专利名称:网络用户身份验证系统与方法
技术领域:
本发明涉及一种网络用户身份验证系统与方法,特别涉及一种支 持多种认证来源、多种认证领域与多种认证方式的通用型网络用户身 份验证系统与方法。
背景技术:
网络使用越来越大众化,随着网络的蓬勃发展,网络的建构及扩 展已渐渐地改变人类的行为模式。举例来说,由于网络相当的普及, 使大部分的使用者通过网络搜集数据、浏览知识、购买商品、工作、 讨论问题与交朋友。因此,各式各样的网站出现于网络上,通过与各 种不同的网络社群进行互动,使得人类的行为更方便、更快速且更科 技。
一般来说,使用者登录网站,必须先注册使用者账号并设定密码, 当使用者具有多数网站的账号与密码时,记忆大量的账号与密码常对 使用者造成困扰。若使用者设定相同的账号与密码, 一旦数据外泄(例 如遭黑客盗取账号或诈骗网站窃取个人数据),非法的用户即可轻易地 以该账号与密码登录网络,假冒使用者身份在网络上进行商业行为, 交友或发表言论,使真正使用者造成极大损害。
另一方面,网络服务平台为了防止不合法的用户入侵,可能采取 额外建构安全认证机制。例如于使用者输入完账号与密码后,再增加 一道认证关卡,由此增加黑客侵入的难度,强化网站登录安全性。
然而,上述现有技术存在以下的问题
(l)便利性不足。使用者在登录特定网站时,需输入该特定网站的 账号密码并通过另一道认证关卡。然而当使用者具有多数网站的账号 密码时,如何找出对应该网站的账号与密码及该网站增设的认证关卡 以登录该特定网站是使用者所面临的一大难题,因此也造成使用上的 不便利。
6(2) 成本增加。网站的经营者为了避免黑客入侵而额外建构的网络 安全认证机制,自然造成营运成本的增加。
(3) 安全性不足。网站的经营者所建构的网络安全认证机制通常仅 具有特定的认证方式与认证来源,黑客通过不断的尝试后仍有可能找 出破解的方法,因此会影响网站的安全性。
综上所述,如何能提供一种可解决上述问题的网络用户身份验证 系统与方法,遂成为目前亟待解决的课题。
发明内容
鉴于上述现有技术的缺点,本发明的一目的是提供一种网络用户 身份验证系统与方法,以解决了现有技术的不便利、高成本以及安全 性不足的问题。
为解决前述现有技术的缺陷,本发明提供一种网络用户身份验证 系统,应用于网络系统中,该网络用户身份验证系统包括客户端装 置,具有网络联机功能;网站,提供该客户端装置网络服务;以及认 证系统,用以对连接该网站的该客户端装置的用户进行身份认证,其 中,当该客户端装置连接该网站时,该网站会通知该认证系统对该客 户端装置的用户进行身份认证,令该认证系统请求该客户端装置输入 认证信息,以由该认证系统比对该认证信息并将认证结果传回该网 站。
本发明又提供一种网络用户身份认证方法,应用于网络系统中, 该网络用户身份认证方法包括(l)令客户端装置通过该网络系统与网 站连接;(2)令该网站通知认证系统对该客户端装置的用户进行身份认 证;(3)令该认证系统请求该客户端装置输入认证信息;(4)令该认证系 统比对该认证信息;以及(5)令该认证系统将认证结果传回该网站。
本发明进一步提供一种网络用户身份认证方法,应用于网络系统 中,该网络用户身份认证方法包括(l)令客户端装置通过该网络系统 与网站连接;(2)令该网站通知认证系统对该客户端装置的用户进行身 份认证;(3)令该认证系统确认对应该客户端装置的认证信息装置,其 中,该认证信息是由一与该客户端装置搭接的认证信息装置所提供;(4) 令该认证系统请求该客户端装置输入认证信息;(5)令该认证系统比对
7该认证信息与该认证信息装置是否有对应关系;以及(6)令该认证系统 将认证结果传回该网站。
