本發明之較佳具體實例,非因此即拘限本發明之專利範圍,故舉凡運用本發明內容所為之等效變化,均同理皆包含於本發明之範圍內,合予陳明。
11...用戶端
13...OTP服務端
111...用戶端資料庫
131...服務端資料庫
11a,13a...演算法
11c,13c...密鑰
133...資料夾
S20~S2a...步驟
31...OTP服務提供端
33...OTP
35...電子晶片
351...驗證單元
353...私有區儲存單元
355...公有區儲存單元
3531,3551...私鑰
3533,3553...公鑰
5...OTP產生器
S40~S4c...步驟
第一圖係OTP驗證方法之方塊圖。
第二圖係OTP驗證方法之流程圖。
第三圖係本發明之電子晶片的單次性密碼設定及認證方法之方塊圖。
第四圖係本發明之電子晶片的單次性密碼設定及認證方法之流程圖。
第五圖係本發明之電子晶片的單次性密碼設定及認證方法之另一較佳具體實施例之方塊圖
S40~S4c...步驟
Claims (14)
- 一種電子晶片的單次性密碼設定及認證方法,係於進行認證之前,先向一單次性密碼服務端進行註冊之動作,包括:a)一安全管理者(Security Officer,SO)設定一電子晶片可由一單次性密碼(One Time Password,OTP)代替一般pin碼進行驗證;b)該單次性密碼服務端接收一用戶端提出的單次性密碼的申請;c)該單次性密碼服務端檢驗是否有該用戶端的註冊記錄;d)步驟c後,若通過檢驗,該單次性密碼服務端授權一單次性密碼給該用戶端;e)該用戶端以該單次性密碼代替一般pin碼進行該電子晶片之認證,並且該電子晶片通過內部的一單次性密碼驗證單元檢驗該單次性密碼是否為該單次性密碼服務端所授權之有效單次性密碼;f)該電子晶片通過該單次性密碼驗證單元審核該單次性密碼之使用條件;g)若該單次性密碼通過該單次性密碼驗證單元之檢驗,並且符合使用條件,該電子晶片允許被使用。
- 如申請專利範圍第1項所述之方法,其中步驟f中之使用條件,係由該用戶端與該單次性密碼服務端兩端所協議而成。
- 如申請專利範圍第2項所述之方法,其中步驟f中之使用條件,係於限定時間內使用該單次性密碼進行認證。
- 如申請專利範圍第2項所述之方法,其中步驟f中之使用條件,係於特定狀況被觸發時使用該單次性密碼。
- 如申請專利範圍第2項所述之方法,其中步驟f中之使用條件,係於可使用次數大於零時使用該單次性密碼。
- 如申請專利範圍第1項所述之方法,其中步驟g中,係於該單次性密碼通過該單次性密碼驗證單元之檢驗,並且符合該使用條件時,使用儲存於該電子晶片中之一私有區儲存單元內之一私鑰或一公鑰。
- 如申請專利範圍第1項所述之方法,其中步驟g中,係於該單次性密碼通過該單次性密碼驗證單元之檢驗,並且符合使用條件時,使用儲存於該電子晶片中之一公有區儲存單元內之一私鑰或一公鑰。
- 一種電子晶片的單次性密碼設定及認證方法,係於進行認證之前,先向一單次性密碼服務端進行註冊,並且由該單次性密碼服務端將演算法及公鑰導入一單次性密碼產生器,並對該單次性密碼產生器設定一單次性密碼的產生條件,包括:a)一安全管理者設定一電子晶片可由一單次性密碼代替一般pin碼進行驗證;b)該單次性密碼產生器接受一用戶端之觸發;c)該單次性密碼產生器於該觸發動作符合該產生條件時產生一單次性密碼;d)該用戶端以該單次性密碼代替一般pin碼進行該電子晶片之認證,並且該電子晶片通過內部的一單次性密碼驗證單元檢驗該單次性密碼是否為該單次性密碼服務端所授權之有效單次性密碼;e)該電子晶片通過該單次性密碼驗證單元審核該單次性密碼之使用條件;f)若該單次性密碼通過該單次性密碼驗證單元之檢驗,並且符合使用條件,該電子晶片允許被使用。
- 如申請專利範圍第8項所述之方法,其中步驟c中之使 用條件,係由該用戶端與該單次性密碼服務端兩端所協議而成。
- 如申請專利範圍第9項所述之方法,其中步驟e中之使用條件,係於限定時段內使用該單次性密碼進行認證。
- 如申請專利範圍第9項所述之方法,其中步驟e中之使用條件,係於特定狀況被觸發時使用該單次性密碼。
- 如申請專利範圍第9項所述之方法,其中步驟e中之使用條件,係於可使用次數大於零時使用該單次性密碼。
- 如申請專利範圍第8項所述之方法,其中步驟f,係於該單次性密碼通過該單次性密碼驗證單元之檢驗,並且符合該使用條件時,使用儲存於該電子晶片中之一私有區儲存單元內之一私鑰或一公鑰。
- 如申請專利範圍第8項所述之方法,其中步驟f,係於該單次性密碼通過該單次性密碼驗證單元之檢驗,並且符合使用條件時,使用儲存於該電子晶片中之一公有區儲存單元內之一私鑰或一公鑰。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW98109373A TWI392310B (zh) | 2009-03-23 | 2009-03-23 | 電子晶片的單次性密碼設定及認證方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW98109373A TWI392310B (zh) | 2009-03-23 | 2009-03-23 | 電子晶片的單次性密碼設定及認證方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201036385A TW201036385A (en) | 2010-10-01 |
TWI392310B true TWI392310B (zh) | 2013-04-01 |
Family
ID=44856222
