TWM580720U - 用於幫助網路服務使用者首次設定密碼之系統 - Google Patents
用於幫助網路服務使用者首次設定密碼之系統 Download PDFInfo
- Publication number
- TWM580720U TWM580720U TW107217644U TW107217644U TWM580720U TW M580720 U TWM580720 U TW M580720U TW 107217644 U TW107217644 U TW 107217644U TW 107217644 U TW107217644 U TW 107217644U TW M580720 U TWM580720 U TW M580720U
- Authority
- TW
- Taiwan
- Prior art keywords
- password
- user
- app
- network service
- key
- Prior art date
Links
Abstract
本創作揭示一種用於幫助使用者首次設定密碼之系統。該系統包含一第一伺服器,設有一密碼設定模組,其包括一儲存子模組;一第二伺服器,與該第一伺服器電性連接,並設有一網路服務管理模組;一軟體產品(App),與該第一伺服器通訊連接,該App係安裝於該使用者所持有的一行動裝置,且該App係經該密碼設定模組認證;以及一認證裝置,與該第二伺服器通訊連接。
Description
本創作係關於一種用於幫助使用者首次設定密碼之系統,特別係關於一種無需紙本密碼函的系統。
在金融業中,現行密碼函係由所屬業務應用系統(例如,信用卡預借現金、網銀、語音等)相關功能產出密碼檔後,由特定安管人員於指定環境下、以人工操作指定機器設備與交易功能,完成密碼函列印作業;之後,經由專人打包、運送、郵遞到各指定分行;最後,由各分行指定專人清點收妥後入庫、儲藏、保管;於使用者到分行臨櫃辦理某系統使用申請時,再經指定專人於主管審核後,自保險庫取得該紙本密碼函,交付使用者簽收。
因此,對於金融業者而言,仍需要一種系統或方法,以取代現行通過人工操作列印密碼函的繁瑣程序,節省其間配套的相關人工作業、環境設施、列印機器、紙張、郵遞、保管儲存、資安控管及風險稽查等等作業成本負擔。此外,若能消除紙本密碼函之使用,亦能達到節能減碳的效果,有助於地球之環境保護。
有鑑於此,本創作提供用於幫助網路服務使用者首次設定密碼之系統及其方法,其無需紙本密碼函即可完成密碼之首次設定,並能兼顧密碼設定之安全性。
本創作揭示一種用於幫助網路服務使用者首次設定密碼之系統,包含: 一第一伺服器,設有一密碼設定模組,其包括一儲存子模組; 一第二伺服器,與該第一伺服器電性連接,並設有一網路服務管理模組; 一軟體產品(App),與該第一伺服器通訊連接,該App係安裝於該使用者所持有的一行動裝置,且該App係經該密碼設定模組認證;以及 一認證裝置,與該第二伺服器通訊連接; 其中: 該密碼設定模組於一預先註冊程序中:接收一第一認證資料,其係由該行動裝置的識別資訊以及該使用者的個人資訊所組成,並將該第一認證資料儲存於該儲存子模組;以及,接收一第二認證資料,其為一自選文摘,並將該第二認證資料儲存於該儲存子模組; 該認證裝置顯示一第一使用者介面,要求輸入個人資訊,並於確認輸入的個人資訊無誤後,向該網路服務管理模組發送首次設定密碼之請求; 該網路服務管理模組將該首次設定密碼之請求傳送予該密碼設定模組; 該密碼設定模組:根據一組合方法組合該第一認證資料,以產生一第一金鑰,其中,該組合方法係隨機挑選自複數個組合方法,並具有一第一編號;將該第一編號儲存於該儲存子模組;基於該第一金鑰對一原碼內容進行加密,產生一二維條碼,其中,該原碼內容包括該自選文摘;將該二維條碼傳送予該認證裝置; 該認證裝置於該第一使用者介面顯示該二維條碼; 該App於啟動後自動觸發一事件,要求輸入個人資訊,並將輸入之個人資訊傳送予該密碼設定模組; 該密碼設定模組於確認該App合法性後:根據儲存在儲存子模組中的第一編號,使用對應的組合方法組合該第一認證資料,以產生一第二金鑰;自複數個加密方法中隨機挑選一加密方法,該加密方法具有一第二編號;以及,向該App傳送該第一編號,及基於該第二金鑰加密後的確認資料,該確認資料包括一加密資訊,其中,該加密資訊包括該第二編號,及一開始取樣位置; 該App自該行動裝置取得該行動裝置的識別資訊以及該使用者的個人資訊,並根據該第一編號所對應的組合方法,組合所述識別資訊及個人資訊,以產生一第三金鑰; 經由該行動裝置掃描讀取顯示於該認證裝置上的該二維條碼後,該App使用該第三金鑰解譯該二維條碼得到該原碼內容,並根據該第二編號所對應的加密方法及該開始取樣位置,對該自選文摘進行加密,得到一加密值;以及,基於該第三金鑰對該加密值進行加密後傳送予該密碼設定模組; 該密碼設定模組於確認該加密值的正確性後,向該網路服務管理模組發送取得初始密碼之請求,並取得一初始密碼;以及,產生一初始密碼圖像,並傳送予該App; 該App顯示該初始密碼圖像,以供該使用者藉由認證裝置首次設定密碼時使用;以及 該認證裝置於該第一使用者介面顯示欄位,供該使用者輸入該初始密碼,以完成首次密碼設定。
在本創作之部分具體實施例中,該密碼設定模組提供一第二使用者介面,供該網路服務提供方的作業人員輸入該第一認證資料及該第二認證資料。
在本創作之部分具體實施例中,該App要求一啟動密碼。
本創作之其他目的及優點一部分記載於下述說明中,或可透過本創作的實施例而理解。應了解前文之創作內容及下文之實施方式僅為例示性及闡釋性之說明,而非如申請專利範圍般限定本創作。
需注意的是,除非另有指明,所有在此處使用的技術性和科學性術語具有如同本創作所屬技術領域中之通常技術者一般所瞭解的意義。再者,本說明書所使用的「一」乙詞,如未特別指明,係指至少一個(一個或一個以上)之數量,合先說明。
本創作提供一種一種用於幫助網路服務使用者首次設定密碼之系統。所述系統包含:一第一伺服器、一第二伺服器、一軟體產品(App)以及一認證裝置。
本創作中所述之「網路服務」包括任何透過或藉由網際網路、電話或電話語音提供之服務。
該第一伺服器設有一密碼設定模組,其包括一儲存子模組。
該第二伺服器係與該第一伺服器電性連接,並設有一網路服務管理模組。
根據本創作之較佳具體實施例,該第一及第二伺服器係設於該網路服務提供方。
該軟體產品(App)係與該第一伺服器通訊連接,並安裝於該網路服務使用者所持有的一行動裝置,且該App係經該密碼設定模組認證。根據本創作,該行動裝置包括但不限於一平板電腦或一智慧型手機,且較佳為一智慧型手機。該行動裝置較佳不包括一筆記型電腦。所述通訊連接較佳為藉由一網際網路通訊連接。根據本創作,該軟體產品較佳係為一行動軟體產品(mobile application)。根據本創作,該行動裝置可包含一儲存單元,儲存有該軟體產品之程式碼,以及一處理單元,用於執行該軟體產品之程式碼。
該認證裝置係與該第二伺服器通訊連接,例如,藉由一網際網路通訊連接。在本創作之部分具體實施例中,該認證裝置為一筆記型電腦或一桌上型電腦。
在一預先註冊程序中,該密碼設定模組接收一第一認證資料及一第二認證資料,並將該第一及第二認證資料儲存於該儲存子模組。該第一認證資料係由該行動裝置的識別資訊以及該網路服務使用者的個人資訊所組成,該第二認證資料則為一自選文摘。在該預先註冊程序中,該密碼設定模組可提供一第二使用者介面,以供該網路服務提供方的作業人員輸入該第一認證資料及該第二認證資料。前述識別資訊包含IMEI、UDID、鑰匙圈(Keychain)、MAC位址或其組合。該自選文摘可由該網路服務使用者自行提供、或由該作業人員自該儲存子模組的資料庫中挑選、或由該密碼設定模組隨機自該儲存子模組的資料庫中挑選。
該認證裝置顯示一第一使用者介面,要求輸入個人資訊,並於確認輸入的個人資訊無誤後,向該網路服務管理模組發送首次設定密碼之請求。
該網路服務管理模組將該首次設定密碼之請求傳送予該密碼設定模組。接著,該密碼設定模組執行以下步驟:(1) 根據一組合方法組合該第一認證資料,以產生一第一金鑰,其中,該組合方法係隨機挑選自複數個組合方法,並具有一第一編號;(2) 將該第一編號儲存於該儲存子模組;(3) 基於該第一金鑰對一原碼內容進行加密,產生一二維條碼,其中,該原碼內容包括該自選文摘;以及(4) 將該二維條碼傳送予該認證裝置。根據本創作,所述組合方法包括但不限於:對該第一認證資料的單一欄位、或多個欄位的完整資料進行組合、或對該第一認證資料的多個欄位之部份資料進行組合、或對該第一認證資料的同一欄位資料進行多次組合。
然後,該認證裝置會於該第一使用者介面顯示該二維條碼。根據本創作的較佳具體實施例,該二維條碼為一QR碼。
該App於啟動後會自動觸發一事件,要求輸入個人資訊,並將輸入之個人資訊傳送予該密碼設定模組。根據本創作的較佳具體實施例,該App要求一啟動密碼,驗證啟動密碼為正確後才會啟動該App。所述啟動密碼包括但不限於:圖形密碼、按鍵式密碼、指紋辨識或臉部辨識。
該密碼設定模組於確認該App合法性後,執行以下步驟:(1) 根據儲存在儲存子模組中的第一編號,使用對應的組合方法組合該第一認證資料,以產生一第二金鑰;(2) 自複數個加密方法中隨機挑選一加密方法,該加密方法具有一第二編號;以及,(3) 向該App傳送該第一編號,及基於該第二金鑰加密後的確認資料,該確認資料包括一加密資訊,其中,該加密資訊包括該第二編號,及一開始取樣位置。所述開始取樣位置係用於指示加密方法從該自選文摘的哪個位置的文字開始取樣進行加密。
接著,該App自該行動裝置取得該行動裝置的識別資訊以及該網路服務使用者的個人資訊,並根據該第一編號所對應的組合方法,組合所述識別資訊及個人資訊,以產生一第三金鑰。該網路服務使用者的個人資訊可由該網路服務使用者自行登錄並儲存於該行動裝置。
經由該行動裝置掃描讀取顯示於該認證裝置的該顯示元件上的該二維條碼後,該App使用該第三金鑰解譯該二維條碼得到該原碼內容,並根據該第二編號所對應的加密方法及該開始取樣位置,對該自選文摘進行加密,得到一加密值;然後,該App基於該第三金鑰對該加密值進行加密後傳送予該密碼設定模組。
該密碼設定模組則於確認該加密值的正確性後,向該網路服務管理模組發送取得初始密碼之請求,並取得一初始密碼;以及,產生一初始密碼圖像,並傳送予該App。所述初始密碼較佳為6至8碼的隨機數字,但不以此為限。在本創作之一具體實施例中,採用視覺密碼學理論方法對該初始密碼加密產出所述初始密碼圖像,使其明碼值需要人工以眼睛目視方式才能正確讀取。
接著,該App會顯示該初始密碼圖像,以供該網路服務使用者藉由認證裝置首次設定密碼時使用。
最後,該認證裝置藉由該顯示元件於該第一使用者介面顯示欄位,供該網路服務使用者藉由該輸入元件輸入該初始密碼,以完成首次密碼設定。
現配合
圖 1說明本創作之幫助網路服務使用者首次設定密碼之系統的特定較佳具體實施例。
參見
圖 1,所示為本創作之一具體實施例之幫助網路服務使用者首次設定密碼之系統。在本具體實施例中,幫助網路服務使用者首次設定密碼之系統
1包含一第一伺服器
10、一第二伺服器
20、一軟體產品(App)
30以及一認證裝置
40。該軟體產品
30可為一行動軟體產品,例如,金融業者(網路服務提供方)發行之App。
該第一伺服器
10設有一密碼設定模組
12,其包括一儲存子模組
122。 該第二伺服器
20係與該第一伺服器
10電性連接,並設有一網路服務管理模組
22。該第一及第二伺服器
10及
20可設於該網路服務提供方。
該App
30係與該第一伺服器
10通訊連接,並安裝於該網路服務使用者所持有的一行動裝置
70,且該App
30係經該密碼設定模組
12認證。該行動裝置
70可為一平板電腦或一智慧型手機,較佳為一智慧型手機。
該認證裝置
40藉由一網際網路與該第二伺服器
20通訊連接。在部分實例中,該認證裝置
40為一筆記型電腦或一桌上型電腦。
在一預先註冊程序中,該密碼設定模組
12接收一第一認證資料及一第二認證資料,並將該第一及第二認證資料儲存於該儲存子模組
122。該第一認證資料係由該行動裝置
70的識別資訊以及該網路服務使用者的個人資訊所組成,該第二認證資料則為一自選文摘。該文摘之位元數較佳係介於512位元至1024位元之間。
該認證裝置
40顯示一第一使用者介面,要求輸入個人資訊,並於確認輸入的個人資訊無誤後,向該網路服務管理模組
22發送首次設定密碼之請求。該網路服務管理模組
22將該首次設定密碼之請求傳送予該密碼設定模組
12。接著,該密碼設定模組
12執行以下步驟:(1) 根據一組合方法組合該第一認證資料,以產生一第一金鑰,其中,該組合方法係隨機挑選自複數個組合方法,並具有一第一編號;(2) 將該第一編號儲存於該儲存子模組
122;(3) 基於該第一金鑰對一原碼內容進行加密,產生一二維條碼,其中,該原碼內容包括該自選文摘;以及(4) 將該二維條碼傳送予該認證裝置
40。
然後,該認證裝置
40會透過該第一使用者介面顯示該二維條碼,其較佳為一QR碼。
另外,該App
30於啟動後會自動觸發一事件,要求輸入個人資訊,並將輸入之個人資訊傳送予該密碼設定模組
22。該密碼設定模組
22於確認該App
30的合法性後,執行以下步驟:(1) 根據儲存在儲存子模組
122中的第一編號,使用對應的組合方法組合該第一認證資料,以產生一第二金鑰;(2) 自複數個加密方法中隨機挑選一加密方法,該加密方法具有一第二編號;以及,(3) 向該App
30傳送該第一編號,及基於該第二金鑰加密後的確認資料,該確認資料包括一加密資訊,其中,該加密資訊包括該第二編號,及一開始取樣位置,其係用於指示加密方法從該自選文摘的哪個位置的文字開始取樣進行加密。
接著,該App
30自該行動裝置取得該行動裝置
70的識別資訊以及該網路服務使用者的個人資訊,並根據該第一編號所對應的組合方法,組合所述識別資訊及個人資訊,以產生一第三金鑰。此時,該網路服務使用者可使用該行動裝置
70掃描讀取顯示於該認證裝置
40上的該二維條碼,之後,該App
30藉由該第三金鑰解譯該二維條碼得到該原碼內容,並根據該第二編號所對應的加密方法及該開始取樣位置,對該自選文摘進行加密,得到一加密值。然後,該App
30基於該第三金鑰對該加密值進行加密後傳送予該密碼設定模組
12。
該密碼設定模組
12於確認該加密值的正確性後,向該網路服務管理模組
22發送取得初始密碼之請求,取得一初始密碼,並產生一初始密碼圖像傳送予該App
30。接著,該App
30顯示該初始密碼圖像,以供該網路服務使用者藉由認證裝置
40首次設定密碼時使用。
最後,該認證裝置
40於該第一使用者介面顯示欄位,供該網路服務使用者輸入該初始密碼,以完成首次密碼設定。
實例
1
:前置作業
金融業者提供一管理伺服器(第一伺服器),其安裝有密碼設定模組,供行員為申請辦理新網路服務的使用者,註冊登錄所約定的認證資料,該註冊資料儲存於密碼設定模組的資料庫內。其相關交易功能及註冊內容如下:
1. 綁定使用者行動裝置設備認證資料(第一認證資料): a. 登錄IMEI/UDID/Keychain/MAC/身份證號/生日/手機電話號碼/等認證資料。 此處可由辦理新網路服務的使用者先到金融業者之分行櫃檯或預先在官方網站,自所屬手機查得IMEI/UDID/Keychain/MAC等資料後填入申請表單,行員配合申請單填寫內容將資料登錄系統。前述認證資料可與使用者的身份證號綁定。 b. 第一認證資料之使用: (1) 於綁定第一認證資料時,密碼設定模組當下自動隨機亂數指定其組合方法之初始值,並將該組合方法儲存於資料庫(3個Bytes)。 (2) 該組合方法係用於將IMEI/UDID/Keychain/MAC/身份證號/生日/等欄位資料做隨機組合。 (3) 在資料庫儲存的「組合方法」(3個Bytes),實質是個數字,資料庫不 儲存經組合後的資料原始內容。此處資料庫儲存的「組合方法」值,僅為一個初始值,密碼設定模組於每次受理請求須產出二維條碼(在本實例中為QR碼)之前,應重新自動隨機亂數產出「組合方法」值,以新的「組合方法」值更新資料庫該欄值。 (4) 經組合後的資料原始內容,後續以「Current_key」(此處為第一金鑰)稱之,其長度應至少128個Bytes。此「Current_key」即為後續欲對敏感性資料以進階加密標準(AES)加密時的金鑰。欲知Current_key需先知它的「組合方法」以及其相對應程式碼,當原註冊登錄綁定的第一認證資料外洩時,亦未直接暴露該使用者的Current_key內容。
