TWI486045B - 使用機密視覺信息以用於螢幕上認證的方法及系統 - Google Patents

使用機密視覺信息以用於螢幕上認證的方法及系統 Download PDF

Info

Publication number
TWI486045B
TWI486045B TW098114778A TW98114778A TWI486045B TW I486045 B TWI486045 B TW I486045B TW 098114778 A TW098114778 A TW 098114778A TW 98114778 A TW98114778 A TW 98114778A TW I486045 B TWI486045 B TW I486045B
Authority
TW
Taiwan
Prior art keywords
user
key
display screen
response
authentication authority
Prior art date
Application number
TW098114778A
Other languages
English (en)
Other versions
TW200952439A (en
Inventor
Weng Sing Tang
Pern Chern Lee
Arief Nuradi
Original Assignee
Crimsonlogic Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from SG200803412-6A external-priority patent/SG142401A1/en
Priority claimed from SG200805166-6A external-priority patent/SG156558A1/en
Application filed by Crimsonlogic Pte Ltd filed Critical Crimsonlogic Pte Ltd
Publication of TW200952439A publication Critical patent/TW200952439A/zh
Application granted granted Critical
Publication of TWI486045B publication Critical patent/TWI486045B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C5/00Ciphering apparatus or methods not provided for in the preceding groups, e.g. involving the concealment or deformation of graphic data such as designs, written or printed messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Description

