TWI522836B - Network authentication method and system for secure electronic transaction - Google Patents
Network authentication method and system for secure electronic transaction Download PDFInfo
- Publication number
- TWI522836B TWI522836B TW104113548A TW104113548A TWI522836B TW I522836 B TWI522836 B TW I522836B TW 104113548 A TW104113548 A TW 104113548A TW 104113548 A TW104113548 A TW 104113548A TW I522836 B TWI522836 B TW I522836B
- Authority
- TW
- Taiwan
- Prior art keywords
- server
- authentication
- network
- credential
- user
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/102—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
Description
本發明是有關於一種方法,特別是指一種應用於安全電子交易(Secure Electronic Transactions,簡稱SET)之網路認證方法及系統。
現今如網路銀行及網路商店的網站線上交易十分盛行。但相關於其所造成客戶交易安全問題也是一大挑戰。一般而言,客戶端的電腦由於易被例如按鍵側錄程式、木馬程式,或螢幕側錄程式等入侵。其可能造成重要訊息被導引至偽裝的伺服器。
傳統認證方式是藉由客戶端輸入一使用者身分代號及一密碼。然而,此種簡單的認證方式無法提供客戶足夠保護,也無法避免被惡意程式攻擊,其攻擊方式像是中間人攻擊(man-in-the-middle;簡稱MITM),瀏覽器中間人攻擊(man-in-the-browser;簡稱MITB),及鍵次登錄(keystroke logging)皆屬之。
因為該使用者身分代號及密碼容易被竊取,一身分驗證裝置,例如,一載有一公用密鑰憑證的USB裝置
、一IC電子卡或一動態令牌(dynamic token),被用於使用者身分驗證,從而造成客戶服務成本增加。因此,存在改善前述問題的空間。
因此,本發明之目的,即在提供一種安全電子交易之網路認證方法。
於是,本發明網路認證方法應用於連接一通訊網路的一用戶端及一憑證伺服器,該用戶端相關於一使用者及一認證程式,該網路認證方法包括下述步驟:a)該憑證伺服器儲存一指派給該使用者的憑證,該憑證具有一唯一識別碼及一非對稱式金鑰對的一公鑰及一私鑰;b)該用戶端儲存一憑證索引及一參考私鑰,該憑證索引是對應於指派給該使用者之該憑證,該參考私鑰是通過該使用者以一個人身分識別碼加密該私鑰而產生;c)該用戶端在接受相關於一介於該用戶端及一網路伺服器的電子交易且是被該使用者確認的交易資料後,回應該認證程式的執行,通過一輸入操作產生一使用者輸入碼,藉由該使用者輸入碼解密儲存在步驟b)的該參考私鑰以得到一當前密鑰,及產生一用於該交易資料並使用該當前密鑰及該交易資料的數位簽章;及d)該憑證伺服器依據該通訊網路接收的一數位簽章及一憑證索引,基於該憑證的該公鑰決定收到的該憑證索引是否唯一對應,判斷收到的以該私鑰簽名的該數位簽章,當判斷為該數位簽章是該私鑰所簽名時,將收到的該交易資料的該數位簽章被確定為相關於該使用者。
本發明之功效在於:攻擊者很難從用戶端獲得私鑰及/或個人身分識別碼,從而確保電子簽名的有效性。在通訊網路傳送的只有憑證索引而非完整的憑證,攻擊者無法通過通訊網路竊取被儲存於憑證伺服器的憑證,從而確保數位簽章認證的有效性。
1‧‧‧網路伺服器
100‧‧‧系統
2‧‧‧用戶端
21‧‧‧服務程式
22‧‧‧認證程式
23‧‧‧參考私鑰
3‧‧‧憑證伺服器
31‧‧‧憑證
311‧‧‧唯一識別碼
312‧‧‧公鑰
313‧‧‧私鑰
32‧‧‧憑證索引
4‧‧‧認證伺服器
400‧‧‧通訊網路
401‧‧‧第一通訊管道
402‧‧‧第二通訊管道
403‧‧‧第三通訊管道
404‧‧‧第四通訊管道
405‧‧‧第五通訊管道
5‧‧‧使用者
S200~S214、S300~S327‧‧‧步驟
本發明之其他的特徵及功效,將於參考圖式的實施例詳細說明中清楚地呈現,其中:圖1是一系統方塊圖,說明用於實現本發明的網路認證系統之實施例;圖2及圖3是流程圖,說明本發明的網路認證方法的註冊程序之實施例;及圖4、圖5及圖6是流程圖,說明本發明的網路認證方法的電子交易程序之實施例。
參閱圖1,本發明之實施例中,一用於實現安全電子交易的網路認證方法的系統100包括連結至一通訊網路400(例如,網際網路(Internet))的一網路伺服器1(例如,網路內容供應者(Internet content provider;簡稱ICP))、一用戶端2、一憑證伺服器3(例如,數位憑證認證機構(Certificate Authority;簡稱CA))及一認證伺服器4。其中,特別指出的是,網路伺服器1與用戶端2之間的通訊是通過通訊網路400的一第一通訊管道401;網路伺
服器1與憑證伺服器3之間的通訊是通過通訊網路400的一第二通訊管道;網路伺服器1與認證伺服器4之間的通訊是通過通訊網路400的一第三通訊管道403。憑證伺服器3與認證伺服器4之間的通訊是通過通訊網路400的一第四通訊管道404。用戶端2與認證伺服器4之間的通訊是通過通訊網路400的一第五通訊管道405。第一通訊管道401、第二通訊管道402、第三通訊管道403、第四通訊管道404及第五通訊管道405彼此互異。因此,同時攻擊第一至第五通訊管道401~405以竊取相關於一使用者5的資訊是相對困難的。
