安全电子交易的网络认证方法
【技术领域】
[0001]本发明涉及一种网络认证方法,特别是涉及一种应用于安全电子交易(SecureElectronic Transact1ns,简称 SET)的网络认证方法。
【背景技术】
[0002]现今如网络银行及网络商店的网站在线交易十分盛行。但相关于其所造成客户交易安全问题也是一大挑战。一般而言,客户端的计算机由于易被例如按键侧录程序、木马程序,或屏幕侧录程序等入侵。其可能造成重要讯息被导引至伪装的服务器。
[0003]传统认证方式是借由客户端输入一用户身份代号及一密码。然而,此种简单的认证方式无法提供客户足够保护,也无法避免被恶意程序攻击,其攻击方式像是中间人攻击(man-1n-the-middle ;简称 MITM),浏览器中间人攻击(man-1n-the-browser ;简称 MITB),及键次登录(keystroke logging)等。
[0004]因为该用户身份代号及密码容易被窃取,一身份验证装置,例如,一载有一公用密钥凭证的USB装置、一 1C电子卡或一动态令牌(dynamic token),被用于用户身份验证,从而造成客户服务成本增加。因此,存在改善前述问题的空间。
【发明内容】
[0005]本发明的目的在于提供一种安全电子交易的网络认证方法。
[0006]本发明的网络认证方法应用于连接一通讯网络的一客户端及一凭证服务器,该客户端相关于一用户及一认证程序,该网络认证方法包括下述步骤:a)该凭证服务器储存一指派给该用户的凭证,该凭证具有一唯一标识符及一非对称式密钥对的一公钥及一私钥;
b)该客户端储存一凭证索引及一参考私钥,该凭证索引是对应于指派给该用户的该凭证,该参考私钥是通过该用户以一个人身份标识符加密该私钥而产生;c)该客户端在接受相关于一介于该客户端及一网络服务器的电子交易且是被该用户确认的事务数据后,响应该认证程序的执行,通过一输入操作产生一用户输入码,借由该用户输入码解密储存在步骤
b)的该参考私钥以得到一当前密钥,及产生一用于该事务数据并使用该当前密钥及该事务数据的数字签名;及(1)该凭证服务器依据该通讯网络接收的一数字签名及一凭证索引,基于该凭证的该公钥决定收到的该凭证索引是否唯一对应,判断收到的以该私钥签名的该数字签名,当判断为该数字签名是该私钥所签名时,将收到的该事务数据的该数字签名被确定为相关于该用户。
[0007]本发明的安全电子交易的网络认证方法,在步骤c),当该用户输入码与该个人身份标识符相符,该当前密钥视为该私钥。
[0008]本发明的安全电子交易的网络认证方法,还使用该网络服务器及一连接该通讯网络的认证服务器,该网络认证方法还包括介于步骤b)及步骤c)之间的下述步骤:
[0009]e)该网络服务器依据接收的一交易讯息相关于该电子交易,通过该通讯网络发送用于该电子交易的一认证请求至该认证服务器,该认证请求具有经过该用户确认的该用户的该唯一标识符及该事务数据;及
[0010]f)该认证服务器从该网络服务器接收该认证请求后,通过该通讯网络发送用于该事务数据的一签名请求至该客户端,该签名请求具有该事务数据;
[0011]其中,在步骤c),在产生该用户输入码之前,该客户端还显示该事务数据。
[0012]本发明的安全电子交易的网络认证方法,还包括介于步骤c)及步骤d)之间的下述步骤:
[0013]g)该客户端执行该认证程序,通过该通讯网络发送在步骤c)产生的该数字签名,以及在步骤b)储存的该凭证索引至该认证服务器;及
[0014]h)该认证服务器依据通过该通讯网络接收的一数字签名及一凭证索引,通过该通讯网络发送用于该数字签名的一验证请求至该凭证服务器,该验证请求具有自该认证服务器接收的该数字签名及该凭证索引;
[0015]其中步骤d)是由该凭证服务器依据接收的该验证请求所决定。
[0016]本发明的安全电子交易的网络认证方法,还包括接续步骤d)的下述步骤:
[0017]i)当该凭证服务器判定该数字签名是以该私钥签名,通知该认证服务器成功验证该数字签名;
[0018]j)该认证服务器依据从该凭证服务器收到成功验证该数字签名的通知,知会该客户端完成数字签名验证;
[0019]k)该客户端依据从该认证服务器接收的完成数字签名验证的通知,通过该通讯网络发送在步骤b)储存的该凭证索引至该网络服务器;
[0020]1)该网络服务器依据通过该通讯网络接收的一凭证索引,通过该通讯网络发送用于该事务数据的一验证请求至该凭证服务器,该验证请求具有该网络服务器收到的该事务数据及该凭证索引;及
[0021 ] m)该凭证服务器响应从该网络服务器接收的该验证请求,而判断包括在该验证请求的该事务数据是否与在步骤d)经该用户收到且确认的该事务数据是否相符,并于判定相符时通知该网络服务器该事务数据的验证成功;
[0022]η)该网络服务器依据从该凭证服务器接收验证成功的通知,知会该认证服务器成功验证该事务数据;及
[0023]ο)该认证服务器依据成功验证该事务数据的通知,通知该网络服务器成功认证该电子交易。
[0024]本发明的安全电子交易的网络认证方法,该客户端具有多个硬件组件,各该硬件组件具有一唯一标识符,该认证服务器储存相关于该用户的该唯一标识符且用于认证该客户端的硬件识别数据,该网络认证方法还包括介于步骤e)及步骤f)的下述步骤:
[0025]p)该认证服务器响应从该网络服务器接收的该认证请求,而产生一单次讯息识别符唯一地对应至该认证请求,及通过该通讯网络发送该单次讯息识别符至该网络服务器;
[0026]q)该网络服务器通过该通讯网络将该认证服务器的该单次讯息识别符传输至该客户端;
[0027]r)该客户端执行该认证程序以响应从该网络服务器接收的该单次讯息识别符,以产生相关于该客户端的硬件组件的标识符的硬件扫描数据,且通过该通讯网络发送该单次讯息识别符及该硬件扫描数据至该认证服务器;及
[0028]s)该认证服务器依据通过该通讯网络接收的该单次讯息识别符及该硬件扫描数据,判断收到的该硬件扫描数据与已储存的该硬件识别数据是否相符;
[0029]其中,步骤f)是当步骤s)判断是相符时执行。
[0030]本发明的安全电子交易的网络认证方法,还包括在步骤a)之前的下述步骤:
[0031]I)该凭证服务器响应自该用户接收的一包括该用户的该唯一标识符的凭证请求,以指派该凭证至该用户,及产生唯一地对应至该凭证的该凭证索引且在步骤b)被储存于该客户端。
[0032]本发明的安全电子交易的网络认证方法,还使用连接该通讯网络的一认证服务器,该网络认证方法还包括介于步骤a)及步骤b)的下述步骤:
[0033]II)该认证服务器接收用于该用户的一认证注册请求,该认证注册请求具有该用户的该唯一标识符、该私钥,及该凭证服务器在步骤I)产生的该凭证索引;
[0034]III)该认证服务器通过该通讯网络发送该私钥及收到的该凭证索引至该客户端;及
[0035]IV)该客户端依据从该认证服务器接收的该私钥及该凭证索引,响应执行该认证程序,通过该用户的输入操作而产生该个人身份标识符,且以该个人身份标识符加密该私钥以产生该参考私钥。
[0036]本发明的安全电子交易的网络认证方法,还使用该网络服务器,该网络服务器连接至该通讯网络,该网络认证方法还包括在步骤I)之前的下述步骤:
[0037]V)成功登入后,该网络服务器通过该通讯网络发送该凭证请求至该凭证服务器。
[0038]本发明的安全电子交易的网络认证方法,还包括介于步骤a)及II)的下述步骤:
[0039]VI)该凭证服务器响应从该网络服务器接收的该凭证请求,通过该通讯网络发送该私钥及该凭证索引至该网络服务器;及
[0040]VII)该网络服务器依据从该凭证服务器接收的该私钥及该凭证索引,通过该通讯网络发送该认证注册请求