使用機密視覺信息以用於螢幕上認證的方法及系統
本發明通常係關於安全目的之一人物身份的認證或驗證,並且更特別係關於一種用於使用一機密視覺信息之螢幕上認證的方法。
一認證因素係安全目的而被用來認證或驗證一人物之身份。雙因素認證係使用兩個不同因素來認證該人物。使用兩個因素而不是一個係達到一較高水平的認證保障。使用超過一個因素係被稱為強力認證。
目前,雙因素認證係能以下列數種方式所達成:
1)生物特徵辨識-使用一人物之特有自然特徵作為一認證因素。該生物特徵辨識認證之主要缺點係終端使用者的隱私議題。一終端使用者對於允許銀行以及經銷商捕捉其生物特徵辨識資料(諸如一視網膜掃描與指紋)可能係不願意並且感到不舒服。
2)安全性符記-智慧卡、通用序列匯流排符記、動態密碼(OTP)符記係為實例。該動態密碼符記係具有顯示帶有6個或更多字母數字字元之一偽隨機數字的一液晶顯示(LCD)螢幕(其係取決於供應商以及模型之數字或字母與數字的組合)。該偽隨機數字係以通常每60秒一次之預定時間區間進行改變,但是係亦能以其它時間區間或在一使用者事件之後(諸如該使用者按壓該符記上之一按鈕)進 行改變。在一預定時間區間之後改變該偽隨機數字的符記係為稱為時間型,而在一使用者事件之後改變該偽隨機數字的符記係為稱為序列型(因為區間數值係目前使用者事件之序號,亦即:1、2、3、4等等)。當該偽隨機數字合併於一個人識別碼(PIN)或密碼時,所生成通行代碼係具有雙因素的認證(一個來自該個人識別碼/密碼,另一個則來自該動態密碼符記)。混合式符記係組合該等智慧卡、通用序列匯流排符記、以及動態密碼符記的機能。
3)行動電話-雙因素認證工具係使用簡訊服務(SMS)通信或一互動電話通話而將該使用者之行動電話轉變成為一符記裝置。該行動電話係變為一雙因素、雙通道認證機制的一部分。然而,該簡訊服務符記裝置係具有一些操作問題以及限制,例如:經由行動電話之一簡訊服務動態密碼可能係因為取決於行動電話之供應商而無法適當地運作,並且該簡訊服務動態密碼係可引起電話帳單的增加。
然而,雙因素認證係因為其成本效應而不普遍。加入第二認證因數係增加實施以及維持成本。大部分的雙因素認證系統係裝有的,並且目前係按照使用者來改變美金50到100的年費。此外,在大型產業(諸如銀行業務)中或甚至於大型企業內之硬體符記部署保險係需要受到管理。再者,具有簡訊服務符記裝置之終端使用者係亦面對數個問題,諸如當一符記裝置被忘記、錯置、損壞、遺失或類似行為時。以簡訊服務通信之另外操作限制係當一使用者可能無法在海外接收一簡訊服務信息時而出現。
因此,係存有一種管理雙因素認證的需要,其中要方便使用、需要相對低的操作成本、抵抗釣魚網站及類似的攻擊。
本發明一觀點係一種認證一使用者之方法,其係包括:提供一使用者金鑰至一認證權限機構;自該認證權限機構提供一傳輸信息以響應該使用者金鑰;使用該傳輸信息來提供一機密信息;使用一顯示螢幕來將該機密信息顯示至該使用者;以及提供一使用者回應至該認證權限機構以響應觀察該機密信息的使用者。
該機密信息係能為一偽隨機字母數字代碼,並且係能為一(m,n)臨界值機密分享方案之一部分,其中m係需要恢復一機密之組成部分的數目,而n係組成部分總數目。
該顯示螢幕係能為一平面顯示螢幕、一液晶顯示螢幕、及/或一行動電話螢幕。
該使用者回應係能為該機密信息。
該認證權限機構係能提供該使用者金鑰至該使用者。此外,該認證權限機構係能使用網際網路來提供該傳輸信息至該使用者,並且該使用者係能使用網際網路來提供該使用者回應至該認證權限機構。
該方法係能為一雙因素認證方案,其中該使用者金鑰係為第一因素、而該使用者回應係為第二因素。
本發明一觀點係一種認證一使用者之方法,其係包括:從一認證權限機構提供一視覺覆疊;提供一使用者金鑰至該認證權限機構;從該認證權限機構提供一背景信息以響應該使用者金鑰;將該背景信息顯示在一顯示螢幕上,同時該視覺覆疊係被定位在、對齊排列於、且依附至該顯示螢幕上;使用該視覺覆疊與該背景信息而將一機密信息顯示至該使用者;以及提供一使用者回應至該認證權限機構以響應觀察該機密信息的使用者。
該視覺覆疊係能包含諸如一偽隨機視覺矩陣模式之一視覺矩陣模式。該視覺覆疊係亦能包含一透明媒體,其中該視覺矩陣模式係不透明的、並且該視覺矩陣模式係被印刷在該透明媒體上。該認證權限機構係能將該視覺矩陣模式印刷在該透明媒體上;另或者,該使用者係能將該視覺矩陣模式印刷在該透明媒體上。
該視覺覆疊係能允許該使用者觀察該顯示螢幕之一第一挑選部分、而不允許該使用者觀察該顯示螢幕之一第二挑選部分。此外,該顯示螢幕之第一挑選部分係能將該機密信息顯示於該背景信息內、該顯示螢幕之第一挑選部分係能為該顯示螢幕之第二挑選部分內的一視窗、該視覺覆疊係能允許該使用者觀察該顯示螢幕之一第三挑選部分、並且該使用者係能將該使用者回應輸入該顯示螢幕之第三挑選部分。
該視覺覆疊係能為一(m,n)臨界值機密分享方案之一部分,其中m係需要恢復一機密之組成部分的數目,而n係組成部分總數目。此外,該視覺覆疊係能具有與該顯示螢幕大致上相同的尺寸。
該使用者回應係能為該機密信息。
該認證權限機構係能提供該使用者金鑰至該使用者,並且提供該視覺覆疊至該使用者以響應來自該使用者的使用者金鑰。此外,該認證權限機構係能使用網際網路來提供該背景信息至該使用者,並且該使用者係能使用網際網路來提供該使用者回應至該認證權限機構。
該方法係能為一雙因素認證方案,其中該使用者金鑰係為第一因素、而該使用者回應係為第二因素。
本發明一觀點係一種認證一使用者之方法,其係包括:從一認證權限機構提供一使用者金鑰至該使用者;接著自該使用者第一次提供該使用者金鑰至該認證權限機構;從該認證權限機構提供一視覺覆疊至該使用者,以響應該第一次所提供之使用者金鑰;接著自該使用者第二次提供該使用者金鑰至該認證權限機構;從該認證權限機構提供一背景信息至該使用者,以響應該第二次所提供之使用者金鑰;將該背景信息顯示在面對該使用者之一顯示螢幕上,同時該視覺覆疊係被定位在、對齊排列於、且依附至該顯示螢幕上;使用該視覺覆疊與該背景信息而將一機密信息顯示至該使用者;以及接著從該使用者提供一使用者回應至該認證權限機構,以響應觀察該機密信息的使用者。
該編碼信息係能被顯示在該顯示螢幕上並且提示該使用者對該編碼信息進行解碼,以及該編碼信息係能經解碼以響應該使用者。
該機密信息係能為一(m,n)臨界值機密分享方案之一部分,其中m係需要恢復一機密之組成部分的數目,而n係組成部分總數目。
該使用者回應係能為該機密信息。