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW98109373A TWI392310B (zh) | 2009-03-23 | 2009-03-23 | 電子晶片的單次性密碼設定及認證方法 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI392310B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1855810A (zh) * | 2005-04-26 | 2006-11-01 | 上海盛大网络发展有限公司 | 动态密码认证系统、方法及其用途 |
TW200726169A (en) * | 2005-12-19 | 2007-07-01 | Chinatrust Commercial Bank Ltd | Method of generating and applying one time password in network transactions, and system executing the same method |
CN101123509A (zh) * | 2007-07-12 | 2008-02-13 | 北京飞天诚信科技有限公司 | 信息交互系统和方法 |
-
2009
- 2009-03-23 TW TW98109373A patent/TWI392310B/zh not_active IP Right Cessation
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1855810A (zh) * | 2005-04-26 | 2006-11-01 | 上海盛大网络发展有限公司 | 动态密码认证系统、方法及其用途 |
TW200726169A (en) * | 2005-12-19 | 2007-07-01 | Chinatrust Commercial Bank Ltd | Method of generating and applying one time password in network transactions, and system executing the same method |
CN101123509A (zh) * | 2007-07-12 | 2008-02-13 | 北京飞天诚信科技有限公司 | 信息交互系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
TW201036385A (en) | 2010-10-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI667585B (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
CN108777684B (zh) | 身份认证方法、系统及计算机可读存储介质 | |
US9117324B2 (en) | System and method for binding a smartcard and a smartcard reader | |
CN106797311B (zh) | 用于安全密码生成的系统、方法和存储介质 | |
EP1829281B1 (en) | Authentication device and/or method | |
US9813236B2 (en) | Multi-factor authentication using a smartcard | |
EP3138265B1 (en) | Enhanced security for registration of authentication devices | |
JP6586446B2 (ja) | 通信端末および関連システムのユーザーの識別情報を確認するための方法 | |
AU2011205391B2 (en) | Anytime validation for verification tokens | |
US8713655B2 (en) | Method and system for using personal devices for authentication and service access at service outlets | |
JP2018521417A (ja) | 生体特徴に基づく安全性検証方法、クライアント端末、及びサーバ | |
WO2007094165A1 (ja) | 本人確認システムおよびプログラム、並びに、本人確認方法 | |
CN109325342A (zh) | 身份信息管理方法、装置、计算机设备和存储介质 | |
JP2006209697A (ja) | 個人認証システム、この個人認証システムに使用される認証装置、および個人認証方法 | |
EP1886204B1 (en) | Transaction method and verification method | |
CN101420302A (zh) | 安全认证方法和设备 | |
TW202207667A (zh) | 通訊系統中改善安全性之認證及驗證方法 | |
US20160021102A1 (en) | Method and device for authenticating persons | |
CN106533685B (zh) | 身份认证方法、装置及系统 | |
TWI392310B (zh) | 電子晶片的單次性密碼設定及認證方法 | |
Liou | Performance measures for evaluating the dynamic authentication techniques | |
Lach | Using mobile devices for user authentication | |
Liou | Analysis of Feasibility and Security Measures on Dynamic Authentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |