验证系统的制作方法

专利名称：验证系统的制作方法
技术领域：
本发明涉及一种验证系统，更特别地涉及一种适合于客户机(用户)和在线服务(诸如互联网购物)内容(例如交易内容)的验证的验证系统，所述在线服务由在线服务服务器经由诸如英特网的网络提供给客户机终端。
背景技术：
当在线服务服务器经由诸如英特网的网络提供诸如互联网购物的在线服务给客户机终端时，需要验证请求了这种服务的客户机是预先在在线服务服务器上注册的授权客户机，以防止非法交易。
作为验证客户机的相关技术，已知一种验证系统，其中使用预先为客户机设定的固定密码验证客户机。
在这种基于固定密码的验证系统中，存在不经常改变的固定密码一旦通过按键记录器(key logger)等泄露就可能被非法使用的问题。
作为处理客户机/服务器系统中验证客户机中这种潜在危险的技术，已知一种使用一次性密码的验证系统。
日本专利公开(Kokai)No.2002-259344A中揭示了一种使用一次性密码的验证系统，其中一次性密码与当前时间同步。在该系统中，客户机终端和服务服务器独立地基于客户机ID(在线服务用户ID)，固定密码，当前时间，使用安全哈希函数(hash function)计算一次性密码。使用这样计算的一次性密码验证客户机。
在这种验证系统中，由于一次性密码经常根据时间改变，可以减少一次性密码一旦通过按键记录器等泄露后被再次使用的机会。

发明内容
上述使用一次性密码的传统验证系统存在下列问题。
在第一问题中，系统不区分登录到在线服务服务器时用于客户机验证的一次性密码和用于验证提供的在线服务内容(交易内容)的交易内容验证的一次性密码。从而，如果在实时的基础上通过间谍软件之类泄露了用于客户机验证的一次性密码，泄露的客户机验证一次性密码可能被怀有恶意的第三方非法地用于非法行为，诸如篡改交易内容。
在第二问题中，由于为了客户机的方便，在在线服务客户机中输入的一次性密码包括不多于几位的字符，所以一次性密码很弱，并且不能输入具有更多数量的字符的较强的一次性密码。
从而本发明的第一目的是提供一种验证系统，其中客户机终端可以安全地从在线服务服务器接收在线服务。
本发明的第二目的是提供一种验证系统，其中可以容易地输入具有大量字符从而强度更大的一次性密码。
为了实现上述目的，在一个方面，本发明提供一种验证系统，其包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码。
一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证。
该便携式终端设备包括用于分别地将登录验证一次性密码的获取请求和交易内容验证一次性密码的获取请求发送到一次性密码服务器，从一次性密码服务器分别地接收登录验证一次性密码和交易内容验证一次性密码，并显示这些密码的装置，这些密码在信息终端设备从在线服务服务器接收在线服务时是必需的。
在另一个方面，本发明提供一种验证系统，其包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码。
一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证。
该信息终端设备包括用于发送登录验证屏幕获取请求到在线服务服务器，接收包括一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的口令的登录验证屏幕，显示接收的登录验证屏幕，将接收的口令发送到便携式终端设备，并从便携式终端设备接收作为因子使用口令而生成的登录验证一次性密码的装置；用于发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易内容的交易验证屏幕并显示交易验证屏幕的装置，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；以及用于将交易准备信息发送到便携式终端设备，并接收通过在便携式终端设备中使用与一次性密码服务器共享的公用密钥解码交易准备信息而提取的交易内容验证一次性密码。
在另一个方面，本发明提供一种验证系统，其包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码。
一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证。
该信息终端设备包括用于发送登录验证屏幕获取请求到在线服务服务器，接收增加了口令和口令的二维代码的登录验证屏幕，并显示接收的登录验证屏幕的装置，该口令是一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；用于发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易准备信息的二维代码的交易验证屏幕并显示接收的交易验证屏幕的装置，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的。
该便携式终端设备包括用于通过解码信息终端设备的显示屏幕上显示的口令的二维代码而还原口令，并显示通过作为因子使用口令生成的登录验证一次性密码的装置，以及用于通过解码信息终端设备的显示屏幕上显示的交易准备信息的二维代码还原交易准备信息，通过使用公用密钥解码交易准备信息而提取交易内容验证一次性密码和交易内容，并显示交易内容验证一次性密码和交易内容的装置。
在还有另一个方面，本发明提供一种验证系统，其包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码。
一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证。
该便携式终端设备包括用于分别地将登录验证一次性密码的获取请求和交易内容验证一次性密码的获取请求发送到一次性密码服务器，从一次性密码服务器分别地接收登录验证一次性密码和交易内容验证一次性密码，并显示这些密码的装置，这些密码在信息终端设备从在线服务服务器接收在线服务时是必需的。
该信息终端设备包括用于发送登录验证屏幕获取请求到在线服务服务器，接收包括一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的口令的登录验证屏幕，显示接收的登录验证屏幕，将接收的口令发送到便携式终端设备，并从便携式终端设备接收作为因子使用口令而生成的登录验证一次性密码的装置；用于发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易内容的交易验证屏幕并显示交易验证屏幕的装置，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；以及用于将交易准备信息发送到便携式终端设备，并接收通过在便携式终端设备中使用与一次性密码服务器共享的公用密钥解码交易准备信息而提取的交易内容验证一次性密码。