該認證權限機構係能提供該使用者金鑰至該使用者。此外,該認證權限機構係能使用網際網路來提供該編碼信息至該使用者,並且該使用者係能使用網際網路來提供該使用者回應至該認證權限機構。
該方法係能為一雙因素認證方案,其中該使用者金鑰係為第一因素、而該使用者回應係為第二因素。
本發明一觀點係一種認證一使用者之方法,其係包括:提供一使用者金鑰至一認證權限機構;於該認證權限機構處編碼一機密信息以響應該使用者金鑰,藉此提供一編碼信息;從該認證權限機構提供該編碼信息以響應該使用者金鑰;解碼該編碼信息,藉此提供該機密信息;在一顯示螢幕上將該機密信息顯示至該使用者以響應解碼該編碼信息;以及提供一使用者回應至該認證權限機構以響應觀察該顯示螢幕上之機密信息的使用者。
本發明一觀點係一種認證一使用者之方法,其係包括:從一認證權限機構提供一使用者金鑰至該使用者;接著從該使用者提供該使用者金鑰至該認證權限機構;於該認證權限機構處編碼一機密信息以響應該使用者金鑰,藉此提供一編碼信息;從該認證權限機構提供該編碼信息至該使用者以響應來自該使用者之使用者金鑰;將該編碼信息顯示在一顯示螢幕上,藉此提示該使用者對該編碼信息進行解碼;解碼該編碼信息以響應觀察該顯示螢幕上之編碼信息的使用者,藉此提供該機密信息;在一顯示螢幕上顯示該機密信息以響應解碼該編碼信息;以及從該使用者提供一使用者回應至該認證權限機構以響應觀察該顯示螢幕上之機密信息的使用者。
本發明一觀點係一種認證一使用者之方法,其係包括:提供一使用者金鑰至一認證權限機構;自該認證權限機構提供一傳輸信息以響應該使用者金鑰;使用該傳輸信息來提供一機密信息;使用一顯示螢幕來將該機密信息顯示至該使用者;以及提供一使用者回應至該認證權限機構,以響應藉由使用具有解密金鑰之一行動電話來觀察經加密機密信息的使用者。
本發明一觀點係一種認證一使用者之方法,其係包括:從一認證權限機構提供一私人金鑰;提供一使用者金鑰至該認證權限機構;從該認證權限機構提供一背景信息以響應該使用者金鑰;將該背景信息顯示在一顯示螢幕上,同時具有該使用者之私人金鑰的行動電話係被用來捕捉該顯示螢幕上的背景信息;使用含有該私人金鑰與該背景信息之行動電話而將一機密信息顯示至該使用者;以及提供一使用者回應至該認證權限機構以響應觀察該機密信息的使用者。
本發明一觀點係一種認證一使用者之方法,其係包括:從一認證權限機構提供一使用者金鑰至該使用者;接著自該使用者第一次提供該使用者金鑰至該認證權限機構;從該認證權限機構提供一私人金鑰至該使用者,以響應該第一次所提供之使用者金鑰;接著自該使用者第二次提供該使用者金鑰至該認證權限機構;從該認證權限機構提供一背景信息至該使用者,以響應該第二次所提供之使用者金鑰;將該背景信息顯示在面對該使用者之一顯示螢幕上,同時一行動電話係被定位在、對齊排列於、且捕捉該顯示螢幕上之條碼;使用該行動電話而將一機密信息顯示至該使用者;以及接著從該使用者提供一使用者回應至該認證權限機構,以響應觀察該機密信息的使用者。
本發明多個實施列係提出一種有成本效益並且容易使用封閉式螢幕上認證方法來管理雙因素認證的方法以及系統,其中該「符記」基本上係使用一般印刷元件所印刷在一般透明紙張上的一偽隨機視覺矩陣模式。圖1至3所顯示係依據本發明一實施例中說明註冊與金鑰發佈過程(圖1)、使用者登入過程(圖2)、以及密碼重設過程(圖3)的方塊圖。本發明一實施例係不同於典型符記解決方案之一技術,其係因為能被使用於安全的多方登入。本發明另一實施例係一行動電話型之應用。
機密分享方案在密碼學上係一充份研究的領域,其係由Nor,M.以及Shamir,A.於In:LNCS,vol. 950,Springer-Verlag pp. 1-12的「視覺密碼學」中所提出,其係以引用方式納入本文中。在一些情形中,通常係存有一個提供許多重要檔案之存取的機密金鑰。假如失去此機密金鑰(例如:知道該機密金鑰無法取用之人物、或者是儲存該機密金鑰之電腦受到損壞),則無法對所有的重要檔案進行存取。機密分享上之基本理念係將該機密金鑰分割成數個片斷並且將該等片斷發佈至不同人物,以至於某些子集合之人物係能一起恢復該機密金鑰。
機密分享之一般模型係被稱為整數1、n、以及n之一m-out-of-n方案(或(m,n)臨界值方案)。在該方案中,係有一發送者(或業者)以及n個參與者。該發送者將機密分割成n個部分並且係給予每個參與者一個部分,以至於任何m個部分係能被組合一起以恢復該機密,但是任何m-1個部分係不顯露關於機密的資訊。該等片斷通常係被稱為分享或陰影。對於m以及n之數值的不同抉擇係反應安全性與可靠度之間的權衡輕重。假如最多m-1個參與者(內部人士)在猜測該機密上不具有超過外部人士之優勢,則一機密分享方案係完美的。因此在一單方面的認證模式中,該機密分享方案係一(2,2)臨界值方案。實際上,隱藏機密係能為任何顏色的影像,其係含有來自任何語言之任何圖形或字元。此機密在使用者登入期間係將需要被作為一第二因素認證。
隨著在像是液晶顯示器、電漿電視、平面螢幕陰極射線管、並且甚至是行動裝置之平面螢幕顯示裝置上的成本降低,機密分享方案係將變成更有說服力之項目。
本發明多個實施例係可例如藉由視覺代碼覆疊、行動符記認證、或類似認證,而包含用於有效並且安全雙因素認證之不同方案。
在一實施例中,所提出藉由該視覺代碼覆疊之方案係能以只要幾個階段進行敘述:(1)註冊與金鑰發佈至多使用者;(2)線上使用者登入;以及(3)密碼重設。
如圖1A中所示之階段1,用於線上資源之權限機構14(例如提供網路銀行業務服務之一銀行)首先係需要註冊以及發佈一分享給一使用者12之隨機金鑰。包含權限機構14之伺服器15係以虛線方塊顯示,然而將要理解的是:如權限機構系統14、視覺金鑰產生器16、以及資料庫18所示之構件係可採取不同組態,例如:該等構件係可位於遠端或彼此分開。典型地,該使用者係提供諸如身分、密碼、以及類似者之註冊資訊10a,並且係將被給予所生成之一使用者身分以及該視覺金鑰產生器16所生成之密碼,並且最重要的是:該機密金鑰分享係被印刷在一透明的實體媒體(透明物件)24上。該視覺金鑰S係被產生(10b),並且藉著該視覺金鑰產生器16係將所儲存身分、密碼、S等等儲存(10c)在該資料庫18中。此視覺金鑰係能透過註冊郵件或甚至是用於自行列印之電子形式而被發送(10d)至該使用者。該權限機構係將保持所有使用者資訊(使用者身分|密碼|金鑰分享)之一資料庫18。圖1B係具有權限機構系統模組14之一伺服器15的一方塊圖,其係能被使用在 依據本發明一實施列的系統中。該伺服器15係具有一處理器11、記憶體13、資料庫18、介面17、視覺金鑰產生器16、以及類似元件。將要理解的是:該伺服器中所示之多個構件係為說明目的,並且係可採取不同的配置以及組態,例如:諸如資料庫等等之構件係可分開地定位及/或位於該伺服器之遠端。