2. 綁定使用者識別資料(第二認證資料): 行員為申辦新網路服務的使用者登錄自選文摘1則(512 Bytes≦ 文摘 ≦1024 Bytes)。第二認證資料亦可與使用者的身份證號綁定。該自選文摘可由使用者提供、或由行員、或由系統隨機自資料庫為使用者挑選。 a. 系統產出QR碼的內容:系統依據資料庫儲存該使用者的「組合方法」,以使用者原始綁定之行動裝置認證資料產出「Current_key」,再使用相對應加解密程式碼以「Current_key」AES(網頁識別碼 + 自選文摘 + SHA-256 (「Current_key」))加密產出QR 碼亂碼化後之內容。欲知QR碼原碼內容,唯有使用正確的交易裝置掃描讀取QR碼、以正確的「組合方法」產出正確的「Current_key」,以相對應加解密程式碼才能解譯出QR碼的原碼內容。 (1) 解譯後QR碼原碼內容 =網頁識別碼 +自選文摘 + SHA-256 (Current_key)。 (2) 解譯前QR碼內容 =以「Current_key」AES(網頁識別碼 +自選文摘 + SHA-256(Current_key))。 (3) QR碼原碼內容需要經由「組合方法」之相對應加解密程式碼篩選 處理產出「Current_key」內容之後,始能據之解譯出來。 b. 系統產出QR碼的時機:網路服務使用者在個人電腦操作特定交易,於上行電文經由網路服務管理模組對密碼設定模組發動交易當下密碼設定模組產出包含「QR碼圖像」的下行電文回覆給網路服務管理模組;密碼設定模組另須將該上行電文內容等資訊儲存於資料庫: (1) 上行電文內容包括:身份證號、生日、動態驗證碼、交易日期、交易時間、交易序號等資料等資料。 (2) 以身份證號、網頁識別碼等值作為金鑰,將該上行電文內容儲存於密碼設定模組的資料庫(儲存子模組)。網頁識別碼為密碼設定模組、「初始密碼應用程式」(軟體產品(App))、網路服務管理模組等多方系統針對同一請求交易的共同識別序號,網頁識別碼值由初始密碼函系統(密碼設定模組)產生。網頁識別碼值生命週期,於網路服務系統(網路服務管理模組)向初始密碼函系統發動「QR碼圖像」請求時產生、於初始密碼應用程式取得初始密碼值圖像、網路服務使用者操作個人電腦(認證裝置)特定功能完成網路服務新密碼設定後結束。 (3) 將上行電文內容儲存於資料庫的目的: (i) 供後續交易裝置之初始密碼應用程式於讀取「QR碼圖像」之後,對初始密碼函系統發動取得初始密碼請求交易時,初始密碼函系統將之做為對交易勾稽核驗之用; (ii) 當資料庫無該網路服務帳號資料時,拒絕該交易需求,要求網路服務使用者操作個人電腦,登入官方網站執行特定查詢功能,於個人電腦介面顯示「QR碼圖像」後,再操作執行App;及 (iii) 當資料庫有該網路服務帳號資料,但已逾時(例如,5分鐘以上),則可拒絕該App之交易請求。
使用者於前述作業註冊資料完成後,即可操作交易裝置,從網路環境(Internet)下載/安裝「初始密碼應用程式」(軟體產品(App)),於完成安裝作業後,始告前置作業完成:
1. App須強制提供圖形密碼、按鍵式密碼、指紋辨識、或臉部辨識等選項,供使用者設定App的啟動密碼。
2. 使用者於每次執行該App時,App須要求使用者輸入使用者身份證號、生日,並即時發送上行電文給密碼設定模組完成初步鑑別使用者身份。 a. 上行電文內容需包含身份證號、生日、及App的版號、日期等資訊。 b. 伺服器端的密碼設定模組鑑別使用者身份及其行動裝置設備無誤之後,須儲存該App的版號、日期、等上行電文資訊,供未來在交易作業階段鑑別App合法性之用。
3. 初始密碼應用程式於取得初始密碼函系統下行電文回覆鑑別無誤之後,即直接顯示讀取QR碼的準備畫面於交易裝置(使用者之個人裝置)介面,等待使用者人工操作交易裝置,對準顯示在個人電腦上的「QR碼圖像」,掃描讀取QR碼內容。
實例
2
:交易作業
1. 使用者以個人電腦(認證裝置)進入網路服務提供方的網站、操作初始密碼查詢交易,登錄身份證號、生日、動態驗證碼後發動上行電文,經由網路服務系統主機(第二伺服器)傳遞到初始密碼函系統主機(第一伺服器),初始密碼函系統(密碼設定模組)除了將該上行電文內容儲存於資料庫(儲存子模組)外,並產出、回覆「QR碼圖像」等下行電文資料,經網路服務系統(網路服務管理模組)將「QR碼圖像」等下行電文資料回覆給個人電腦;個人電腦將「QR碼」顯示於個人電腦介面。 a. 較佳地,禁止使用者同時在多網頁環境下同時操作初始密碼查詢交易。 b. 初始密碼函系統以身份證號、網頁識別碼等值作為金鑰將上行電文內容儲存於資料庫。 (1) 網頁識別碼為初始密碼函系統、初始密碼應用程式(App)、網路服務系統等多方系統針對同一請求交易的共同識別序號,網頁識別碼值由初始密碼函系統產生。網頁識別碼值生命週期,於網路服務系統向初始密碼函系統發動「QR碼圖像」請求時產生、於初始密碼應用程式(App)取得初始密碼值圖像、及完成網路服務新密碼設定後結束。 c. 初始密碼函系統將上行電文內容儲存於資料庫之目的: (1) 供後續使用者啟動交易裝置之App,於登錄身份資料後,供初始密碼函系統確認使用者是否已先以個人電腦進入官方網站,完成操作初始密碼查詢交易。 (2) 供後續交易裝置之初始密碼應用程式於掃描讀取「QR碼圖像」之後、對初始密碼函系統發動取得初始密碼請求交易時,初始密碼函系統將之做為對交易勾稽核驗之用。 (a) 當資料庫無該網路服務上行電文資料時,拒絕App的交易需求,要求使用者先操作個人電腦,登入官方網站執行特定查詢功能,於個人電腦介面顯示「QR碼圖像」後,再操作執行App。 (b) 當資料庫有該網路服務上行電文資料、但已逾時(例如,5 分鐘以上),同前述說明拒絕App之交易需求。 d. 初始密碼函系統於當下須先自動隨機亂數產出「組合方法」值並更新資料庫該欄值,之後,以該「組合方法」值執行其相對應程式碼(將原登錄綁定行動裝置認證資料做組合),產出組合後的資料原始內容即為「Current_key」(第一金鑰)。前述「組合方法」值於交易當下隨機亂數產出,此隨機亂數值較佳係異於前三次記錄。 e. 初始密碼函系統於當下再以該「Current_key」、以及使用者所綁定的識別資料(自選文摘),產出QR碼內容、「QR碼圖像」、以及下行電文等資料(含「QR碼圖像」)。 (1) QR碼原碼內容 = 網頁識別碼 +自選文摘 + SHA-256(Current_key)。 (2) QR碼亂碼內容 = 「QR碼圖像」內容 = 以「Current_key」AES(網頁識別碼 +自選文摘 + SHA-256(Current_key)) ,其中,SHA-256為一雜湊函式。 (3) 欲解譯QR碼原碼內容,需先經「組合方法」之相對應程式碼產出「Current_key」內容,之後,始能以「Current_key」解譯出QR碼原碼內容。 f. 「QR碼圖像」等下行電文資料,經網路服務系統回覆給個人電腦之後;個人電腦即將「QR碼圖像」顯示於個人電腦介面,供後續使用者人工手持交易裝置(行動裝置)掃描讀取QR碼內容。 g. 網路服務系統應檢核上行電文內容,若不符合條件,應拒絕該交易請求: (1) 確認該使用者已臨櫃辦理網路服務系統使用申請,且初始密碼尚未被變更完成。 (2) 確認該網路服務使用者已經綁定行動裝置設備認證資料及使用者識別資料。 (3) 使用者於個人電腦介面操作初始密碼查詢交易,網路服務系統於鑑別使用者身份(身份證號、生日)不符合時、使用者密碼錯誤記錄已達4次者,可同步透過簡訊或電子郵件等工具通報使用者。於累積錯誤次數超過4次時,系統應予以拒絕交易,並請使用者聯繫客服人員審核使用者身份之後重設累積錯誤次數。
2. 使用者在交易裝置介面登入「啟動密碼」後啟動如實例1之App,App要求使用者輸入身份鑑別資訊: a. App於個人裝置介面顯示訊息,要求輸入使用者身份證號及生日。 b. 上行電文關鍵內容包括:身份證號、生日以及安裝該App之版號與日期等資訊。 c. 上行電文訊息經防火牆(Web AP F/W)解譯SSL加密內容後傳遞給密碼設定模組主機。 d. 密碼設定模組依據上行電文訊息審核該使用者所安裝App的合法性、以及確認使用者是否已先以個人電腦進入官方網站,完成操作初始密碼查詢交易。 (1) 以身份證號、網頁識別碼等值作為金鑰查詢資料庫,當資料庫無該帳號資料時,拒絕App的交易需求,要求使用者先操作個人電腦,登入官方網站執行特定查詢功能,於個人電腦介面顯示「QR碼圖像」後,再操作執行App。 (2) 當資料庫有該帳號資料、但已逾時(例如,5分鐘以上),同前述說明拒絕App之交易需求。 (3) 於鑑別使用者身份(身份證號、生日)不符合時,密碼設定模組須同步透過簡訊、電子郵件等通報網路服務使用者。於累積錯誤次數超過4次時,系統應拒絕交易,並請使用者聯繫客服人員審核使用者身份之後重設累積錯誤次數。 e. 密碼設定模組審核上行電文訊息無誤後,產出下行電文回覆App: (1) 系統依據資料庫儲存該使用者的「組合方法」,以使用者原始綁定之行動裝置認證資料產出「Current_key」(第二金鑰)。 (2) 下行電文關鍵內容 = 網頁識別碼 + 組合方法 + 以「Current_key」AES(加密方法 + SHA-256(「Current_key」(第二金鑰))) + App合法性鑑別結果,其中,SHA-256為一雜湊函式。 (a) 「加密方法」欄共計10個Bytes,前3個Bytes放置產出「Current_key」的「組合方法」、第4~6個Bytes放置當次加密方法項目、末4個Bytes放置當次加密時「自選文摘」的開始取樣位置。 (b) 上述「加密方法」值及「開始取樣位置」值均於交易當下隨機亂數產出,此隨機亂數值較佳係異於前三次記錄。 f. 將前述上行電文及下行電文內容儲存於密碼設定模組的資料庫,供後續交易鑑別勾稽使用者身份之用。
3. App於收到密碼設定模組的下行電文後: a. 當下行電文內容之「App合法性鑑別結果」值是成功時,依據下行電文之「組合方法」值(下行電文之「加密方法」欄的前3個Bytes值),自使用者的行動裝置取得該裝置資料(包含IMEI/UDID/ Keychain/MAC等資訊),以及該使用者的個人資訊(身份證號/生日等資訊,可由該使用者自行登錄並儲存於該行動裝置),以產出「Current_key」(第三金鑰)(亦即,該App內建有複數個組合方法,可依據所接獲的編號來確定使用的組合方法),一來對下行電文之「加密方法」欄做解密,取得當次「加密方法」明碼值;二來鑑別下行電文之SHA-256 (「Current_key」)欄值的一致性(鑑別當下App所連結之密碼設定模組主機的合法性)。 b. App於交易裝置介面顯示可掃描讀取QR碼的環境,指示網路服務使用者持交易裝置對個人電腦的「QR碼圖像」掃描讀取其內容。 