為了方便明瞭,網路伺服器1可以是但不限於是一網路銀行伺服器。憑證伺服器3包括一資料庫模組(圖未示)以在其中儲存一憑證31。憑證31被指派給使用者5,且一憑證索引32被唯一地對應至憑證31。憑證31包括使用者5的一唯一識別碼311,及一非對稱式金鑰對的一公鑰312及一私鑰313。值得注意的是,本實施例中,憑證伺服器3具備指派不同憑證給不同使用者的能力且被視為一被認證伺服器4及網路伺服器1信任的第三方所委任而可執行簽名及資料驗證。
用戶端2是被使用者5所使用,其可以是一具有網際網路瀏覽或資料通訊功能的電子裝置,像是一個人電腦、一筆記電腦、一智慧手機或一平板電腦。用戶端2包括多數硬體元件(圖未示),例如一中央處理單元、一基本輸入/輸出系統(BIOS)模組、一儲存模組、一網路介面模
組及一主機板,每一硬體元件都具有唯一的識別碼(圖未示)。用戶端2的儲存模組儲存一相關於網路伺服器1的服務程式21、一認證程式22、憑證索引32,及一參考私鑰23,參考私鑰23藉由加密私鑰313及一藉由使用者5個人身分識別碼(PIN)所決定。認證伺服器4儲存硬體識別資料41,且硬體識別資料41是相關於使用者5的唯一識別碼311且用於驗證用戶端2的身分。
參閱圖1、圖2及圖3,介紹系統100依據本發明的實施例實現網路認證方法的一註冊程序如下。網路認證方法的註冊程序說明憑證索引32及參考私鑰23是如何被儲存於用戶端2,且硬體識別資料41是如何被儲存於認證伺服器4,其包括下述步驟。
在步驟S201,用戶端2的服務程式21執行時,使用者5可在用戶端2的一使用者輸入介面(圖未示)使用網路伺服器1提供的一網站輸入使用者登入資料。該使用者登入資料稍後從用戶端2通過第一通訊管道401發送給網路伺服器1。本實施例中,使用者登入資料包括用於識別使用者的唯一識別碼311及一密碼。
在步驟S202,網路伺服器1依據從用戶端2接收的使用者登入資料,判斷使用者登入資料是否正確。若確定,網路伺服器1通過第一通訊管道401發送一成功登入訊息給用戶端2(步驟S203)。否則,網路伺服器1發送一錯誤訊息給用戶端2並顯示於用戶端2的一顯示模組(圖未示)(步驟S200)。
在步驟S204,用戶端2透過執行服務程式21,依據從網路伺服器1接收的成功登入訊息,通過第一通訊管道401發送一註冊請求至網路伺服器1。
在步驟S205,網路伺服器1回應自用戶端2接收的註冊請求,而通過第二通訊管道402發送用於使用者5的一憑證請求至憑證伺服器3。註冊請求包括使用者5輸入的唯一識別碼311。
在步驟S206,憑證伺服器3回應從網路伺服器3接收的憑證請求,而指派憑證31給使用者5,且產生對應於憑證31的憑證索引32。憑證伺服器3在資料庫模組中儲存憑證31及憑證索引32,並通過第二通訊管道402發送私鑰313及憑證索引32至網路伺服器1。
在步驟S207,網路伺服器1回應從憑證伺服器3接收的私鑰313及憑證索引32,而通過第三通訊管道403發送用於使用者5的一認證註冊請求至認證伺服器4。認證註冊請求包括使用者5的唯一識別碼311、私鑰313及憑證索引32。
在步驟S208,認證伺服器4回應從網路伺服器1接收的認證註冊請求,而產生一認證碼(例如,一單次通行碼,簡稱OTP),及通過第三通訊管道403發送認證碼至網路伺服器1。
在步驟S209,網路伺服器1回應從認證伺服器4接收的認證碼,而通過第一通訊管道401發送認證碼至用戶端2。
在步驟S210,用戶端2回應從網路伺服器1接收的認證碼,而執行認證程式22以產生硬體掃描資料,從而通過第五通訊管道405發送收到的認證碼及硬體掃描資料至認證伺服器4。其中,硬體掃描資料相關於用戶端2的該等硬體元件的識別碼。
在步驟S211,認證伺服器4回應從用戶端2接收的硬體掃描資料及在步驟S210接收的認證碼,而確認是否與步驟S208產生的認證碼相符。若確認相符,認證伺服器4儲存接收的硬體掃描資料為硬體識別資料41,並通過第五通訊管道405發送私鑰313及憑證索引32至用戶端2(步驟S212)。否則,認證伺服器4發送一錯誤訊息至用戶端2並在用戶端2的顯示模組顯示錯誤訊息(步驟S213)。
接續步驟S212,在步驟S214,透過執行認證程式22,用戶端2回應從認證伺服器4接收的私鑰313及憑證索引32,而在使用者輸入介面操作輸入以產生一個人身分識別碼,從而以個人身分識別碼加密(encrypt)私鑰313而產生參考私鑰23。最後,用戶端2在儲存模組儲存參考私鑰23及憑證索引32,完成相關於使用者5的註冊程序。
參閱圖1、圖4、圖5及圖6,系統100配置為實現介於使用者5及網路伺服器1相關於網路認證方法的實施例的一電子交易程序。電子交易交易程序說明身分驗證、簽名驗證及資料驗證,其包括包括下述步驟。
在步驟S301,用戶端2的服務程式21執行時,使用者5可在用戶端2的一使用者輸入介面(圖未示)使用網路伺服器1提供的一網站輸入使用者登入資料。該使用者登入資料稍後從用戶端2通過第一通訊管道401發送給網路伺服器1。本實施例中,使用者登入資料包括用於識別使用者的唯一識別碼311及一密碼。
在步驟S302,網路伺服器1依據從用戶端2接收的使用者登入資料,判斷使用者登入資料是否正確。若確定,網路伺服器1通過第一通訊管道401發送一成功登入訊息給用戶端2(步驟S303)。否則,網路伺服器1發送一錯誤訊息給用戶端2並顯示於用戶端2的一顯示模組(圖未示)(步驟S300)。
接續步驟S303,用戶端2透過執行服務程式21,依據從網路伺服器1接收的成功登入訊息,通過第一通訊管道401發送一交易訊息至網路伺服器1(步驟S304)。
在步驟S305,網路伺服器1依據從用戶端2接收的交易訊息,處理收到的交易訊息,以產生供使用者5確認及簽名的交易資料。稍後,網路伺服器1通過第三通訊管道403發送用於電子交易的一認證請求至認證伺服器4。本實施例中,認證請求包括使用者5的唯一識別碼311及交易資料。
在步驟S306,認證伺服器4依據從網路伺服器1接收的認證請求,而產生一單次訊息識別符(one-time message identification;以下簡稱MID),並通過第三通訊
管道403發送MID至網路伺服器1,該單次訊息識別符是唯一對應至收到的認證請求。
在步驟S307,網路伺服器1將從認證伺服器4收到的MID通過第一通訊管道401傳送至用戶端2。
在步驟S308,用戶端2回應從網路伺服器1接收的MID,執行認證程式22以產生相關於用戶端2的硬體元件識別碼的硬體掃描資料,通過第五通訊管道405發送收到的MID及硬體掃描資料至認證伺服器4。
在步驟S309,認證伺服器4依據從用戶端2接收的MID及硬體掃描資料,確認收到的硬體掃描資料與註冊程序中儲存的硬體識別資料相符(換言之,驗證用戶端2的身分)。若結果是確定(例如,用戶端2的身分驗證成功),認證伺服器4通過第五通訊管道405發送用於交易資料的一簽名請求至用戶端2(步驟S310)。簽名請求包括認證伺服器4在步驟S306收到的交易資料。否則,認證伺服器4發送一錯誤訊息給用戶端2並顯示於用戶端2的顯示模組(步驟S311)。
接續步驟S310,在步驟S312,用戶端2依據從認證伺服器4接收的簽名請求先在顯示模組顯示交易資料,供使用者5可確認交易資料。接著,確認之後,透過用戶端2執行認證程式22,使用者5於用戶端2操作使用者輸入介面產生一使用者輸入碼,以使用者輸入碼解密(decrypt)被儲存於儲存模組的參考私鑰23以得到一當前密鑰,及使用當前密鑰及交易資料產生用於交易資料的一數
位簽章。值得注意的是,本例中,參考私鑰23能配合使用者輸入碼成功地解密而得到私鑰313,且私鑰313與憑證31的公鑰312為互相配對且當使用者輸入碼與個人身分識別碼相同時視為當前密鑰。稍後,用戶端2回應簽名請求,通過第五通訊管道405發送已儲存的憑證索引32及相關於憑證索引32的數位簽章至認證伺服器4。
在步驟S313,認證伺服器4依據通訊網路400接收的一數位簽章及一憑證索引32,通過第四通訊管道404發送用於數位簽章的一驗證請求至憑證伺服器3。本實施例中,用於數位簽章的驗證請求包括數位簽章及憑證索引32。
在步驟S314,憑證伺服器3回應從認證伺服器4接收的驗證請求,基於唯一對應憑證索引32的憑證31的公鑰312,確認接收到的驗證請求是否包括以私鑰313簽名的數位簽章。若結果是確定(例如,使用者輸入碼和個人身分識別碼相同),憑證伺服器3成功地以公鑰312解密數位簽章以得到解密數位簽章的交易資料,其是決定相關於使用者5且被使用者5確認,並通知認證伺服器4數位簽章的驗證成功(步驟315)。否則,憑證伺服器3通知認證伺服器4數位簽章的驗證失敗(步驟316)。
接續步驟S315,在步驟S317,認證伺服器4依據憑證伺服器3的驗證成功結果通知用戶端2數位簽章驗證完成。
接續步驟S316,在步驟S318,認證伺服器4依
據從憑證伺服器3接收的數位簽章驗證失敗結果,認證伺服器4具有一錯誤計數器(圖未示),錯誤計數器是計數用於電子交易認證請求失敗的嘗試次數,供判斷是否少於預定次數(例如,三次),若結果是確定,流程返回到步驟S310以允許使用者5再輸入另一使用者輸入碼用於產生另一數位簽章。在本例中,用於交易資料的簽名請求由認證伺服器4在步驟S310發送,還包括通知個人身分識別碼錯誤。否則,流程返回至步驟S311。
接續步驟S317,在步驟S319,用戶端2依據從認證伺服器4接收的數位簽章驗證完成,而透過執行服務程式21,通過第一通訊管道401發送儲存的憑證索引至網路伺服器1。
在步驟S320,網路伺服器1依據通過通訊網路400接收的一憑證索引32,通過第二通訊管道402發送一用於交易資料的驗證請求至憑證伺服器3。本實施例中,驗證請求包括交易資料及憑證索引32。
在步驟S321,憑證伺服器3回應從網路伺服器1接收的驗證請求,判斷從網路伺服器1的交易資料與在步驟S315得到的交易資料是否相符,且確實是由使用者5所確認。若確定(換言之,從用戶端2傳輸至網路伺服器1的交易訊息未被竄改),憑證伺服器3通知網路伺服器1交易資料的驗證成功(步驟S322)。否則,憑證伺服器3發送一錯誤訊息至網路伺服器1(步驟S323)。網路伺服器1依據接收的錯誤訊息,而發送一錯誤訊息至用戶端2,稍
後通知使用者5交易已經取消(步驟S327)。
接續步驟S322,在步驟S324,網路伺服器1回應從憑證伺服器3的交易資料驗證成功,網路伺服器1通知認證伺服器4交易資料的驗證成功。
在步驟S325,認證伺服器4依據從網路伺服器1接收的交易資料驗證成功,而通知網路伺服器1電子交易認證成功及清除錯誤計數器的計數次數。最後,網路伺服器1依據從認證伺服器4接收的電子交易認證成功,而處理在步驟S305產生用於電子交易的交易資料(步驟S326)。
本發明網路認證方法的優點如下。
1、用戶端2儲存的是參考私鑰23而非私鑰313。只有當使用者5輸入的使用者輸入碼與個人身份確認碼相符,才可用參考私鑰23解密出私鑰313。在操作上,使用者被給予很短的時間輸入只有使用者5知道的個人身分識別碼,且輸入的個人身分識別碼只有短暫儲存。在本例中,既然該個人身分識別碼沒有永久被儲存於在該系統100的任何地方,複製該用戶端2的資料或離線攻擊被限制在猜測該個人身分識別碼而無方法得知或發現該個人身分識別碼。此外,用於輸入該使用者輸入碼的嘗試次數具有限制,攻擊者很難從該用戶端2獲得該私鑰313及/或該個人身分識別碼,從而確保電子簽名的有效性。
2、在該通訊網路400傳送的只有該憑證索引32而非完整的憑證31。換句話說,憑證31的公鑰312非
由該憑證伺服器3輸出且未在該通訊網路400內傳輸。因此,攻擊者無法通過該通訊網路400竊取被儲存於憑證伺服器3的憑證31,從而確保數位簽章認證的有效性。
3、數位簽章的認證成功後,從該網路伺服器1獲得的電子交易的交易資料是由該憑證伺服器3通知,從而有效地避免該交易訊息(交易資料)在從該用戶端2至該網路伺服器1的傳輸過程中被竄改。
4、認證程式22是被儲存於該用戶端2且是執行以產生相關於用戶端2的硬體元件的硬體掃描資料,隨後可用於驗證該用戶端2的身分。
綜上所述,基於前述功效,本發明網路認證方法可保護電子交易安全而無須額外的身分驗證裝置,故確實能達成本發明之目的。
惟以上所述者,僅為本發明之實施例而已,當不能以此限定本發明實施之範圍,即大凡依本發明申請專利範圍及專利說明書內容所作之簡單的等效變化與修飾,皆仍屬本發明專利涵蓋之範圍內。
S312~S319‧‧‧步驟
Claims (11)
- 一種網路認證方法,應用於連接一通訊網路的一用戶端及一憑證伺服器,該用戶端相關於一使用者及一認證程式,該網路認證方法包括下述步驟:a)該憑證伺服器儲存一指派給該使用者的憑證,該憑證具有一唯一識別碼及一非對稱式金鑰對的一公鑰及一私鑰;b)該用戶端儲存一憑證索引及一參考私鑰,該憑證索引是對應於指派給該使用者之該憑證,該參考私鑰是通過該使用者以一個人身分識別碼加密該私鑰而產生;c)該用戶端在接受相關於一介於該用戶端及一網路伺服器的電子交易且是被該使用者確認的交易資料後,回應該認證程式的執行,通過一輸入操作產生一使用者輸入碼,藉由該使用者輸入碼解密儲存在步驟b)的該參考私鑰以得到一當前密鑰,及產生一用於該交易資料並使用該當前密鑰及該交易資料的數位簽章;及d)該憑證伺服器依據該通訊網路接收的一數位簽章及一憑證索引,基於該憑證的該公鑰決定收到的該憑證索引是否唯一對應,判斷收到的以該私鑰簽名的該數位簽章,當判斷為該數位簽章是該私鑰所簽名時,將收到的該交易資料的該數位簽章被確定為相關於該使用者。
- 如請求項1所述的安全電子交易之網路認證方法,其中,在步驟c),當該使用者輸入碼與該個人身分識別碼相符,該當前密鑰視為該私鑰。
- 如請求項1所述的安全電子交易之網路認證方法,還使用該網路伺服器及一連接該通訊網路的認證伺服器,該網路認證方法還包括介於步驟b)及步驟c)之間的下述步驟:e)該網路伺服器依據接收的一交易訊息相關於該電子交易,通過該通訊網路發送用於該電子交易的一認證請求至該認證伺服器,該認證請求具有經過該使用者確認的該使用者的該唯一識別碼及該交易資料;及f)該認證伺服器從該網路伺服器接收該認證請求後,通過該通訊網路發送用於該交易資料的一簽名請求至該用戶端,該簽名請求具有該交易資料;其中,在步驟c),在產生該使用者輸入碼之前,該用戶端還顯示該交易資料。
- 如請求項3所述的安全電子交易之網路認證方法,還包括介於步驟c)及步驟d)之間的下述步驟:g)該用戶端執行該認證程式,通過該通訊網路發送在步驟c)產生的該數位簽章,以及在步驟b)儲存的該憑證索引至該認證伺服器;及h)該認證伺服器依據通過該通訊網路接收的一數位簽章及一憑證索引,通過該通訊網路發送用於該數位簽章的一驗證請求至該憑證伺服器,該驗證請求具有自該認證伺服器接收的該數位簽章及該憑證索引;其中步驟d)是由該憑證伺服器依據接收的該驗證請求所決定。
- 如請求項4所述的安全電子交易之網路認證方法,還包括接續步驟d)的下述步驟:i)當該憑證伺服器判定該數位簽章是以該私鑰簽名,通知該認證伺服器成功驗證該數位簽章;j)該認證伺服器依據從該憑證伺服器收到成功驗證該數位簽章之通知,知會該用戶端完成數位簽章驗證;k)該用戶端依據從該認證伺服器接收的完成數位簽章驗證之通知,通過該通訊網路發送在步驟b)儲存的該憑證索引至該網路伺服器;l)該網路伺服器依據通過該通訊網路接收的一憑證索引,通過該通訊網路發送用於該交易資料的一驗證請求至該憑證伺服器,該驗證請求具有該網路伺服器收到的該交易資料及該憑證索引;及m)該憑證伺服器回應從該網路伺服器接收的該驗證請求,而判斷包括在該驗證請求的該交易資料是否與在步驟d)經該使用者收到且確認的該交易資料是否相符,並於判定相符時通知該網路伺服器該交易資料之驗證成功;n)該網路伺服器依據從該憑證伺服器接收驗證成功之通知,知會該認證伺服器成功驗證該交易資料;及o)該認證伺服器依據成功驗證該交易資料之通知,通知該網路伺服器成功認證該電子交易。
- 如請求項3所述的安全電子交易之網路認證方法,其中該用戶端具有多數硬體元件,各該硬體元件具有一唯一 識別碼,該認證伺服器儲存相關於該使用者的該唯一識別碼且用於認證該用戶端的硬體識別資料,該網路認證方法還包括介於步驟e)及步驟f)的下述步驟:p)該認證伺服器回應從該網路伺服器接收的該認證請求,而產生一單次訊息識別符唯一地對應至該認證請求,及通過該通訊網路發送該單次訊息識別符至該網路伺服器;q)該網路伺服器通過該通訊網路將該認證伺服器的該單次訊息識別符傳輸至該用戶端;r)該用戶端執行該認證程式以回應從該網路伺服器接收的該單次訊息識別符,以產生相關於該用戶端的硬體元件的識別碼的硬體掃描資料,且通過該通訊網路發送該單次訊息識別符及該硬體掃描資料至該認證伺服器;及s)該認證伺服器依據通過該通訊網路接收的該單次訊息識別符及該硬體掃描資料,判斷收到的該硬體掃描資料與已儲存的該硬體識別資料是否相符;其中,步驟f)是當步驟s)判斷是相符時執行。
- 如請求項1所述的安全電子交易之網路認證方法,還包括在步驟a)之前的下述步驟:I)該憑證伺服器回應自該使用者接收的一包括該使用者之該唯一識別碼的憑證請求,以指派該憑證至該使用者,及產生唯一地對應至該憑證的該憑證索引且在步驟b)被儲存於該用戶端。
- 如請求項7所述的安全電子交易之網路認證方法,其中,還使用連接該通訊網路的一認證伺服器,該網路認證方法還包括介於步驟a)及步驟b)的下述步驟:II)該認證伺服器接收用於該使用者的一認證註冊請求,該認證註冊請求具有該使用者的該唯一識別碼、該私鑰,及該憑證伺服器在步驟I)產生的該憑證索引;III)該認證伺服器通過該通訊網路發送該私鑰及收到的該憑證索引至該用戶端;及IV)該用戶端依據從該認證伺服器接收的該私鑰及該憑證索引,回應執行該認證程式,透過該使用者的輸入操作而產生該個人身份確認碼,且以該個人身份確認碼加密該私鑰以產生該參考私鑰。
- 如請求項8所述的安全電子交易之網路認證方法,其中,還使用該網路伺服器,該網路伺服器連接至該通訊網路,該網路認證方法還包括在步驟I)之前的下述步驟:V)成功登入後,該網路伺服器通過該通訊網路發送該憑證請求至該憑證伺服器。
- 如請求項9所述的安全電子交易之網路認證方法,還包括介於步驟a)及II)的下述步驟:VI)該憑證伺服器回應從該網路伺服器接收的該憑證請求,通過該通訊網路發送該私鑰及該憑證索引至該網路伺服器;及VII)該網路伺服器依據從該憑證伺服器接收的該私鑰及該憑證索引,通過該通訊網路發送該認證註冊請求 至該認證伺服器。
- 如請求項9所述的安全電子交易之網路認證方法,其中,該用戶端具有多數硬體元件,每一硬體元件具有唯一識別碼,該網路認證方法還包括介於步驟II)及III)的下述步驟:VIII)該認證伺服器回應接收的該認證註冊請求,而產生一認證碼,及通過該通訊網路發送該認證碼至該網路伺服器;IX)該網路伺服器依據從該認證伺服器接收的該認證碼,發送該認證碼至該用戶端;X)該用戶端回應從該網路伺服器接收的該認證碼,執行該認證程式以產生相關於該用戶端的硬體元件的識別碼的硬體掃描資料,且通過該通訊網路發送該單次訊息識別符及該硬體掃描資料至該認證伺服器;及XI)該認證伺服器依據通過該通訊網路接收的硬體掃描資料及認證碼,判斷收到的該認證碼與在步驟VIII)產生的該認證碼是否相符,若相符則加以儲存以用於驗證該用戶端之身分;其中,步驟III)是當該認證伺服器在步驟X)收到的該認證碼與該認證伺服器在步驟VIII)產生的該認證碼相符時執行。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/488,255 US9231925B1 (en) | 2014-09-16 | 2014-09-16 | Network authentication method for secure electronic transactions |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI522836B true TWI522836B (zh) | 2016-02-21 |
| TW201612787A TW201612787A (en) | 2016-04-01 |
Family
ID=52472254
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW104113548A TWI522836B (zh) | 2014-09-16 | 2015-04-28 | Network authentication method and system for secure electronic transaction |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US9231925B1 (zh) |
| EP (1) | EP2999189B1 (zh) |
| JP (1) | JP5981610B2 (zh) |
| KR (1) | KR101759193B1 (zh) |
| CN (1) | CN105427099B (zh) |
| ES (1) | ES2687191T3 (zh) |
| PL (1) | PL2999189T3 (zh) |
| SG (1) | SG10201506835PA (zh) |
| TW (1) | TWI522836B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI662501B (zh) * | 2016-11-29 | 2019-06-11 | 中國銀聯股份有限公司 | 差錯交易的標準化方法、裝置、電子設備、非暫態電腦可讀存儲介質及電腦程式產品 |
| TWI673991B (zh) * | 2017-11-20 | 2019-10-01 | 財團法人工業技術研究院 | 金鑰儲存裝置、金鑰儲存裝置之交易方法、交易系統及交易方法 |
| US10902233B2 (en) | 2016-12-08 | 2021-01-26 | Advanced New Technologies Co., Ltd. | Service processing using a digital object identifier |
| US11195167B2 (en) | 2016-06-20 | 2021-12-07 | Advanced New Technologies Co., Ltd. | Offline payment method and device |
| TWI813905B (zh) * | 2020-09-26 | 2023-09-01 | 臺灣網路認證股份有限公司 | 以線上快速認證之認證機制啟用數位憑證之系統及方法 |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BR112017017098A2 (pt) * | 2015-02-17 | 2018-04-03 | Visa International Service Association | aparelhos, métodos e sistemas de agente de chave de criptografia de nuvem |
| KR101904338B1 (ko) * | 2015-03-22 | 2018-10-05 | 애플 인크. | 모바일 디바이스에서의 사용자 인증 및 인간 의도 검증을 위한 방법 및 장치 |
| US10778435B1 (en) * | 2015-12-30 | 2020-09-15 | Jpmorgan Chase Bank, N.A. | Systems and methods for enhanced mobile device authentication |
| US10516653B2 (en) | 2016-06-29 | 2019-12-24 | Airwatch, Llc | Public key pinning for private networks |
| EP3291502B1 (en) * | 2016-09-01 | 2021-07-28 | Roche Diagnostics GmbH | Method for authenticating an instrument for processing a biological sample or reagent, and system comprising an instrument for processing a biological sample or reagent |
| CN106789060B (zh) * | 2016-11-18 | 2020-04-21 | 畅捷通信息技术股份有限公司 | 数据传输方法与装置、数据处理方法与装置、数据传输系统 |
| CN106779697A (zh) * | 2016-11-18 | 2017-05-31 | 合肥联宝信息技术有限公司 | 一种利用智能终端bios实现安全应答的方法和装置 |
| KR102453145B1 (ko) * | 2017-03-16 | 2022-10-14 | 삼성전자주식회사 | 전자장치 및 그를 이용한 트랜잭션 수행 방법 |
| US10587582B2 (en) * | 2017-05-15 | 2020-03-10 | Vmware, Inc | Certificate pinning by a tunnel endpoint |
| CN110135820A (zh) * | 2018-02-09 | 2019-08-16 | 库币科技有限公司 | 数字资产的交易方法 |
| TWI669672B (zh) * | 2018-02-09 | 2019-08-21 | 玉山商業銀行股份有限公司 | 電子交易方法及系統 |
| EP3531362A1 (en) * | 2018-02-22 | 2019-08-28 | Banco Bilbao Vizcaya Argentaria, S.A. | Method for validating a voucher |
| US10693968B2 (en) * | 2018-09-12 | 2020-06-23 | Pivotal Software, Inc. | Secure binding workflow |
| EP3888291A4 (en) * | 2018-11-28 | 2022-08-17 | Visa International Service Association | COLLUSION PREVENTION TECHNIQUES USING SIMULTANEOUS KEY RELEASE |
| US11334881B2 (en) * | 2019-01-28 | 2022-05-17 | Bank Of America Corporation | Security tool |
| CN111695897A (zh) * | 2019-03-14 | 2020-09-22 | 库币科技有限公司 | 数字资产交易的多重确认方法 |
| CN110335040B (zh) * | 2019-05-28 | 2024-01-23 | 平安科技(深圳)有限公司 | 资源转移方法、装置、电子设备及存储介质 |
| CN110971411B (zh) * | 2019-12-02 | 2022-07-12 | 南京壹证通信息科技有限公司 | 一种基于sotp技术对私钥乘加密的sm2同态签名方法 |
| CN111178882B (zh) * | 2019-12-13 | 2023-03-31 | 杜晓楠 | 一种数字资产安全托管系统和方法 |
| CN111259362B (zh) * | 2020-01-15 | 2023-07-18 | 北京中金国信科技有限公司 | 一种硬件数字证书载体的身份鉴别方法 |
| CN111612443B (zh) * | 2020-04-30 | 2024-04-16 | 沈阳数云科技有限公司 | 一种公积金业务办理方法、系统、设备及可读存储介质 |
| CN112039663B (zh) * | 2020-08-27 | 2023-08-04 | 深圳供电局有限公司 | 一种数据的传输方法及系统 |
| CN114157414A (zh) * | 2020-09-07 | 2022-03-08 | 仁东控股股份有限公司 | 一种关于数字货币的身份凭证生成方法、验证方法及系统 |
| CN112436938B (zh) * | 2020-12-04 | 2022-12-13 | 矩阵元技术(深圳)有限公司 | 数字签名的生成方法、装置和服务器 |
| US20220217136A1 (en) * | 2021-01-04 | 2022-07-07 | Bank Of America Corporation | Identity verification through multisystem cooperation |
| KR102648350B1 (ko) * | 2021-05-18 | 2024-03-15 | 주식회사 카카오 | 서명된 컨텐츠를 전달하는 방법 및 장치 |
| CN114760114B (zh) * | 2022-03-29 | 2024-03-12 | 微位(深圳)网络科技有限公司 | 身份认证方法、装置、设备及介质 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6170058B1 (en) * | 1997-12-23 | 2001-01-02 | Arcot Systems, Inc. | Method and apparatus for cryptographically camouflaged cryptographic key storage, certification and use |