如圖2A之系統10中所示的階段2,當一使用者12嘗試存取線上資源時,該權限機構14係將對該使用者提示(10e)使用者身分以及密碼。一旦此資訊經驗證為正確,基於將在螢幕20上被顯示(10h)為S之一機密信息以及使用者金鑰分享,該系統係將自該權限機構14產生一偽隨機分享S,以至於當該使用者將其在螢幕22上自行持有之視覺符記覆疊(10h、10i)在其電腦20之機密信息上(在S的上面)時,該機密信息係將被顯露。該資料庫18係被查詢以擷取視覺金鑰分享S。該使用者接著係需要鍵入此機密訊息並且假如為正確,則該使用者係得以存取該線上資源。對於多方登入來說,至少n個使用者在能進行登入之前係需要將其金鑰分享呈現至覆疊24並且顯露該機密信息。圖2B係能被使用在依據本發明一實施列之系統中的一電腦20之一方塊圖。該電腦20係說明性並且係可包含一處理器23、記憶體25、以及介面27,以用於互連與通訊於該系統之其它構件、顯示器22與輸入件21(諸如一鍵盤或小鍵盤)。
如圖3所示的階段3,如果發生終端使用者洩露或遺失 金鑰符記,則該終端使用者係能輕易地以該權限機構進行密碼重設。基本上,終端使用者12係將註冊(10j)於該權限機構並且要求一新符記。該權限機構系統14係將處理此請求,並且係藉該視覺金鑰產生器16來重新產生(10k)一新視覺金鑰,以及對該資料庫18中之使用者身分|密碼|金鑰分享登錄項進行更新(10l)。該新視覺金鑰係能方便地經由註冊郵件、電子郵件等等而被發佈(10m)至該終端使用者。
由於顯示裝置在該使用者終端處之變化,所以該終端使用者在認證期間將透鏡(lens)靠著該顯示螢幕對齊並且覆疊來正確顯示該機密信息可能係困難的。為應付前述問題,本發明一實施例係包含數個針對輕鬆進行螢幕上認證所提出的技術,如下:
技術1:對於終端使用者為輕易可調整的螢幕上透鏡尺寸。
技術2:機密信息結構中的冗餘。
技術3:動態的螢幕尺寸匹配程式。
技術4:預先列印之多重尺寸的透鏡金鑰(lens key)。
藉由將該等透鏡金鑰作為一符記,係有數個超越傳統符記解決方案之優勢,如下:
1)每個透鏡金鑰之成本遠少於一自然符記。
2)透鏡金鑰係能輕易地被發佈至該終端使用者以用於自行列印。
3)假如該等透鏡金鑰發生任何洩露,則一更換金鑰係 輕易地被產生並且發佈至受到影響的終端使用者。
在一實施例中,所提出藉由行動符記認證之方案係能以多個主要階段進行敘述:1)使用者註冊與行動金鑰發佈、2)使用者登入與認證、以及3)行動金鑰重設。圖4至10係提供具有一相似過程之行動符記認證的另一實施例。圖4A之系統50所示包含權限機構54之一伺服器係由虛線方塊所顯示,然而將要理解的是:權限機構系統54、行動金鑰產生器56、以及資料庫58所示之多個構件係可具有不同組態,例如:該等構件係可位於遠端或彼此分開。依此方式,使用者52係將諸如身份、密碼、行動號碼、以及類似者之註冊資訊提供(55a)至該權限機構系統54。該行動金鑰產生器56係建立(50b)行動金鑰K。該註冊資訊以及該行動金鑰K係被儲存(50c)在資料庫中。該行動金鑰K接著經由該權限機構系統54而返回(50d)以被儲存在該使用者52之行動電話中。圖4B係在依據本發明一實施例中之系統所能使用的一行動電話62之一方塊圖。所示之行動電話62係為說明性並且係可包括一處理器102、記憶體104、以及一介面106與通訊模組,以用於互動與相互通訊於該系統之其它構件、顯示器80、輸入件(諸如一照相機92)、另一輸入件(諸如一鍵盤或小鍵盤94)、與其它類似構件。
為了將該行動金鑰安全地傳送(經由簡訊服務、通用封包無線電服務(GPRS)、或輸送通訊協定之任何形式),該行動金鑰在傳輸之前係先將被解密。該解密作業係經由一對稱金鑰演算法或基於公用金鑰基礎架構(public key infrastructure,PKI)之金鑰對而完成。當使用一公用金鑰基礎建設系統,視覺代碼中所內嵌的內容係可使用該權限機構系統54之公用金鑰以及私人金鑰進行加密與數位簽章。依此方式,服務供應商以及服務請求者之一雙向驗證安全上係被確立,藉此增加整個系統的安全性。
相似地,所產生之行動金鑰係能基於一對稱金鑰演算法或基於公用金鑰基礎建設之金鑰對。
假如其中該使用者52需要認證於超過一個權限機構系統54的情況,則該使用者52之行動電話上所安裝的相同行動應用程式係能被使用。在此情況中,對該等權限機構系統中各者為特有之多重行動金鑰係將安全地被儲存在該行動電話上。該行動金鑰產生器56係建立新的行動金鑰K。
圖5中所示之系統50係顯示具有該資料庫58之權限機構系統54以及隨機機密集與視覺代碼產生器70,其係具有隨機機密集產生器模組72、加密模組74、與用於產生視覺代碼V 82之視覺代碼產生器76。該使用者52係經由一電腦60而以身份、密碼、以及類似者進行登入(50e),並且該資料庫58係被查詢(50f)以擷取該行動金鑰K,其中如圖5所示該機密信息m係被產生(50g)且以K進行加密來產生E。經編碼E係被產生(50h、50i)到該視覺代碼V 82內。該視覺代碼V係被顯示在該電腦60之螢幕80上,並且該使用者52係使用一行動裝置62來捕捉以及解碼該該視覺代碼V,以將行動裝置視覺代碼84顯示(50j)在該行動裝置62之顯示器上、並且將密碼86顯示(50j)在該顯示器上。該使用者52係使用(50K)經解碼密碼來進行登入。
圖6係顯示該系統50之行動金鑰重設過程之流程圖。該使用者52係要求(501)一行動金鑰重設。該權限機構系統54係建立(50m)新的一行動金鑰K。諸如身份、密碼、行動號碼、K、以及類似者之儲存身份與其它資訊係被儲存(50n)在該資料庫58中。該新的行動金鑰K係經由該權限機構系統54而返回(50o)以被儲存在該使用者的行動電話中。
視覺透鏡或使用者覆疊24對比自然符記係相對容易地,並且將要被理解的是:該視覺透鏡係更有成本效益。
本發明一實施例係能使用於針對具有下述重要特徵之情節的認證方法:交叉下單(cross-order)以及大量認證。
本發明多個實施例中關於雙因素認證之市場區隔及/或應用係可包含:企業應用,諸如安全遠端存取、企業認證、企業對企業(B2B)交易、或類似者;消費應用,諸如線上銀行業務、電子商務、網際網路服務供應商(ISP)、或類似者;政府應用,諸如共同認證、或類似者。