c. App掃描讀取「QR碼圖像」,並解譯其原始內容: (1) 使用上述「Current_key」(第三金鑰)解譯「QR 碼圖像」之原始內容。 (a) QR碼原碼內容=網頁識別碼 + 自選文摘 + SHA-256 (「Current_key」)。 (b) QR碼亂碼內容=「QR碼圖像」內容 = 以「Current_key」AES(網頁識別碼 +自選文摘 + SHA-256(Current_key)) (2) 解譯後再以交易裝置本機產出的Current_key驗證該QR碼內容之 SHA-256(「Current_key」)值的一致性(鑑別當下該「QR碼圖像」的合法性)。 d. 再次產出上行電文,對初始密碼函系統發動請求取得使用者初始密碼值: (1) 上行電文關鍵內容 = 網頁識別碼 + Mobile值 + Verify值 + 前述各步驟上下行電文的部份資料。 (a) Mobile值 = SHA-256(從交易裝置本機產出的「Current_key」 (b) Verify值 = 以「Current_key」AES{(依加密方法對「解譯後的QR碼內容」內容做加密) + SHA-256(「解譯後的QR碼內容)} 。此處的「解譯後的QR碼內容」係指經解譯後的「自選文摘」原始內容。App依據前述下行電文取得的「加密方法」值,以所指定「自選文摘」的「開始取樣位置」值做開始取樣、以所指定的「加密方法」編號值執行對應的加密用程式碼,經加密後產出x值,其長度應至少128個Bytes。之後,再以「Current_key」(第三金鑰)AES加密保護該x值以及相關雜湊函數值。 (2) App將本次上行電文經SSL加密後,傳送給初始密碼函系統主機。
4. 密碼設定模組於收到App的上行電文(請求取得初始密碼)後: a. 依據該使用者本次交易資訊,檢核App的本次上行電文內容,鑑別該行動裝置設備內容(IMEI/UDID/Keychain/MAC)、該使用者的個人資訊(身份證號/生日)等資料的合法性、以及所安裝App的正確性,從而達到鑑別使用者身份的目的。 b. 於鑑別使用者身份不符合時,密碼設定模組須同步透過簡訊、電子郵件等通報網路服務使用者。於累積錯誤次數超過4次時,系統應拒絕交易,並請使用者聯繫客服人員審核使用者身份之後重設累積錯誤次數。 c. 於鑑別使用者身份符合後,密碼設定模組產出上行電文內容,向網路服務系統主機(第二伺服器)發動請求取得當次初始密碼值。 (1) 上行電文內容包括:網頁識別碼、身份證號、生日、交易日期、交易時間、交易序號、初始密碼值(此處為空白值)等資料。 (2) 網路服務系統(網路服務管理模組)核驗上行電文無誤後,隨機產出「初始密碼值」並回覆給密碼設定模組。 (a) 當該申請戶狀態正常、而且初始密碼尚未被變更完成時,網路服務系統應於當下重新產生新的初始密碼值回覆給初始密碼函系統,初始密碼值內容須與最近一次不同。 (b) 當該初始密碼已被變更完成時,應向初始密碼函系統拒絕本交易請求。 d. 密碼設定模組於收妥初始密碼值後,先採用「視覺密碼學理論方法」產出初始密碼明碼的「初始密碼值圖像」,之後再產出下行電文(含加密後初始密碼值圖像),經SSL加密後回覆給App。 (1) 採用「視覺密碼學理論方法」加密產出「初始密碼值圖像」: (a) 步驟一:隨機取得底圖或底色 (b) 步驟二:在背景產製數條干擾線(線條顏色、粗細、長短、位置均隨機產生) (c) 步驟三:產製數字(隨機數字顏色、字體、字形、向不同方向(PIXEL)移位產製多 次相同數字) (d) 步驟四:在前景產製數條干擾線(線條顏色、粗細、長短、位置均隨機產生) (e) 步驟五:產生JPEG圖檔 (f) 經此方法將密碼值明碼做妥適加密保護之後,該圖像之明碼值需要人工以眼睛目視方式才能正確讀取。 (2) 下行電文關鍵內容:網頁識別碼、初始密碼值圖像、App合法性鑑別結果等資料。 (3) 密碼設定模組更新資料庫之該使用者本次交易處理狀況與身份鑑別結果等資訊。 (4) 本次下行電文內容除了包含初始密碼值圖像,另應包含通知網路服務使用者儘速在限時內(例如,5分鐘) 操作個人電腦特定功能完成網路服務新密碼設定。 (5) 密碼設定模組須同步透過簡訊、電子郵件通知網路服務使用者:初始密碼值完成交付,請網路服務使用者儘速在限時內操作個人電腦特定功能完成網路服務新密碼設定等訊息。
5. App於收到密碼設定模組的下行電文(含初始密碼值圖像)後: a. 顯示初始密碼值圖像於個人裝置介面。 b. 顯示通知網路服務使用者儘速在限時內操作個人電腦特定功能完成網路服務新密碼設定等訊息於個人裝置介面。 c. App將本筆交易選擇重點資料儲存於個人裝置設備端的加密型檔案。該檔 案採先進先出法,最多儲存十筆交易記錄軌跡。
6. 當使用者忘記初始密碼值時,使用者須重新執行交易作業(上述步驟1.~5.)的完整程序,以取得新的初始密碼值。
綜上所述,本創作在交易裝置(行動裝置設備)及認證裝置(個人電腦)兩個實體裝置相互分離下,藉由網路服務使用者以人工操作行動裝置,對準顯示在個人電腦介面的「QR碼圖像」做掃描讀取,促使兩個實體裝置分工處理同一筆交易請求,限時限次的完成身份勾稽暨鑑別程序,讓網路服務使用者可及時手持網路服務在個人電腦操作完成網路服務新密碼的設定作業。此等多因子交易安全模式,不僅符合主管機關對於交易安全設計應具使用「兩項(含)以上技術」的要求、更可確保該電子交易為人工操作完成,完全防範木馬程式自遠端操控交易的風險。