相比于现有的技术,本发明的网络用户身份验证系统与方法解决 了现有网络用户身份验证系统的缺点。本发明的网络用户身份验证系 统与方法应用一种网络安全认证平台,当用户登录特定网站时,由此 认证平台对使用者进行身份认证。由于此认证平台可支持多种认证方 式与认证来源,其安全性自然比现有技术要高,网络服务业者也无需 另外建构额外的认证机制。且对于具备认证信息装置的用户,可将多 种网络服务网站的账号设定为相同的认证方式,提升使用的便利性。 因此解决了现有技术的不便利、高成本以及安全性不足的问题。
图1为本发明的网络用户身份验证系统的架构图; 图2为本发明的网络用户身份验证系统一具体实施例; 图3为本发明的网络用户身份验证系统另一具体实施例; 图4为本发明的网络用户身份认证方法的流程图; 图5为本发明的网络用户身份认证方法一具体实施例; 图6为本发明的网络用户身份认证方法中设定网络用户身份验证系 统的流程图7为本发明的网络用户身份认证方法中设定网络用户身份验证系 统的一具体实施例;
图8为本发明的网络用户身份认证方法另一具体实施例。
主要组件符号说明
1网络用户身份验证系统
10网络
11客户端装置
12网站
13认证系统
20网络系统
21客户端装置210数据处理装置 211认证信息装置
22网站
23认证系统
230数据库单元
231认证数据管理单元
232认证信息比对单元
233联机控制单元
30以太网络
31客户端装置
310用户计算机
311动态密码锁
32网站
33认证平台
330数据库
331数据管理主机
332身份认证主机
333联机主机
S40 S44步骤
S50 S55步骤
S60 S62 步骤
S70 S74步骤
S80 S86步骤
具体实施例方式
以下通过特定的具体实施例说明本发明的实施方式,本领域的技 术人员可由本说明书所揭示的内容轻易地了解本发明的其它优点与功 效。本发明也可通过其它不同的具体实施例加以施行或应用。
请参阅图1,其是本发明的网络用户身份验证系统的架构图。如图 所示,本发明的网络用户身份验证系统应用于网络系统(以下称网 络)IO,包括客户端装置ll、网站12以及认证系统13。
9网络io用以作为数据传输的媒介,其连接方式可例如为采用有线 式的ADSL、FTTB或CABLE的网络连接和/或采用无线式的网络连接。 本发明的网络用户身份验证系统所采用的架构为因特网,但并不因而 限制本发明的范围,也就是并不排除适用于如组织内网络系统、组织 间网络系统、局域网络系统、广域网络系统或虚拟私人网络系统等网 络系统的可能性。
客户端装置11为可存取数据并进行数据处理的电子设备,例如桌 上型计算机、笔记型计算机、个人数字助理和/或移动电话。只要具有 网络联机功能的设备均可作为此处的客户端装置11。但是优选地,客 户端装置11进一步可选择性地包括数据处理与存取功能。
网站12用以提供用户各种网络服务,例如电子商务网站、入口网 站、社群交友网站、在线娱乐网站、论坛、政府网站、学术网站、拍 卖网站、电信服务网站和/或金融服务网站。
认证系统13用以对连接该网站的该客户端装置的用户进行身份认 证。认证系统13通常包含网页联机装置、应用服务器与数据库。网页 联机装置提供网页让用户联机,应用服务器可提供用户数据设定、管 理、认证的功能,而数据库可储存用户或网站的各种属性数据。
本发明具体实施时,客户端装置11通过网络10连接网站12,此 时网站12主动通知认证系统13对该客户端装置的用户进行身份认证。 此时认证系统13与该客户端装置11联机并请求用户通过客户端装置 11输入认证信息,认证系统13比对该认证信息以确认客户端装置11 是否为合法用户,并将认证结果传回该网站。
请参阅图2,其是本发明的网络用户身份验证系统一具体实施例。 其中客户端装置21进一步包含数据处理装置210与认证信息装置211 , 而认证系统23进一步包含数据库单元230、认证数据管理单元231、 认证信息比对单元232与联机控制单元233。