本發明一實施例係不同於典型符記解決方案之一技術,其係因為能被使用於安全登入。
在一實施例中,公用金鑰密碼系統係一種用於雙方面之間的機密通訊所使用的方法,而不需要一開始的機密金鑰交換。該公用金鑰密碼系統係亦被使用於建立數位簽章。該公用金鑰密碼系統係致能網際網路上之安全的資訊傳輸。
該公用金鑰密碼系統係亦被稱為非對稱金鑰密碼系統,因為用來加密一信息之金鑰不同於用來解密該信息之金鑰。在公用金鑰密碼系統中,一使用者係具有一對密碼金鑰:一公用金鑰以及一私人金鑰。該私人金鑰係保持機密,而該公用金鑰係可廣泛地發佈。多條信息係以接受者之公用金鑰予以加密,並且係僅能相對應的私人金鑰加以解密。該對密碼金鑰數學上係相關的,但是該私人金鑰係無法切實地(亦即:在實際或預計的實行上)自該公用金鑰推導出。
對稱密碼系統係將一單一機密金鑰使用於加密以及解密兩者。為使用一對稱密碼系統方案,發送者以及接收者事先係必須分享一金鑰。因為該對稱密碼系統之計算性較不密集並且需要較少的頻寬,所以使用一金鑰交換演算法來交換一金鑰而且使用一編密方案來傳送資料係常見的。
圖7係說明一啟動過程110之一方塊圖,其中一私人金鑰係被產生並且安全地發佈至該終端使用者52之行動電話62。該啟動過程110係涉及從網站下載(110a)經過簽章的Midlet應用程式,並且產生(110b)一對金鑰。以帶外(out of band)方式所接收來對所產生的公用金鑰進行加密之通行碼係被輸入(110c),其中該帶外(out of band)方式係取決於銀行、其它組織、以及類似者而有彈性,儘管例如ATM為使用者登入來自行註冊或系統自動地產生。 所加密公用金鑰係經由通用封包無線電服務、簡訊服務、或類似服務而被註冊(110d)於組織中。該系統係驗證使用者身分並且經過解密以取得該使用者之所產生的公用金鑰,其係將被儲存(110e)在該系統的儲存庫中。
圖8係說明依據本發明一實施例之一使用者登入過程120的一方塊圖。該認證過程係涉及該終端使用者52藉著登入或註冊資訊來登入(120a)系統(例如:該伺服器55)。所加密的動態密碼係例如以2維條碼格式所產生(120b)。該系統使用該終端使用者52在其中所註冊之公用金鑰進行加密。具有影像捕捉裝置(諸如該行動電話62上之照相機92)之使用者係對該2維條碼進行快照(120c)以獲取由該使用者之公用金鑰所加密的動態密碼。該終端使用者52係例如將該動態密碼以及密碼輸入(120d)網頁中,並且成功地登入(120e)。
圖9係說明依據本發明一實施例中一行動金鑰更換過程130之一方塊圖。該終端使用者52係要求(130a)新的通行碼,並且新的一對金鑰係被產生(130b)。該通行碼係被輸入(130c)以加密並且產生公用金鑰。經加密金鑰係例如經由通用封包無線電服務、簡訊服務、或類似服務而被註冊(130d)於多個組織。該系統係驗證該使用者身份並且進行解密,以取得該使用者所產生的公用金鑰,而且接著儲存(130e)在該系統之儲存庫中。
圖10係說明依據本發明一實施例中一行動金鑰撤銷或電話遺失過程140之一方塊圖。該終端使用者52係通知 (140a)管理員142。在另一實施例中,該終端使用者52係使用諸如自動櫃員機(ATM)之其它裝置進行撤銷(140b)。該等金鑰係由系統55所撤銷(140c),並且更換係被取消。在一實施例中,僅有預先註冊係被允許的。該終端使用者52係重複(140d)註冊過程以註冊新的金鑰。
儘管本發明多個實施例已經經過敘述並且說明,然而將理解到熟習該項技術人士所關心的是:眾多變化例或修改例在設計或結構細節上係可進行而沒有悖離本發明。
10,50‧‧‧系統
10a-10d‧‧‧註冊與金鑰發佈過程
10e-10i‧‧‧使用者登入過程
10j-10m‧‧‧密碼重設過程
11,23,102‧‧‧處理器
12,52‧‧‧(終端)使用者
13,25,104‧‧‧記憶體
14‧‧‧權限機構系統模組
15,55‧‧‧伺服器
16‧‧‧視覺金鑰產生器
17,27,106‧‧‧介面
18,58‧‧‧資料庫
20,60‧‧‧電腦
21‧‧‧輸入件/小鍵盤
22,80‧‧‧螢幕/顯示器
24‧‧‧實體媒體/覆疊
50b,50c,55a,55d‧‧‧註冊與行動金鑰發佈過程
50e,50g-50k,55f‧‧‧使用者登入過程
50l-50m‧‧‧行動金鑰過程
54‧‧‧權限機構系統
56‧‧‧行動金鑰產生器
62‧‧‧行動(裝置)電話
70‧‧‧隨機機密集與視覺代碼產生器
72‧‧‧機密集產生器模組
74‧‧‧加密模組
76‧‧‧視覺代碼產生器模組
82‧‧‧視覺代碼V
84‧‧‧行動裝置視覺代碼
86‧‧‧密碼
92‧‧‧照相機
94‧‧‧小鍵盤
110(110a-110e)‧‧‧啟動過程
120(120a-120e)‧‧‧使用者登入過程
130(130a-130e)‧‧‧行動金鑰更換過程
140(140a-140d)‧‧‧行動金鑰撤銷或電話遺失過程
142‧‧‧管理員
144‧‧‧自動櫃員機
為了使本發明多個實施例可以經由多個非限制性實例而完整且更清楚地得到理解,上述說明係配合後附圖式進行敘述,其中等同的參考元件符號係指定類似或對應的元件、區域、與部分,並且其中:圖1A係說明依據本發明一實施例中一註冊以及金鑰發佈過程的一方塊圖;圖1B係說明依據本發明一實施例中本系統所能使用之具有權限機構系統的一伺服器之一方塊圖;圖2A係說明依據本發明一實施例中一使用者登陸過程之一方塊圖;圖2B係說明依據本發明一實施例中本系統所能使用之一電腦的一方塊圖;圖3說明依據本發明一實施例中一密碼重設過程的一方塊圖; 圖4A係說明依據本發明一實施例中一註冊以及行動金鑰發佈過程的一方塊圖;圖4B係依據本發明一實施例中本系統所能使用之一行動電話的一方塊圖;圖5係說明依據本發明一實施例中一使用者登陸過程之一方塊圖;圖6係說明依據本發明一實施例中之一金鑰重設過程;圖7係說明一啟動過程之一方塊圖,其中一私人金鑰係被產生並且被安全地發佈至終端使用者的行動電話;圖8係說明依據本發明一實施例中一使用者登陸過程之一方塊圖;圖9係說明依據本發明一實施例中一行動金鑰更換過程之一方塊圖;圖10係說明依據本發明一實施例中一行動金鑰撤銷過程之一方塊圖。
10‧‧‧系統
10e-10i‧‧‧使用者登入過程
12‧‧‧(終端)使用者
14‧‧‧權限機構系統模組
15‧‧‧伺服器
16‧‧‧視覺金鑰產生器
18‧‧‧資料庫
20‧‧‧電腦
22‧‧‧螢幕/顯示器
24‧‧‧實體媒體/覆疊