本創作係採二階段身份鑑別模式(包含對使用者個資資料、對所綁定的交易裝置認證資料及使用者識別資料、對交易是否為人工操作),有別於往常以「密碼」為唯一鑑別模式,對於使用者身份鑑別的交易安全門檻,可收到全面性的、實質性的強化效果。
本創作之交易框架的操作行為,需要使用者以個人電腦登入官方網站、操作初始密碼查詢交易,取得「QR碼圖像」、需要使用者手持已綁定的實體行動裝置掃描讀取「QR碼圖像」。縱使交易裝置被植入遠端操控型(monitoring remote programs)木馬程式,駭客仍無法自遠端操控完成上述人工操作行為來取得初始密碼值。
對於使用者而言,可排除紙本密碼函之相關保管、遺失、遭竊的負擔與風險。對於歹徒、駭客而言,需要同時取得使用者的實體網路服務、綁定的實體行動裝置、App的「啟動密碼」以及使用者個資之後,才有機會取得初始密碼值 ,並需在限時內完成網路服務新密碼的設定作業。較諸往常只要取得紙本密碼函後就可犯案,其防範門檻已明顯提昇。
對於金融機構而言,本創作除了確保資訊安全門檻提昇外,可為金融機構取代現行人工操作列印密碼函的繁瑣程序,節省其間配套的相關人工作業、環境設施、列印機器、紙張、郵遞、保管儲存、資安控管及風險稽查等等作業成本負擔,並能達到節能減碳的效果。
1‧‧‧用於幫助網路服務使用者首次設定密碼之系統
10‧‧‧第一伺服器
12‧‧‧密碼設定模組
122‧‧‧儲存子模組
20‧‧‧第二伺服器
22‧‧‧網路服務管理模組
30‧‧‧軟體產品
40‧‧‧認證裝置
70‧‧‧行動裝置
圖 1係繪示本創作之一具體實施例之系統方塊圖。
Claims (3)
- 一種用於幫助網路服務使用者首次設定密碼之系統,包含:一第一伺服器,設有一密碼設定模組,其包括一儲存子模組;一第二伺服器,與該第一伺服器電性連接,並設有一網路服務管理模組;一軟體產品(App),與該第一伺服器通訊連接,該App係安裝於該使用者所持有的一行動裝置,且該App係經該密碼設定模組認證;以及一認證裝置,與該第二伺服器通訊連接;其中:該密碼設定模組於一預先註冊程序中:接收一第一認證資料,其係由該行動裝置的識別資訊以及該使用者的個人資訊所組成,並將該第一認證資料儲存於該儲存子模組;以及,接收一第二認證資料,其為一自選文摘,並將該第二認證資料儲存於該儲存子模組;該認證裝置顯示一第一使用者介面,要求輸入個人資訊,並於確認輸入的個人資訊無誤後,向該網路服務管理模組發送首次設定密碼之請求;該網路服務管理模組將該首次設定密碼之請求傳送予該密碼設定模組;該密碼設定模組:根據一組合方法組合該第一認證資料,以產生一第一金鑰,其中,該組合方法係隨機挑選自複數個組合方法,並具有一第一編號;將該第一編號儲存於該儲存子模組;基於該第一金鑰對一原碼內容進行加密,產生一二維條碼,其中,該原碼內容包括該自選文摘;將該二維條碼傳送予該認證裝置;該認證裝置於該第一使用者介面顯示該二維條碼;該App於啟動後自動觸發一事件,要求輸入個人資訊,並將輸入之個人資訊傳送予該密碼設定模組; 該密碼設定模組於確認該App合法性後:根據儲存在儲存子模組中的第一編號,使用對應的組合方法組合該第一認證資料,以產生一第二金鑰;自複數個加密方法中隨機挑選一加密方法,該加密方法具有一第二編號;以及,向該App傳送該第一編號,及基於該第二金鑰加密後的確認資料,該確認資料包括一加密資訊,其中,該加密資訊包括該第二編號,及一開始取樣位置;該App自該行動裝置取得該行動裝置的識別資訊以及該使用者的個人資訊,並根據該第一編號所對應的組合方法,組合所述識別資訊及個人資訊,以產生一第三金鑰;經由該行動裝置掃描讀取顯示於該認證裝置上的該二維條碼後,該App使用該第三金鑰解譯該二維條碼得到該原碼內容,並根據該第二編號所對應的加密方法及該開始取樣位置,對該自選文摘進行加密,得到一加密值;以及,基於該第三金鑰對該加密值進行加密後傳送予該密碼設定模組;該密碼設定模組於確認該加密值的正確性後,向該網路服務管理模組發送取得初始密碼之請求,並取得一初始密碼;以及,產生一初始密碼圖像,並傳送予該App;該App顯示該初始密碼圖像;以及該認證裝置於該第一使用者介面顯示欄位,供該使用者輸入該初始密碼,以完成首次密碼設定。
- 如請求項1之用於幫助網路服務使用者首次設定密碼之系統,其中該密碼設定模組提供一第二使用者介面,供該網路服務提供方的作業人員輸入該第一認證資料及該第二認證資料。
- 如請求項1之用於幫助網路服務使用者首次設定密碼之系統,其中該App要求一啟動密碼。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107217644U TWM580720U (zh) | 2018-12-26 | 2018-12-26 | 用於幫助網路服務使用者首次設定密碼之系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107217644U TWM580720U (zh) | 2018-12-26 | 2018-12-26 | 用於幫助網路服務使用者首次設定密碼之系統 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TWM580720U true TWM580720U (zh) | 2019-07-11 |
Family
ID=68050801