认证信息装置211用以产生认证信息,使数据处理装置210提供 认证信息予该认证系统23作为确认客户端装置21是否为合法用户。 认证信息装置211可为生物特征辨识装置、认证卡片、电话、移动通 信装置、通用串行总线令牌(USBToken)、动态密码设备和/或随机密码 产生设备。数据库单元230为数据储存装置,用以储存客户端装置21与网站 22的各项认证属性数据。认证数据管理单元231用以提供用户进行注 册及各项认证属性数据的设定,包含数据处理装置210的数据与认证 信息装置211的设定以及网站22的账号与属性数据设定。认证信息比 对单元232用以将客户端装置21输入的认证信息与储存于数据库单元 230中对应的认证属性数据进行比对。联机控制单元233通过该网络系 统20与客户端装置21及网站22进行连接并传递数据。
在本实施例中,首先,数据处理装置210通过网络20连接特定网 站22请求登录,此时网站22主动与认证系统23的联机控制单元233 连接并通知认证系统23对客户端装置21进行身份认证。接着,认证 系统23通过联机控制单元233与数据处理装置210联机并请求数据处 理装置210输入认证信息。数据处理装置210将认证信息装置211产 生的认证信息输入认证系统23。认证系统23利用认证信息比对单元 232比对认证信息以确认客户端装置21是否为合法用户,并将认证结 果传回该网站22使该系统决定是否允许客户端装置21的登录。
请再参阅图3,是本发明的网络用户身份验证系统另一具体实施 例。本实施例中包括多个客户端装置31、多个网站32以及通过以太网 络30分别与多个用户计算机310以及多个网站32连接的认证平台33。 其中,多个客户端装置31可为不同或相同的用户所有,而多个网站32 也可属于相同或不同的经营者所有。在不同的实施例中,客户端装置 31和/或网站32可为单数个。
客户端装置31包含用户计算机310及动态密码锁311。动态密码 锁311可产生一次性密码(one-time password),使用户计算机310可提 供此密码给认证平台33作为身份认证之用。认证平台33包含数据库 330、数据管理主机331、身份认证主机332与联机主机333,用以提 供客户端计算机31进行联机、注册、数据设定、身份认证及数据储存。
在认证平台33进行认证之前,用户计算机310的用户必须先登录 该认证平台33进行注册与数据设定。用户计算机310完成注册后,必 须设定欲使用的认证信息装置。而本实施例中用户计算机310利用数 据管理主机331,选择以动态密码锁310所提供的一次性密码来进行认 证。接着,用户计算机310设定对应该认证方式的网站32的账号和/或该网站32的属性。此时数据管理主机331将用户计算机310输入的 数据储存于数据库330并将该网站32的属性数据(如交易系统描述、可 接受设备安全等级与联机方式等)建文件,从而用户计算机310可随时 进行修改与调整。
认证平台33设定完成后,即可开始运作。当用户计算机310请求 登录时,网站32会通知认证平台33对该用户计算机310进行身份认 证。此时,认证平台33根据先前设定的数据,通过联机主机333与用 户计算机310联机并请求该用户计算机310输入动态密码锁311所产 生的密码。输入完成后,认证平台33利用身份认证主机332比对该密 码以确认客户端装置31是否为合法用户,并将认证结果传回该拍卖网 站32使该网站决定是否允许用户计算机310的登录。
具体实施时,当用户通过用户计算机310请求登录时网站32时, 网站32可通知认证平台33,而认证平台33可通过如弹出式窗口方式 请求该用户计算机310输入动态密码锁311所产生的密码,从而进行 身份认证。
参阅图4,是本发明的网络用户身份认证方法的流程图。如图所示, 此网络用户身份认证方法应用于上述的网络用户身份验证系统1中, 其包括以下的步骤。
在步骤S40中,客户端装置通过网络系统与网站连接,请求登录 网站。其中,客户端装置可为桌上型计算机、笔记型计算机、个人数 字助理和/或移动电话。网络系统可为因特网、组织内网络系统、组织 间网络系统、局域网络系统、广域网络系统和/或虚拟私人网络系统。 网站可为电子商务网站、入口网站、社群交友网站、在线娱乐网站、 论坛、政府网站、学术网站、拍卖网站、电信服务网站和/或金融服务 网站。
接着进至步骤S41。
在步骤S41中,网站通知认证系统对客户端装置的用户进行身份 认证。此时网站仅确认客户端装置输入的账号密码是否正确,而进一 步的身份认证则通过认证系统来执行。接着进至步骤S42。
在步骤S42中,认证系统收到网站的通知后,主动与客户端装置 联机并请求客户端装置输入认证信息。其中,认证信息可为特定密码或其它辨识信息。接着进至步骤S43。
在步骤S43中,认证系统比对客户端装置输入的认证信息是否正确,并产生一个认证结果。接着进至步骤S44。
在步骤S44中,认证系统将认证结果传回网站,使网站能依据认证结果来决定是否允许客户端装置的登录。接着进至歩骤S45。
参阅图5,是本发明的网络用户身份认证方法一具体实施例。相比于图4,本实施例包含步骤S50 S55,其中步骤S50、 S51、 S53、 S55与步骤S40、 S41、 S42、 S44相同,不再赘述,以下仅针对不同的步骤予以说明。
在本实施例中,客户端装置更包含一组认证信息装置(如图2所示),用以提供认证信息予认证系统。因此在步骤S52中,当网站通知认证系统对该客户端装置的用户进行身份认证时,需使认证系统确认对应客户端装置的用户的认证信息装置,以便于后续的比对与认证。认证信息装置可为生物特征辨识装置、认证卡片、电话、移动通信装置、通用串行总线令牌(USBToken)、动态密码设备和/或随机密码产生设备。认证系统确认对应客户端装置的认证信息装置的方式可例如为同步对时。
在歩骤S54,当客户端装置输入由认证信息装置产生的认证信息后,令认证系统比对认证信息与认证信息装置是否有对应关系。若认证信息与步骤S52所确认的认证信息装置有对应关系,显示客户端装置持有正确的认证信息装置,较单纯通过账号密码更能进一步地确认其为合法用户。若认证信息与步骤S52所确认的认证信息装置无对应关系,则客户端装置有相当可能为黑客或非法用户,因此于S55中通知网站拒绝此客户端装置的登录。
参阅图6,是本发明的网络用户身份认证方法中设定网络用户身份验证系统的流程图。在本发明的网络用户身份认证方法实行以前,必须使客户端装置进行各项数据的设定,其步骤说明如下。
在步骤S60,令该客户端装置登录该认证系统。由于本发明的网络用户身份认证方法通过认证系统来进行各种认证程序,因此相关的认证数据必须由客户端装置预先设定于认证系统中。但是于本发明的其它实施例中,相关的认证数据也可选择性地或并行地通过客户端装置与认证系统以外的其它具有网络通讯和/或数据处理功能的装置进行认证系统中注册及认证数据的设定。接着进至步骤S61。
在步骤S61,认证系统中必须先建立特定网站的数据以及登录网站
的认证方式,因此令客户端装置设定认证信息装置的种类、该网站的
账号和/或网站的属性。接着进至步骤S62。
在步骤S62,令认证系统向网站确认客户端装置的用户的身份。若网站中确实有此客户端装置的账号与数据,即可完成设定歩骤。
请参阅图7,是本发明的网络用户身份认证方法中设定网络用户身份验证系统的一具体实施例。
步骤S70中,令客户端装置登录认证平台并提供用户各项数据以进行注册程序。接着进至步骤S71。
步骤S71中,认证平台将用户的注册数据储存于数据库中并建立一组用户的认证专用区域。接着进至步骤S72。
步骤S72中,用户进入认证专用区域,并设定欲使用的认证设备种类及认证方式。接着进至歩骤S73。
步骤S73中,用户设定对应该认证方式的特定网站的账号和/或该网站的属性。该网站的属性可为网站的描述、该认证信息装置的安全等级、联机方式和/或认证运算数据。认证系统可将上述建立于用户的认证专用区域,从而有利用户随时进行修改。接着进至歩骤S74。