Claims (72)

  1. 一種認證一使用者之方法,其係包括:從一認證權限機構提供一視覺覆疊;提供一使用者金鑰至該認證權限機構;從該認證權限機構提供一背景信息以響應該使用者金鑰;將該背景信息顯示在一顯示螢幕上,同時該視覺覆疊係被定位在、對齊排列於、且依附至該顯示螢幕上;使用該視覺覆疊與該背景信息而將一機密信息顯示至該使用者;以及提供一使用者回應至該認證權限機構以響應觀察該機密信息的使用者。
  2. 如申請專利範圍第1項之方法,其中該視覺覆疊係包含一視覺矩陣模式。
  3. 如申請專利範圍第1項之方法,其中該視覺覆疊係包含一偽隨機視覺矩陣模式。
  4. 如申請專利範圍第1項之方法,其中該視覺覆疊係包含一視覺矩陣模式以及一透明媒體,該視覺矩陣模式係不透明的、並且該視覺矩陣模式係被印刷在該透明媒體上。
  5. 如申請專利範圍第1項之方法,其中該視覺覆疊係包含一偽隨機視覺矩陣模式以及一透明媒體,該偽隨機視覺矩陣模式係不透明的、並且該偽隨機視覺矩陣模式係被印刷在該透明媒體上。
  6. 如申請專利範圍第4項之方法,其中該認證權限機構係將該視覺矩陣模式印刷在該透明媒體上。
  7. 如申請專利範圍第4項之方法,其中該使用者係將該視覺矩陣模式印刷在該透明媒體上。
  8. 如申請專利範圍第6項之方法,其中該認證權限機構係將該偽隨機視覺矩陣模式印刷在該透明媒體上。
  9. 如申請專利範圍第6項之方法,其中該使用者係將該偽隨機視覺矩陣模式印刷在該透明媒體上。
  10. 如申請專利範圍第1項之方法,其中該視覺覆疊係允許該使用者觀察該顯示螢幕之一第一挑選部分、而不允許該使用者觀察該顯示螢幕之一第二挑選部分,並且該顯示螢幕之第一挑選部分係將該機密信息顯示於該背景信息內。
  11. 如申請專利範圍第10項之方法,其中該顯示螢幕之第一挑選部分係為該顯示螢幕之第二挑選部分內的一視窗。
  12. 如申請專利範圍第11項之方法,其中該視覺覆疊係允許該使用者觀察該顯示螢幕之一第三挑選部分、並且該使用者係將該使用者回應輸入該顯示螢幕之第三挑選部分。
  13. 如申請專利範圍第1項之方法,其中該視覺覆疊係一(m,n)臨界值機密分享方案之一部分,m係需要恢復一機密之組成部分的數目、而n係組成部分總數目。
  14. 如申請專利範圍第1項之方法,其中該視覺覆疊係 具有與該顯示螢幕大致上相同的尺寸。
  15. 如申請專利範圍第1項之方法,其中該顯示螢幕係一平面顯示螢幕。
  16. 如申請專利範圍第1項之方法,其中該顯示螢幕係一液晶顯示螢幕。
  17. 如申請專利範圍第1項之方法,其中該使用者回應係該機密信息。
  18. 如申請專利範圍第1項之方法,其中該認證權限機構係提供該使用者金鑰至該使用者,並且該認證權限機構係提供該視覺覆疊至該使用者以響應來自該使用者的使用者金鑰。
  19. 如申請專利範圍第1項之方法,其中該認證權限機構係使用網際網路來提供該背景信息至該使用者,並且該使用者係能使用網際網路來提供該使用者回應至該認證權限機構。
  20. 如申請專利範圍第1項之方法,其中該方法係能一雙因素認證方案,並且其中該使用者金鑰係為第一因素、而該使用者回應係為第二因素。
  21. 一種認證一使用者之方法,其係包括:從一認證權限機構提供一使用者金鑰至該使用者;接著自該使用者第一次提供該使用者金鑰至該認證權限機構;從該認證權限機構提供一視覺覆疊至該使用者,以響 應該第一次所提供之使用者金鑰;接著自該使用者第二次提供該使用者金鑰至該認證權限機構;從該認證權限機構提供一背景信息至該使用者,以響應該第二次所提供之使用者金鑰;將該背景信息顯示在面對該使用者之一顯示螢幕上,同時該視覺覆疊係被定位在、對齊排列於、且依附至該顯示螢幕上;使用該視覺覆疊與該背景信息來將一機密信息顯示至該使用者;以及接著從該使用者提供一使用者回應至該認證權限機構,以響應觀察該機密信息的使用者。
  22. 如申請專利範圍第21項之方法,其中該視覺覆疊係包含一偽隨機視覺矩陣模式以及一透明媒體,該偽隨機視覺矩陣模式係不透明的、並且該偽隨機視覺矩陣模式係被印刷在該透明媒體上。
  23. 如申請專利範圍第22項之方法,其中該認證權限機構係將該偽隨機視覺矩陣模式印刷在該透明媒體上。
  24. 如申請專利範圍第22項之方法,其中該使用者係將該偽隨機視覺矩陣模式印刷在該透明媒體上。
  25. 如申請專利範圍第21項之方法,其中該視覺覆疊係允許該使用者觀察該顯示螢幕之一第一挑選部分與一第三挑選部分、而不允許該使用者觀察該顯示螢幕之一第二挑選部分,並且該顯示螢幕之第一挑選部分係為該顯示螢幕 之第二挑選部分內的一視窗,該顯示螢幕之第一挑選部分係將該機密信息顯示於該背景信息內,並且該使用者係將該使用者回應輸入該顯示螢幕之第三挑選部分。
  26. 如申請專利範圍第21項之方法,其中該視覺覆疊係一(m,n)臨界值機密分享方案之一部分,m係需要恢復一機密之組成部分的數目、而n係組成部分總數目。
  27. 如申請專利範圍第21項之方法,其中該視覺覆疊係具有與該顯示螢幕大致上相同的尺寸。
  28. 如申請專利範圍第21項之方法,其中該使用者回應係該機密信息。
  29. 如申請專利範圍第21項之方法,其中該認證權限機構係使用網際網路來提供該使用者金鑰以及該背景信息至該使用者,並且該使用者係能使用網際網路來提供該第一次與該第二次所提供的使用者金鑰以及該使用者回應至該認證權限機構。
  30. 如申請專利範圍第21項之方法,其中該方法係一雙因素認證方案,並且其中該使用者金鑰係為第一因素、而該使用者回應係為第二因素。
  31. 一種認證一使用者之方法,其係包括:從一認證權限機構提供一使用者金鑰至該使用者;接著從該使用者提供該使用者金鑰至該認證權限機構;於該認證權限機構處對一機密信息進行編碼以響應該使用者金鑰,藉此提供一編碼信息; 從該認證權限機構提供該編碼信息至該使用者以響應來自該使用者之使用者金鑰;將該編碼信息顯示在一顯示螢幕上,藉此提示該使用者對該編碼信息進行解碼;以及從該使用者提供一使用者回應至該認證權限機構,以響應該使用者使用一視覺覆疊對該編碼信息進行解碼。
  32. 如申請專利範圍第31項之方法,其中編碼信息係使用一對公用金鑰基礎架構金鑰進行編碼以及解碼。
  33. 如申請專利範圍第31項之方法,其中該機密信息係一偽隨機字母數字代碼。
  34. 如申請專利範圍第31項之方法,其中該機密信息係一(m,n)臨界值機密分享方案之一部分,m係需要恢復一機密之組成部分的數目、而n係組成部分總數目。
  35. 如申請專利範圍第31項之方法,其中該顯示螢幕係一平面顯示螢幕。
  36. 如申請專利範圍第31項之方法,其中該顯示螢幕係一液晶顯示螢幕。
  37. 如申請專利範圍第31項之方法,其中該顯示螢幕係一行動電話螢幕。
  38. 如申請專利範圍第31項之方法,其中該使用者回應係該機密信息。
  39. 如申請專利範圍第31項之方法,其中該認證權限機構係使用網際網路來提供該編碼信息至該使用者,並且該使用者係使用網際網路來提供該使用者回應至該認證權限 機構。
  40. 如申請專利範圍第31項之方法,其中該方法係一雙因素認證方案,並且其中該使用者金鑰係為第一因素、而該使用者回應係為第二因素。
  41. 一種認證一使用者之方法,其係包括:從一認證權限機構提供一私人金鑰;提供一使用者金鑰至該認證權限機構;從該認證權限機構提供一背景信息以響應該使用者金鑰;將該背景信息顯示在一顯示螢幕上,同時具有該使用者之私人金鑰的行動電話係被用來捕捉該顯示螢幕上的背景信息;使用含有該私人金鑰與該背景信息之行動電話來將一機密信息顯示至該使用者;以及提供一使用者回應至該認證權限機構以響應觀察該機密信息的使用者。
  42. 如申請專利範圍第41項之方法,其中該私人金鑰係由該認證權限機構所產生作為一對私人-公用金鑰。
  43. 如申請專利範圍第41項之方法,其中該私人金鑰係作為一Midlet應用程式而被下載至該使用者。
  44. 如申請專利範圍第41項之方法,其中該私人金鑰係作為一Midlet應用程式而被下載至該使用者、以及被安裝至該使用者的行動電話內。
  45. 如申請專利範圍第41項之方法,其中該私人金鑰係 作為一Midlet應用程式而被下載至該使用者、以及被安裝至該使用者的行動電話內,並且係被鏈接至一條碼捕捉應用程式。
  46. 如申請專利範圍第44項之方法,其中該認證權限機構係在註冊期間對該使用者產生一私人-公用金鑰。
  47. 如申請專利範圍第44項之方法,其中該使用者係下載該Midlet應用程式。
  48. 如申請專利範圍第46項之方法,其中該認證權限機構將該私人金鑰作為一Midlet應用程式來發送至該使用者。
  49. 如申請專利範圍第46項之方法,其中該使用者係將該Midlet應用程式安裝至一行動電話內。
  50. 如申請專利範圍第41項之方法,其中具有該私人金鑰之行動電話係允許該使用者觀察該顯示螢幕之一第一挑選部分、而不允許該使用者觀察該顯示螢幕之一第二挑選部分,並且該顯示螢幕之第一挑選部分係顯示經過一條碼進行加密以及儲存的機密信息。
  51. 如申請專利範圍第50項之方法,其中該顯示螢幕之第一挑選部分係為該顯示螢幕之第二挑選部分內的一視窗。
  52. 如申請專利範圍第51項之方法,其中具有該私人金鑰之行動電話係允許該使用者觀察該顯示螢幕之一第三挑選部分、並且該使用者係將該使用者回應輸入該顯示螢幕之第三挑選部分。
  53. 如申請專利範圍第41項之方法,其中該私人金鑰係由該認證權限機構所產生之需要恢復一機密信息的私人-公用金鑰對之一部分。
  54. 如申請專利範圍第41項之方法,其中該行動電話的螢幕尺寸係大致上小於該顯示螢幕。
  55. 如申請專利範圍第41項之方法,其中該顯示螢幕係一平面顯示螢幕。
  56. 如申請專利範圍第41項之方法,其中該顯示螢幕係一液晶顯示螢幕。
  57. 如申請專利範圍第41項之方法,其中該使用者回應係該機密信息。
  58. 如申請專利範圍第41項之方法,其中該認證權限機構係提供該使用者金鑰至該使用者,並且該認證權限機構係提供該背景信息至該使用者以響應來自該使用者的使用者金鑰。
  59. 如申請專利範圍第41項之方法,其中該認證權限機構係使用網際網路來提供該背景信息至該使用者,並且該使用者係使用網際網路來提供該使用者回應至該認證權限機構。
  60. 如申請專利範圍第41項之方法,其中該方法係一雙因素認證方案,並且其中該使用者金鑰係為第一因素、而該使用者回應係為第二因素。
  61. 一種認證一使用者之方法,其係包括:從一認證權限機構提供一使用者金鑰至該使用者;接 著自該使用者第一次提供該使用者金鑰至該認證權限機構;從該認證權限機構提供一私人金鑰至該使用者,以響應該第一次所提供之使用者金鑰;接著自該使用者第二次提供該使用者金鑰至該認證權限機構;從該認證權限機構提供一背景信息至該使用者,以響應該第二次所提供之使用者金鑰;將該背景信息顯示在面對該使用者之一顯示螢幕上,同時一行動電話係被定位在、對齊排列於、且捕捉該顯示螢幕上之條碼;使用該行動電話來將一機密信息顯示至該使用者;以及接著從該使用者提供一使用者回應至該認證權限機構,以響應觀察該機密信息的使用者。
  62. 如申請專利範圍第61項之方法,其中該私人金鑰係作為一對私人-公用金鑰而被產生、並且被安裝至該使用者的行動電話內。
  63. 如申請專利範圍第62項之方法,其中該認證權限機構係該私人金鑰,並且經由Midlet應用程式將該私人金鑰發送至該使用者。
  64. 如申請專利範圍第62項之方法,其中該使用者係將Midlet應用程式安裝至一行動電話內。
  65. 如申請專利範圍第61項之方法,其中具有該私人金鑰之行動電話係元許該使用者觀察該顯示螢幕之一第一挑選部分、而不允許該使用者觀察該顯示螢幕之一第二挑選部分,並且該顯示螢幕之第一挑選部分係顯示經過一條碼進行加密以及儲存的機密信息。
  66. 如申請專利範圍第61項之方法,其中該私人金鑰係由該認證權限機構所產生之需要恢復一機密信息的私人-公用金鑰對之一部分。
  67. 如申請專利範圍第61項之方法,其中該行動電話之螢幕係具有大致上小於該顯示螢幕的一尺寸。
  68. 如申請專利範圍第61項之方法,其中該使用者回應係該機密信息。
  69. 如申請專利範圍第61項之方法,其中該認證權限機構係使用網際網路來提供該使用者金鑰以及該背景信息至該使用者,並且該使用者係使用網際網路來提供該第一次與該第二次所提供的使用者金鑰以及該使用者回應至該認證權限機構。
  70. 如申請專利範圍第61項之方法,其中該方法係一雙因素認證方案,並且其中該使用者金鑰係為第一因素、而該使用者回應係為第二因素。
  71. 如申請專利範圍第31項之方法,其中該機密信息係以一條碼進行編碼之一加密信息。
  72. 如申請專利範圍第31項之方法,其中該使用者金鑰係所需要恢復一機密信息之一對私人-公用金鑰的一部分。
TW098114778A 2008-05-02 2009-05-04 使用機密視覺信息以用於螢幕上認證的方法及系統 TWI486045B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
SG200803412-6A SG142401A1 (en) 2008-05-02 2008-05-02 System and method for single or multi-party on-screen authentication using visual overlay
SG200805166-6A SG156558A1 (en) 2008-07-09 2008-07-09 System and method for single or multi-party on-screen authentication using visual codes

