TWM614737U

TWM614737U - 網路服務登入系統之多重因素認證系統

Info

Publication number: TWM614737U
Application number: TW110203202U
Authority: TW
Inventors: 楊勝智; 林基源; 陳柏宏; 林胤忱; 林明臻
Original assignee: 國立勤益科技大學
Priority date: 2021-03-24
Filing date: 2021-03-24
Publication date: 2021-07-21

Abstract

本新型係揭露一種網路服務登入系統之多重因素認證系統，其包括網路服務端系統、即時通訊軟體服務系統、用戶端裝置及網路通訊系統。用戶端裝置安裝有即時通訊軟體且包含輸入界面，輸入界面用以產生包括第一驗證資料、綁定資料及第二驗證資料，當使用者要求登入時，用戶端裝置則將第一驗證資料傳輸至身份驗證模組，當驗證成功時，一用戶端裝置則將第二驗證資料傳輸至身份驗證模組，當驗證成功時，則完成使用者身份認證，以同意該使用者登入網路服務端系統的要求，俾能以即時通訊軟體作為第二驗證因子，因而具有提升網路服務登入系統的安全性、兼顧使用便利性及無需過多額外的維護成本等特點。

Description

網路服務登入系統之多重因素認證系統

本新型係有關一種網路服務登入系統之多重因素認證系統，尤指一種以即時通訊軟體作為第二驗證因子而具備有效且便利地驗證使用者身分、保障使用者帳戶安全以及降低使用成本的網路服務登入認證技術。

按，資訊科技的普及與網路應用的蓬勃發展，已全面改變了人類的生活模式，人們已經習慣使用網路來購物、搜尋資料、工作、社交等等，但接踵而來的身分識別與網路帳號盜用問題層出不窮，雖然許多網路服務登入系統已導入雙因素認證機制，但目前較常見的雙因素認證機制卻因整合難度高、維護不易，或使用者對於軟體陌生、操作困難等原因，導致雙因素認證機制的普及率偏低。

近年來，資訊科技的蓬勃發展，使得網際網路的相關應用已成為人們生活中不可或缺的一部份。依據所知，一般網路服務端系統大致涵蓋如網路平台系統、網路購物平台系統、網拍平台系統、繳稅費平台系統、管理銀行帳戶系統、社交平台系統及休閒娛樂平台系統等，該等平台系統都已經可以在網路上提供使用者所需求的特定網路服務。傳統的網路服務端系統大多憑藉著一組帳號與密碼來識別使用者的身分，使用者經常因為電腦中毒、誤上釣魚網站或因為網路服務平台資料外洩、遭駭，導致登入系統的帳號、密碼外流，讓許多不肖份子有機可趁，利用合法的帳號密碼進行勒索、病毒傳輸、詐騙…等不法行為。然而，在人們的生活中都會需要記得幾組帳號密碼，如購物網站、電子郵件、通訊軟體、網路銀行等等，每一個服務都需要一組帳號密碼，許多人貪圖便利，會使用同一組帳號密碼去註冊不同的服務，在這樣的情況下，若有任何一組帳號密碼外洩，將會有一連串的資安問題產生。

資訊科技日新月異，網路攻擊與駭客行為也是無孔不入，2017年上半年資料外洩就已超過2016全年的總和，可見資料外洩已成為常態，為了防止帳號密碼外洩所產生的資安問題，現在已有許多網路服務都推出雙因素認證來提高使用者的帳戶安全。雙因素認證是由密碼學身分認證的主要三個身分驗證因子，使用其中的兩個因子作為認證的方法，可以強化身分驗證的安全性並提供多一層保障，是簡單的安全措施，可防止未經授權的不法份子存取使用者帳戶。

雙因素認證機制中，目前普遍是採用使用者自行設定的帳號密碼作為第一個驗證因子(所知之事)，並使用E-Mail、簡訊或APP來匹配驗證碼機制作為第二個驗證因子。沒有使用雙因素認證機制的系統，只要持有帳號密碼就可以完成身分認證進而存取使用者帳戶；反之，使用雙因素認證機制，可有效防止不肖份子持未經授權的帳號密碼存取使用者帳戶，避免因帳號密碼外洩所產生的資安問題。在雙因素認證機制中，目前較為普遍的是使用E-Mail、簡訊或APP匹配驗證碼機制作為第二個驗證因子。其中，E-Mail的優點在於免費與便利，缺點是非最即時，且容易有漏信、擋信、垃圾信等問題發生；簡訊的優點是即時、便利，人手一機已為常態，無需額外準備，缺點是需要額外負擔費用，若時常操作，日積月累金額也是不可小覷；APP的優點是免費、便利，人手一機已為常態，無需額外準備，缺點是需另外安裝與熟悉APP、大多的網路服務僅支援單一APP驗證、手機若遺失需重新設定應用程式。

然而，資訊安全是一種取捨(tradeoff)，防禦措施需要在「安全」與「便利」之間做合理的取捨，過度防禦會造成使用者的不便，反而違背資訊科技帶給人便利的初衷。有鑑於此，如何提升網路服務登入系統的安全性、兼顧使用便利性且無需過多額外的維護成本，乃為相關技術領域業者所亟欲挑戰與解決的技術課題。