步骤S74中,向特定网站确认用户是否为合法用户。若用户为合法用户,则完成设定。若用户为非合法用户,则返回步骤S73请求用户重新设定。
参阅图8,是本发明的网络用户身份认证方法另一具体实施例。如图所示,该网络用户身份认证方法包含以下步骤。
步骤S80中,令用户连接特定网站并输入账号密码,由特定网站对用户身份作第一次确认。接着进至步骤S81。
步骤S81中,特定网站主动与认证平台联机并请求认证平台对用户进行第二次身份认证。接着进至步骤S82。
步骤S82中,由认证平台于数据库中搜寻用户所输入的该组账号所对应的特定认证设备,而特定认证设备的数据是经由上述图6的方法所提供。接着进至步骤S83。步骤S83中,认证平台取得该特定认证设备的数据后,主动与该
用户进行联机并请求用户输入认证信息。接着进至步骤S84。
步骤S84中,认证平台比对用户输入的认证信息是否由该特定认证设备所提供。若认证信息确由特定认证设备所提供,则进至步骤S85。若认证信息非由特定认证设备所提供,则进至步骤S86。步骤S85中,通知特定网站允许用户登录。步骤S86中,通知特定网站拒绝用户登录。
因此,通过上述实施例的说明可知本发明的网络用户身份认证方法能适用于不同的网站,并提供多种认证来源、认证领域及认证方法,确保使用者连接网站时的安全性、方便性并降低网络服务业者建构安全认证机制的成本。
通过前述本发明的网络用户身份验证系统与方法,可实现以下技术效果。
(1) 解决账号密码外泄所产生的信息安全风险。
(2) 减少使用者进行身份认证时的不便利。
(3) 降低网络服务业者建构安全认证机制的成本。
综上所述,本发明的网络用户身份验证系统与方法,提供一种能适用于不同网站系统、不同认证方式与不同认证来源的通用型网络安全认证平台,能减少一般网络服务的用户须使用多种不同认证机制的不便利性,解决网络账号密码外泄的信息安全风险以及降低网站个别建置安全认证机制的成本。
上述实施例仅为例示性说明本发明的原理及其功效,而非用于限制本发明。任何本领域的技术人员均可在不违背本发明的精神及范畴下,对上述实施例进行修饰与变化。
权利要求
1、一种网络用户身份验证系统,应用于网络系统中,其特征在于,该网络用户身份验证系统包括客户端装置,具有网络联机功能;网站,提供该客户端装置网络服务;以及认证系统,用以对连接该网站的该客户端装置的用户进行身份认证,其中,当该客户端装置连接该网站时,该网站会通知该认证系统对该客户端装置的用户进行身份认证,令该认证系统请求该客户端装置输入认证信息,以由该认证系统比对该认证信息并将认证结果传回该网站。
2、 根据权利要求l所述的网络用户身份验证系统,其特征在于, 该认证系统进一步包括联机控制单元,通过该网络系统与该客户端装置及该网站进行连 接并传递数据;认证数据管理单元,用以设定该客户端装置及该网站的各项认证 属性数据;数据库单元,用以储存该认证属性数据;以及 认证信息比对单元,用以将该客户端装置输入的认证信息与该认 证属性数据进行比对。
3、 根据权利要求2所述的网络用户身份验证系统,其特征在于 该客户端装置进一步包含认证信息装置,用以产生认证信息,使该客 户端装置提供该认证信息予该认证系统。
4、 根据权利要求3所述的网络用户身份验证系统,其特征在于 该认证属性数据为该认证信息装置的种类、该网站的账号和/或该网站 的属性。
5、 根据权利要求3所述的网络用户身份验证系统,其特征在于 该认证信息装置为生物特征辨识装置、认证卡片、电话、行动通讯装 置、通用串行总线令牌、动态密码设备和/或随机密码产生设备。
6、 根据权利要求l所述的网络用户身份验证系统,其特征在于 该客户端装置为桌上型计算机、笔记型计算机、个人数字助理和/或移 动电话。