Publications (2)

Publication Number Publication Date
TW200952439A TW200952439A (en) 2009-12-16
TWI486045B true TWI486045B (zh) 2015-05-21

Family

ID=41255589

Family Applications (1)

Application Number Title Priority Date Filing Date
TW098114778A TWI486045B (zh) 2008-05-02 2009-05-04 使用機密視覺信息以用於螢幕上認證的方法及系統

Country Status (3)

Country Link
US (1) US20110026716A1 (zh)
TW (1) TWI486045B (zh)
WO (1) WO2009134213A2 (zh)

Families Citing this family (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110016515A1 (en) * 2009-07-17 2011-01-20 International Business Machines Corporation Realtime multichannel web password reset
WO2011017099A2 (en) * 2009-07-27 2011-02-10 Suridx, Inc. Secure communication using asymmetric cryptography and light-weight certificates
US9544143B2 (en) 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
US9532222B2 (en) 2010-03-03 2016-12-27 Duo Security, Inc. System and method of notifying mobile devices to complete transactions after additional agent verification
EP2365457A1 (en) * 2010-03-11 2011-09-14 Alcatel Lucent Tag-based secured connection on open device
FR2959896B1 (fr) * 2010-05-06 2014-03-21 4G Secure Procede d'authentification d'un utilisateur requerant une transaction avec un fournisseur de service
US8855300B2 (en) * 2010-09-30 2014-10-07 Google Inc. Image-based key exchange
US8745401B1 (en) * 2010-11-12 2014-06-03 Google Inc. Authorizing actions performed by an online service provider
US8635556B2 (en) * 2010-11-30 2014-01-21 Alcatel Lucent Human readable iconic display server
JP2013020609A (ja) * 2011-06-13 2013-01-31 Kazunori Fujisawa 認証システム
TWI430217B (zh) * 2011-08-08 2014-03-11 Ind Tech Res Inst 驗證方法與系統
US9467463B2 (en) 2011-09-02 2016-10-11 Duo Security, Inc. System and method for assessing vulnerability of a mobile device
NO334144B1 (no) 2011-09-12 2013-12-16 Aker Subsea As Roterende undervannsinnretning
US8826398B2 (en) 2011-09-29 2014-09-02 Hewlett-Packard Development Company, L.P. Password changing
US9524388B2 (en) 2011-10-07 2016-12-20 Duo Security, Inc. System and method for enforcing a policy for an authenticator device
WO2013100905A1 (en) * 2011-12-27 2013-07-04 Intel Corporation Method and system for distributed off-line logon using one-time passwords
TWI456524B (zh) * 2012-03-28 2014-10-11 Univ Chang Gung 應用於雲端運算環境中的金融資料處理方法及其架構
KR101381789B1 (ko) * 2012-05-24 2014-04-07 아주대학교산학협력단 웹 서비스 사용자 인증 방법
CN102769628B (zh) * 2012-07-27 2014-03-26 腾讯科技(深圳)有限公司 页面登录方法及服务器
CN102801724A (zh) * 2012-08-09 2012-11-28 长城瑞通(北京)科技有限公司 一种图形图像与动态密码相结合的身份认证方法
CN103685384A (zh) * 2012-09-12 2014-03-26 中兴通讯股份有限公司 防恶意骚扰的用户身份验证方法及装置
TW201419208A (zh) 2012-11-09 2014-05-16 Jrsys Internat Corp 基於視覺密碼學的圖像傳遞系統及相關的電腦程式產品
US9166961B1 (en) * 2012-12-11 2015-10-20 Amazon Technologies, Inc. Social networking behavior-based identity system
US9607156B2 (en) 2013-02-22 2017-03-28 Duo Security, Inc. System and method for patching a device through exploitation
US9338156B2 (en) 2013-02-22 2016-05-10 Duo Security, Inc. System and method for integrating two-factor authentication in a device
US9443073B2 (en) 2013-08-08 2016-09-13 Duo Security, Inc. System and method for verifying status of an authentication device
US9053310B2 (en) 2013-08-08 2015-06-09 Duo Security, Inc. System and method for verifying status of an authentication device through a biometric profile
US9608814B2 (en) 2013-09-10 2017-03-28 Duo Security, Inc. System and method for centralized key distribution
US9092302B2 (en) 2013-09-10 2015-07-28 Duo Security, Inc. System and method for determining component version compatibility across a device ecosystem
US9774448B2 (en) 2013-10-30 2017-09-26 Duo Security, Inc. System and methods for opportunistic cryptographic key management on an electronic device
US9928358B2 (en) * 2013-12-09 2018-03-27 Mastercard International Incorporated Methods and systems for using transaction data to authenticate a user of a computing device
US9424410B2 (en) 2013-12-09 2016-08-23 Mastercard International Incorporated Methods and systems for leveraging transaction data to dynamically authenticate a user
BR102014007666B1 (pt) * 2014-03-28 2023-01-10 Samsung Eletrônica Da Amazônia Ltda Método para autenticação de transações móveis usando criptografia de vídeo e método para criptografia de vídeo
US9332008B2 (en) 2014-03-28 2016-05-03 Netiq Corporation Time-based one time password (TOTP) for network authentication
US9762590B2 (en) 2014-04-17 2017-09-12 Duo Security, Inc. System and method for an integrity focused authentication service
US9892637B2 (en) 2014-05-29 2018-02-13 Rideshare Displays, Inc. Vehicle identification system
US10467896B2 (en) 2014-05-29 2019-11-05 Rideshare Displays, Inc. Vehicle identification system and method
US9715585B2 (en) * 2014-10-07 2017-07-25 Nxp Usa, Inc. Optical authentication of operations for a mobile device
CN105634738B (zh) * 2014-11-05 2019-06-18 北京握奇智能科技有限公司 一种动态令牌参数的更新方法和系统
BR102014032168B1 (pt) * 2014-12-18 2022-12-27 Universidade Estadual De Campinas - Unicamp Método para recuperação de segredos encriptados com criptografia visual por alinhamento automático em dispositivos móveis
US9979719B2 (en) 2015-01-06 2018-05-22 Duo Security, Inc. System and method for converting one-time passcodes to app-based authentication
US9641341B2 (en) 2015-03-31 2017-05-02 Duo Security, Inc. Method for distributed trust authentication
US9774579B2 (en) 2015-07-27 2017-09-26 Duo Security, Inc. Method for key rotation
US9984217B2 (en) * 2016-02-19 2018-05-29 Paypal, Inc. Electronic authentication of an account in an unsecure environment
US10536436B1 (en) 2016-06-24 2020-01-14 Amazon Technologies, Inc. Client authentication utilizing shared secrets to encrypt one-time passwords
US10412113B2 (en) 2017-12-08 2019-09-10 Duo Security, Inc. Systems and methods for intelligently configuring computer security
US10063542B1 (en) * 2018-03-16 2018-08-28 Fmr Llc Systems and methods for simultaneous voice and sound multifactor authentication
US11658962B2 (en) 2018-12-07 2023-05-23 Cisco Technology, Inc. Systems and methods of push-based verification of a transaction
US11641363B2 (en) * 2019-01-14 2023-05-02 Qatar Foundation For Education, Science And Community Development Methods and systems for verifying the authenticity of a remote service
US11102197B2 (en) 2019-09-04 2021-08-24 Bank Of America Corporation Security tool
US11184351B2 (en) 2019-09-04 2021-11-23 Bank Of America Corporation Security tool
US11102198B2 (en) 2019-11-19 2021-08-24 Bank Of America Corporation Portable security tool for user authentication