本新型主要目的，在於提供一種網路服務登入系統之多重因素認證系統，主要是以即時通訊軟體作為第二驗證因子，因而具有提升網路服務登入系統的安全性、兼顧使用便利性且無需過多額外的維護成本等特點。達成本新型主要目的之技術手段，係包括網路服務端系統、即時通訊軟體服務系統、用戶端裝置及網路通訊系統。用戶端裝置安裝有即時通訊軟體且包含一輸入界面，輸入界面用以產生包括第一驗證資料、綁定資料及第二驗證資料，當使用者要求登入時，用戶端裝置則將第一驗證資料傳輸至身份驗證模組，當驗證成功時，一用戶端裝置則將第二驗證資料傳輸至身份驗證模組，當驗證成功時，則完成使用者身份認證，以同意該使用者登入網路服務端系統的要求。

10:網路服務端系統

11:身份驗證模組

12:使用者認證資料庫

13:網路系統服務資料庫

20:即時通訊軟體服務系統

30:用戶端裝置

31:輸入界面

311:驗證碼輸入介面

310:綁定設定介面

312:帳號輸入介面

313:密碼輸入介面

314:切換綁定介面

315:登入系統輸入介面

316:圖樣

40:網路通訊系統

圖1係本新型一種具體架構的實施示意圖。

圖2係本新型結合即時通訊軟體與網路服務登入的流程示意圖。

圖3係本新型綁定即時通訊軟體流程實施示意圖。

圖4係本新型於輸入界面具體實施的畫面顯示示意圖。

圖5係本新型於綁定設定介面具體實施的畫面顯示示意圖。

圖6係本新型於使用者登入介面顯示重新綁定即時通訊軟體的實施示意圖。

為讓貴審查委員能進一步瞭解本新型整體的技術特徵與達成本新型目的之技術手段，玆以具體實施例並配合圖式加以詳細說明如后：

請配合參看圖1~2所示為達成本新型主要目的之具體實施例，係包括一網路服務端系統10、至少一即時通訊軟體服務系統20(如LINE或Telegram等軟體系統平台業者)、至少一用戶端裝置30及一網路通訊系統40(如網際網路系統；或是行動通訊網路系統)等技術特徵。該網路服務端系統10(如網路系統平台)包含一身份驗證模組11。該用戶端裝置30透過網路通訊系統40而與網路服務端系統10及即時通訊軟體服務系統20資訊連結。該用戶端裝置30安裝有即時通訊軟體服務系統所提供的至少一即時通訊軟體。該用戶端裝置包含一輸入界面31，該輸入界面31用以產生包括使用者輸入帳號密碼而產生的一第一驗證資料、使用者選擇綁定其中一個即時通訊軟體而產生的綁定資料及使用者輸入綁定之即時通訊軟體所發出之驗證碼而產生的一第二驗證資料的；當使用者要求登入網路服務端系統10時，該用戶端裝置30則將第一驗證資料傳輸至身份驗證模組進行驗證，當第一驗證資料驗證成功時，該用戶端裝置30則將第二驗證資料傳輸至身份驗證模11組進行驗證，當第二驗證資料驗證成功時，則完成使用者身份認證，以同意使用者登入該網路服務端系統的要求。

承上所述，如圖3、5所示，當第一驗證資料驗證成功時，該用戶端裝置30則將綁定資料傳輸至身份驗證模組11，再透過用戶端裝置30所安裝綁定之即時通訊軟體來接收由即時通訊軟體服務系統20所發送的驗證碼，並於輸入界面31顯示供使用者輸入驗證碼而產生第二驗證資料的驗證碼輸入介面311。

繼而，當第一驗證資料驗證成功時，該輸入界面31則顯示一綁定設定介面310，該綁定設定介面310顯示有複數即時通訊軟體之圖樣316供使用者綁定選擇其中一個，當使用者綁定選擇其中一個即時通訊軟體時，則產生綁定資料，該用戶端裝置30則將綁定資料傳輸至身份驗證模組11，使身份驗證模組11透過應用程式界面(API)與即時通訊軟體服務系統溝通整合，並於用戶端裝置30之輸入界面31顯示供使用者輸入授權碼而產生第三驗證資料的授權認證介面，該用戶端裝置30則將第三驗證資料傳輸至即時通訊軟體系統20進行驗證，當第三驗證資料驗證成功時，則完成即時通訊軟體的綁定；反之，當第三驗證資料驗證失敗時，該綁定設定介面310則顯示其他複數即時通訊軟體之圖樣316，以供使用者重新綁定選擇。

具體的，當完成即時通訊軟體的綁定且使用者要求登入網路服務端系統10時，該輸入界面31則同步顯示包括供使用者輸入帳號的帳號輸入介面312、供使用者輸入密碼的密碼輸入介面313、供使用者輸入驗證碼的驗證碼輸入介面311、供使用者輸入切換綁定即時通訊軟體的切換綁定介面314及供使用者登入系統的登入系統輸入介面315，如圖6所示。