7、 根据权利要求l所述的网络用户身份验证系统,其特征在于 该网络系统为因特网、组织内网络系统、组织间网络系统、局域网络 系统、广域网络系统和/或虚拟私人网络系统。
8、 根据权利要求l所述的网络用户身份验证系统,其特征在于 该网站为电子商务网站、入口网站、社群交友网站、在线娱乐网站、 论坛、政府网站、学术网站、拍卖网站、电信服务网站和/或金融服务 网站。
9、 根据权利要求l所述的网络用户身份验证系统,其特征在于 该客户端装置进一步具有数据处理与存取功能。
10、 一种网络用户身份认证方法,应用于网络系统中,其特征在 于,该网络用户身份认证方法包括(1) 令客户端装置通过该网络系统与网站连接;(2) 令该网站通知认证系统对该客户端装置的用户进行身份认证;(3) 令该认证系统请求该客户端装置输入认证信息;(4) 令该认证系统比对该认证信息;以及(5) 令该认证系统将认证结果传回该网站。
11、 一种网络用户身份认证方法,应用于网络系统中,其特征在 于,该网络用户身份认证方法包括(1 )令客户端装置通过该网络系统与网站连接;(2)令该网站通知认证系统对该客户端装置的用户进行身份认证;(3) 令该认证系统确认对应该客户端装置的认证信息装置,其中, 该认证信息是由一与该客户端装置搭接的认证信息装置所提供;(4) 令该认证系统请求该客户端装置输入认证信息;(5) 令该认证系统比对该认证信息与该认证信息装置是否有对应关 系;以及(6) 令该认证系统将认证结果传回该网站。
12、 根据权利要求11所述的网络用户身份认证方法,其特征在于 该认证信息装置为生物特征辨识装置、认证卡片、电话、行动通讯装 置、通用串行总线令牌(USBToken)、动态密码设备和/或随机密码产生 设备。
13、 根据权利要求10或第11所述的网络用户身份认证方法,其 特征在于该步骤(l)进一歩包括(1-1)令该客户端装置登录该认证系统设定认证属性数据;以及 (1-2)令该客户端装置与该网站连接。
14、 根据权利要求13所述的网络用户身份认证方法,其特征在于 该步骤(l-l)进一步包括(1-1-1) 令该客户端装置登录该认证系统;(1-1-2) 令该客户端装置和/或该客户端装置与该认证系统以外的 具有网络通讯与数据处理功能的装置,设定该认证信息装置的种类、 该网站的账号和/或该网站的属性;以及(1-1-3) 令该认证系统向该网站确认该客户端装置。
15、 根据权利要求14所述的网络用户身份认证方法,其特征在于 该网站的属性为网站的描述、该认证信息装置的安全等级、联机方式 和/或认证运算数据。
16、 根据权利要求10或11所述的网络用户身份认证方法,其特 征在于该客户端装置为桌上型计算机、笔记型计算机、个人数字助理和/或移动电话。
17、 根据权利要求10或11所述的网络用户身份认证方法,其特征在于该网络系统为因特网、组织内网络系统、组织间网络系统、 局域网络系统、广域网络系统和/或虚拟私人网络系统。
18、 根据权利要求10或11所述的网络用户身份认证方法,其特 征在于该网站为电子商务网站、入口网站、社群交友网站、在线娱 乐网站、论坛、政府网站、学术网站、拍卖网站、电信服务网站和/或 金融服务网站。
全文摘要
本发明公开了一种网络用户身份验证系统与方法,包括令客户端装置通过网络与网站连接,并通过网站通知认证系统对客户端装置的用户进行身份认证,接着通过认证系统请求客户端装置输入认证信息,并令认证系统比对该认证信息,之后,通过认证系统将认证结果传回网站。据此,可解决现有网站的用户须使用多种认证机制的不便利性,以及降低网站个别建置安全认证机制的成本。
文档编号H04L9/32GK101651541SQ20081014628
公开日2010年2月17日 申请日期2008年8月14日 优先权日2008年8月14日
发明者叶振忠, 张瑞文, 邱俊祺, 郑年华, 郑鸣冈, 陈祥义, 黄渠发 申请人:中华电信股份有限公司