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6810122B1 (en) * 1999-07-23 2004-10-26 Kabushiki Kaisha Toshiba Secret sharing system and storage medium
EP1785900A1 (de) * 2005-11-04 2007-05-16 Christian Hogl Verfahren und System zum Übertragen von Daten von einer ersten Datenverarbeitungseinrichtung an eine zweite Datenverarbeitungseinrichtung
TW200726169A (en) * 2005-12-19 2007-07-01 Chinatrust Commercial Bank Ltd Method of generating and applying one time password in network transactions, and system executing the same method
TW200731730A (en) * 2005-12-02 2007-08-16 Widevine Technologies Inc Tamper prevention and detection for video provided over a network to a client
TW200816068A (en) * 2006-09-27 2008-04-01 Ming-Chih Tsai A transaction payment method by using handheld communication devices
CN101166089A (zh) * 2006-10-18 2008-04-23 株式会社东芝 秘密信息管理设备与秘密信息管理系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040008550A (ko) * 2002-07-18 2004-01-31 엘지전자 주식회사 시크리트 공유를 이용한 비밀문서의 공유방법
EP1943605A1 (de) * 2005-11-04 2008-07-16 Christian Hogl Verfahren und system zum übertragen von daten von einer ersten datenverarbeitungseinrichtung an eine zweite datenverarbeitungseinrichtung
KR100819024B1 (ko) * 2005-12-12 2008-04-02 한국전자통신연구원 아이디/패스워드를 이용한 사용자 인증 방법
CN101897165B (zh) * 2007-10-30 2013-06-12 意大利电信股份公司 数据处理系统中验证用户的方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6810122B1 (en) * 1999-07-23 2004-10-26 Kabushiki Kaisha Toshiba Secret sharing system and storage medium
EP1785900A1 (de) * 2005-11-04 2007-05-16 Christian Hogl Verfahren und System zum Übertragen von Daten von einer ersten Datenverarbeitungseinrichtung an eine zweite Datenverarbeitungseinrichtung
TW200731730A (en) * 2005-12-02 2007-08-16 Widevine Technologies Inc Tamper prevention and detection for video provided over a network to a client
TW200726169A (en) * 2005-12-19 2007-07-01 Chinatrust Commercial Bank Ltd Method of generating and applying one time password in network transactions, and system executing the same method
TW200816068A (en) * 2006-09-27 2008-04-01 Ming-Chih Tsai A transaction payment method by using handheld communication devices
CN101166089A (zh) * 2006-10-18 2008-04-23 株式会社东芝 秘密信息管理设备与秘密信息管理系统

Also Published As

Publication number Publication date
WO2009134213A2 (en) 2009-11-05
TW200952439A (en) 2009-12-16
US20110026716A1 (en) 2011-02-03
WO2009134213A3 (en) 2010-03-04

Similar Documents

Publication Publication Date Title
TWI486045B (zh) 使用機密視覺信息以用於螢幕上認證的方法及系統
US10380361B2 (en) Secure transaction method from a non-secure terminal
US6138239A (en) Method and system for authenticating and utilizing secure resources in a computer system
US11824991B2 (en) Securing transactions with a blockchain network
US10592651B2 (en) Visual image authentication
EP2220840B1 (en) Method of authentication of users in data processing systems
EP2991267B1 (en) Apparatus for providing puf-based hardware otp and method for authenticating 2-factor using same
US6343361B1 (en) Dynamic challenge-response authentication and verification of identity of party sending or receiving electronic communication
US7293176B2 (en) Strong mutual authentication of devices
US8099769B2 (en) System and method for trusted communication
US20110145576A1 (en) Secure method of data transmission and encryption and decryption system allowing such transmission
NO326037B1 (no) Databekreftelsesmetode og apparat
US11128453B2 (en) Visual image authentication
WO2014141263A1 (en) Asymmetric otp authentication system
TWI476629B (zh) Data security and security systems and methods
Chakraborty et al. Generation and verification of digital signature with two factor authentication
JP4140617B2 (ja) 認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法
CN108985079A (zh) 数据验证方法和验证系统
US20230359764A1 (en) Visual Image Authentication
Reddy et al. A comparative analysis of various multifactor authentication mechanisms
Bhujade et al. A Survey on Basics of Cryptography
Molla Mobile user authentication system (MUAS) for e-commerce applications.
Auyong et al. Authentication services for computer networks and electronic messaging systems
KR20090040607A (ko) 사용자 입력 정보에 대한 메모리 해킹 방지