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW107217644U TWM580720U (zh) | 2018-12-26 | 2018-12-26 | 用於幫助網路服務使用者首次設定密碼之系統 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWM580720U (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI771638B (zh) * | 2019-12-16 | 2022-07-21 | 中華電信股份有限公司 | 一種第三方代理數位資料之系統及其方法 |
-
2018
- 2018-12-26 TW TW107217644U patent/TWM580720U/zh unknown
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI771638B (zh) * | 2019-12-16 | 2022-07-21 | 中華電信股份有限公司 | 一種第三方代理數位資料之系統及其方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2657871B1 (en) | Secure configuration of mobile application | |
| CN105608577B (zh) | 实现不可否认性的方法及其支付管理服务器和用户终端 | |
| US10045210B2 (en) | Method, server and system for authentication of a person | |
| CN113711211A (zh) | 第一因素非接触式卡认证系统和方法 | |
| US9847874B2 (en) | Intermediary organization account asset protection via an encoded physical mechanism | |
| CN108684041A (zh) | 登录认证的系统和方法 | |
| EP2569692A1 (en) | One-time use password systems and methods | |
| CN102790767B (zh) | 信息安全控制方法,信息安全显示设备,及电子交易系统 | |
| US9065806B2 (en) | Internet based security information interaction apparatus and method | |
| US20140172741A1 (en) | Method and system for security information interaction based on internet | |
| US9294918B2 (en) | Method and system for secure remote login of a mobile device | |
| US9654466B1 (en) | Methods and systems for electronic transactions using dynamic password authentication | |
| CN110472426B (zh) | 一种取代实物u盾的扫描加解密投标文件方法 | |
| CN101335754B (zh) | 一种利用远程服务器进行信息验证的方法 | |
| KR101792220B1 (ko) | 생체 인증 결합 사용자 간편 인증 방법, 이를 위한 인증 어플리케이션이 탑재된 사용자 모바일 단말기, 인증 서비스 장치 및 컴퓨터 프로그램 | |
| EP2775658A2 (en) | A password based security method, systems and devices | |
| CN104753940B (zh) | 一种开具发票的方法、普通发票自助服务终端及服务器 | |
| US20180167202A1 (en) | Account asset protection via an encoded physical mechanism | |
| US20150350170A1 (en) | Secure authentication of mobile users with no connectivity between authentication service and requesting entity | |
| TWM580720U (zh) | 用於幫助網路服務使用者首次設定密碼之系統 | |
| TWM578411U (zh) | 用於幫助持卡人首次設定金融卡密碼之系統 | |
| TWM578432U (zh) | 用於幫助持卡人首次設定金融卡密碼之系統 | |
| EP2763346B1 (en) | Mutual anti-piracy authentication system in smartphone-type software tokens and in the sms thereof | |
| TWI679603B (zh) | 用於幫助持卡人首次設定金融卡密碼之系統及其方法 | |
| TWI677842B (zh) | 用於幫助持卡人首次設定金融卡密碼之系統及其方法 |