| WO2001048648A1 (fr) * | 1999-12-28 | 2001-07-05 | Zetabits Inc. | Systeme de communication et poste de communication a cet effet |
| JP2001197054A (ja) * | 2000-01-06 | 2001-07-19 | Mitsubishi Electric Systemware Corp | 認証書管理装置及び認証書管理方法及びコンピュータ読み取り可能な記録媒体 |
| FR2825543B1 (fr) * | 2001-06-01 | 2003-09-26 | Radiotelephone Sfr | Procede et dispositif de certification d'une transaction |
| JP2003069560A (ja) * | 2001-08-23 | 2003-03-07 | Kyocera Communication Systems Co Ltd | 認証システム、情報端末、加入者識別子発行装置、公開鍵登録装置、認証方法、プログラムおよび記録媒体 |
| JP3897613B2 (ja) * | 2002-02-27 | 2007-03-28 | 株式会社日立製作所 | 公開鍵暗号方式における登録局サーバの運用方法、登録局サーバ、及びプログラム |
| JP4486567B2 (ja) * | 2005-08-29 | 2010-06-23 | 日本電信電話株式会社 | 認証システム、認証方法および認証プログラム |
| US8640203B2 (en) * | 2007-06-04 | 2014-01-28 | Rajesh G. Shakkarwar | Methods and systems for the authentication of a user |
| TW201121280A (en) * | 2009-12-10 | 2011-06-16 | Mao-Cong Lin | Network security verification method and device and handheld electronic device verification method. |
| US20120136796A1 (en) * | 2010-09-21 | 2012-05-31 | Ayman Hammad | Device Enrollment System and Method |
| JPWO2014108993A1 (ja) * | 2013-01-08 | 2017-01-19 | 三菱電機株式会社 | 認証処理装置、認証処理システム、認証処理方法および認証処理プログラム |
| CN103067401B (zh) * | 2013-01-10 | 2015-07-01 | 天地融科技股份有限公司 | 密钥保护方法和系统 |
| WO2015070160A1 (en) * | 2013-11-08 | 2015-05-14 | MustBin Inc. | Bin enabled data object encryption and storage apparatuses, methods and systems |
-
2014
- 2014-09-16 US US14/488,255 patent/US9231925B1/en active Active
-
2015
- 2015-02-17 EP EP15155475.5A patent/EP2999189B1/en active Active
- 2015-02-17 ES ES15155475.5T patent/ES2687191T3/es active Active
- 2015-02-17 PL PL15155475T patent/PL2999189T3/pl unknown
- 2015-04-28 TW TW104113548A patent/TWI522836B/zh active
- 2015-05-26 CN CN201510275468.6A patent/CN105427099B/zh active Active
- 2015-06-05 JP JP2015114857A patent/JP5981610B2/ja active Active
- 2015-06-30 KR KR1020150092941A patent/KR101759193B1/ko active IP Right Grant
- 2015-08-28 SG SG10201506835PA patent/SG10201506835PA/en unknown
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11195167B2 (en) | 2016-06-20 | 2021-12-07 | Advanced New Technologies Co., Ltd. | Offline payment method and device |
| US11250412B2 (en) | 2016-06-20 | 2022-02-15 | Advanced New Technologies Co., Ltd. | Offline payment method and device |
| TWI662501B (zh) * | 2016-11-29 | 2019-06-11 | 中國銀聯股份有限公司 | 差錯交易的標準化方法、裝置、電子設備、非暫態電腦可讀存儲介質及電腦程式產品 |
| US10902233B2 (en) | 2016-12-08 | 2021-01-26 | Advanced New Technologies Co., Ltd. | Service processing using a digital object identifier |