繼而，當使用者輸入切換綁定介面314時，該輸入界面31則顯示包含複數供使用者重新綁定選擇即時通訊軟體的圖樣316、驗證碼輸入介面311及登入系統輸入介面315。其中，該驗證碼可以是一次性密碼(OTP；One-Time Password)；或是動態密碼。

再請配合參看圖1所示，該網路服務端系統10更包括一供儲存使用者之帳號密碼的使用者認證資料庫12及一供儲存網路服務資訊的網路系統服務資料庫13。

本新型結合『即時通訊軟體』與『網路服務登入系統』，於使用者登入網路服務端系統10時，除了輸入帳號密碼外，還需以即時通訊軟體來接收由網路服務端系統10所發送的驗證碼(OTP)進行身分的認證，於是方能完成登入程序。

如圖4~6所示，為本新型結合『即時通訊軟體』與『網路服務登入系統』之登入流程示意。而網路服務端系統10之供應商必須提供至少一種即時通訊軟體，讓使用者可以綁定其中一種(或多種)即時通訊軟體，用以接收登入時由系統發送之OTP碼。其次，可以透過應用程式界面(API)的方式與即時通訊軟體做一整合，整合完成後即可使用API完成即時通訊軟體之身分識別。再其次，可以透過API方式與即時通訊軟體整合，用以發送OTP至使用者所選擇之即時通訊軟體。而上述使用者係指網路服務系統之後台管理員；或一般使用者而言。

當使用者將帳號密碼登入網路服務端系統10後，可以綁定至少一種(或多種)即時通訊軟體，作為後續登入時接收OTP的軟體，綁定流程如圖6。此外，椅可同時綁定多個即時通訊軟體，並於登入時選擇任一即時通訊軟體接收OTP。

對於目前較為普遍的雙因素認證機制，是使用E-Mail、簡訊或APP匹配驗證碼機制作為第二個驗證因子。本新型採用『即時通訊軟體』的方法作為第二個驗證因子，綜合以上多種驗證因子比較之下，即時通訊軟體的優點是便利性、即時性與流程/介面熟悉度皆較高，以及無須花費簡訊成本。

使用者需先使用帳號密碼登入系統，如圖4所示。當使用者成功登入系統後，使用者可以綁定其中一種(或多種)即時通訊軟體用以接收登入時由系統發送之OTP。圖5所示為整合Line與Telegram。以選擇Line即時通訊軟體為例，即時通訊軟體需確認使用者身分。於使用者完成即時通訊軟體之身分認證後即可完成綁定。綁定完成後重新登入系統，使用者可選擇任一綁定完成的即時通訊軟體接收OTP，如圖6所示。當使用者選擇完畢後，將會收到系統發送之OTP，將收到的OTP輸入至登入介面後，即可完成登入程序。

本新型採用『即時通訊軟體』的方法作為第二個驗證因子，實作結果證實本新型可有效且便利地驗證使用者身分，保障使用者帳戶安全。本新型之優勢與具體成果如下：

1.即使使用者登入帳號密碼外洩，非法使用者也會因為無法接收到該使用者即時通訊軟體的訊息而無法登入系統，可防止未經授權的不法份子存取使用者帳戶。

2.人們對於手機的依賴程度已到達人手一支到兩支的程度[8]，人們使用即時通訊軟體聊天、打電話、溝通交流、工作…等等，即時通訊軟體跟人類的生活有著密不可分的關係。使用即時通訊軟體的優勢，在於使用者已對軟體熟悉，無需再另外安裝新的軟體或學習新的操作介面，對於使用者端有著『便利』的效果。

3.使用即時通訊軟體發送OTP，無需額外負擔簡訊或通訊費用。

4.使用者可同時綁定多個即時通訊軟體，可避免由於單一服務故障所導致無法取得OTP的情況。例如使用Gmail信箱接收OTP，但卻因為Gmail連續三天出現故障狀態[8]導致Gmail異常無法登入，因此無法取得登入驗證碼。

5.大多即時通訊軟體，支援行動裝置與電腦雙介面，除了行動裝置以外，亦可使用電腦登入即時通訊軟體後再接收OTP，可避免因行動裝置沒電、遺失或損壞，導致無法取得登入驗證碼。

6.觀察目前國人手機的高汰換率，使用兩年至三年更換手機的比例為52%，使用一年至兩年更換手機的比例為27.7%，如此高的汰換率，若使用APP匹配驗證碼機制時，於使用者更換手機的時候，需要再做資料的備份與轉移實為不便。若整合即時通訊軟體，即可避免資料備份與轉移的困擾，增加使用者的便利性。

以上所述，僅為本新型之可行實施例，並非用以限定本新型之專利範圍，凡舉依據下列請求項所述之內容、特徵以及其精神而為之其他變化的等效實施，皆應包含於本新型之專利範圍內。本新型所具體界定於請求項之結構特徵，未見於同類物品，且具實用性與進步性，已符合發明專利要件，爰依法具文提出申請，謹請鈞局依法核予專利，以維護本申請人合法之權益。