| US10977465B2 (en) | 2016-12-08 | 2021-04-13 | Advanced New Technologies Co., Ltd. | Service processing using a digital object identifier |
| US10977464B2 (en) | 2016-12-08 | 2021-04-13 | Advanced New Technologies Co., Ltd. | Service processing using a digital object identifier |
| TWI673991B (zh) * | 2017-11-20 | 2019-10-01 | 財團法人工業技術研究院 | 金鑰儲存裝置、金鑰儲存裝置之交易方法、交易系統及交易方法 |
| TWI813905B (zh) * | 2020-09-26 | 2023-09-01 | 臺灣網路認證股份有限公司 | 以線上快速認證之認證機制啟用數位憑證之系統及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9231925B1 (en) | 2016-01-05 |
| KR20160032665A (ko) | 2016-03-24 |
| ES2687191T3 (es) | 2018-10-24 |
| PL2999189T3 (pl) | 2019-01-31 |
| TW201612787A (en) | 2016-04-01 |
| CN105427099B (zh) | 2019-05-03 |
| CN105427099A (zh) | 2016-03-23 |
| EP2999189B1 (en) | 2018-08-22 |
| JP5981610B2 (ja) | 2016-08-31 |
| KR101759193B1 (ko) | 2017-07-18 |
| SG10201506835PA (en) | 2016-04-28 |
| EP2999189A1 (en) | 2016-03-23 |
| JP2016063533A (ja) | 2016-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI522836B (zh) | Network authentication method and system for secure electronic transaction | |
| US9838205B2 (en) | Network authentication method for secure electronic transactions | |
| TWI512524B (zh) | 身份驗證系統及方法 | |
| US10848304B2 (en) | Public-private key pair protected password manager | |
| US8112787B2 (en) | System and method for securing a credential via user and server verification | |
| US9391982B1 (en) | Network authentication of multiple profile accesses from a single remote device | |
| KR20170043520A (ko) | 비대칭 암호화를 이용하여 otp를 구현하기 위한 시스템 및 방법 | |
| US9124571B1 (en) | Network authentication method for secure user identity verification | |
| EP3662430B1 (en) | System and method for authenticating a transaction | |
| WO2018021708A1 (ko) | 공개키 기반의 서비스 인증 방법 및 시스템 | |
| KR101001400B1 (ko) | 온라인 상호 인증 방법 및 그 시스템 | |
| WO2010128451A2 (en) | Methods of robust multi-factor authentication and authorization and systems thereof | |
| KR101388930B1 (ko) | 분리 서명 기반의 사용자 인증 장치 및 방법 | |
| KR101856530B1 (ko) | 사용자 인지 기반 암호화 프로토콜을 제공하는 암호화 시스템 및 이를 이용하는 온라인 결제 처리 방법, 보안 장치 및 거래 승인 서버 | |
| JP6059788B2 (ja) | カード装置を用いたネットワーク認証方法 | |
| EP2916509B1 (en) | Network authentication method for secure user identity verification | |
| KR101868564B1 (ko) | 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법 | |
| Kumari et al. | Hacking resistance protocol for securing passwords using personal device | |
| KR101737925B1 (ko) | 도전-응답 기반의 사용자 인증 방법 및 시스템 | |
| KR20170017495A (ko) | 인증 처리 장치 및 이를 이용한 인증 처리 시스템 |