在还有另一个方面，本发明提供其包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码。
一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证。
该便携式终端设备包括用于分别地将登录验证一次性密码的获取请求和交易内容验证一次性密码的获取请求发送到一次性密码服务器，从一次性密码服务器分别地接收登录验证一次性密码和交易内容验证一次性密码，并显示这些密码的装置，这些密码在信息终端设备从在线服务服务器接收在线服务时是必需的。
该信息终端设备包括用于发送登录验证屏幕获取请求到在线服务服务器，接收增加了口令和口令的二维代码的登录验证屏幕，并显示接收的登录验证屏幕的装置，该口令是一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；用于发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易准备信息的二维代码的交易验证屏幕并显示接收的交易验证屏幕的装置，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的。
该便携式终端设备包括用于通过解码信息终端设备的显示屏幕上显示的口令的二维代码而还原口令，并显示通过作为因子使用口令生成的登录验证一次性密码的装置，以及用于通过解码信息终端设备的显示屏幕上显示的交易准备信息的二维代码还原交易准备信息，通过使用公用密钥解码交易准备信息而提取交易内容验证一次性密码和交易内容，并显示交易内容验证一次性密码和交易内容的装置。
在还有另一个方面，一种验证系统，其包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码。
一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证。
该信息终端设备包括用于发送登录验证屏幕获取请求到在线服务服务器，接收包括一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的口令的登录验证屏幕，显示接收的登录验证屏幕，将接收的口令发送到便携式终端设备，并从便携式终端设备接收作为因子使用口令而生成的登录验证一次性密码的装置；用于发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易内容的交易验证屏幕并显示交易验证屏幕的装置，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；以及用于将交易准备信息发送到便携式终端设备，并接收通过在便携式终端设备中使用与一次性密码服务器共享的公用密钥解码交易准备信息而提取的交易内容验证一次性密码。
该信息终端设备包括用于发送登录验证屏幕获取请求到在线服务服务器，接收增加了口令和口令的二维代码的登录验证屏幕，并显示接收的登录验证屏幕的装置，该口令是一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；用于发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易准备信息的二维代码的交易验证屏幕并显示接收的交易验证屏幕的装置，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的。
并且该便携式终端设备包括用于通过解码信息终端设备的显示屏幕上显示的口令的二维代码而还原口令，并显示通过作为因子使用口令生成的登录验证一次性密码的装置，以及用于通过解码信息终端设备的显示屏幕上显示的交易准备信息的二维代码还原交易准备信息，通过使用公用密钥解码交易准备信息而提取交易内容验证一次性密码和交易内容，并显示交易内容验证一次性密码和交易内容的装置。
在还有另一个方面，本发明提供一种验证系统，其包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码，其中，一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证。
该便携式终端设备包括用于分别地将登录验证一次性密码的获取请求和交易内容验证一次性密码的获取请求发送到一次性密码服务器，从一次性密码服务器分别地接收登录验证一次性密码和交易内容验证一次性密码，并显示这些密码的装置，这些密码在信息终端设备从在线服务服务器接收在线服务时是必需的。
该信息终端设备包括用于发送登录验证屏幕获取请求到在线服务服务器，接收包括一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的口令的登录验证屏幕，显示接收的登录验证屏幕，将接收的口令发送到便携式终端设备，并从便携式终端设备接收作为因子使用口令而生成的登录验证一次性密码的装置；用于发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易内容的交易验证屏幕并显示交易验证屏幕的装置，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；以及用于将交易准备信息发送到便携式终端设备，并接收通过在便携式终端设备中使用与一次性密码服务器共享的公用密钥解码交易准备信息而提取的交易内容验证一次性密码。
该信息终端设备包括用于发送登录验证屏幕获取请求到在线服务服务器，接收增加了口令和口令的二维代码的登录验证屏幕，并显示接收的登录验证屏幕的装置，该口令是一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；用于发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易准备信息的二维代码的交易验证屏幕并显示接收的交易验证屏幕的装置，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的。
该便携式终端设备包括用于通过解码信息终端设备的显示屏幕上显示的口令的二维代码而还原口令，并显示通过作为因子使用口令生成的登录验证一次性密码的装置，以及用于通过解码信息终端设备的显示屏幕上显示的交易准备信息的二维代码还原交易准备信息，通过使用公用密钥解码交易准备信息而提取交易内容验证一次性密码和交易内容，并显示交易内容验证一次性密码和交易内容的装置。
优选的，一次性密码服务器包括用于经由在线服务服务器从信息终端设备接收包括登录验证一次性密码的登录验证请求和包括交易内容验证一次性密码的交易验证请求，并基于登录验证一次性密码的强度和交易内容验证一次性密码的强度识别接收的登录验证一次性密码和交易内容验证一次性密码的类型的装置。
优选的，信息终端设备和便携式终端设备中的每个都包括无线接口或IC卡接口，用于使用无线信号发送和接收口令，登录验证一次性密码，交易准备信息，以及交易内容验证一次性密码。
本发明的效果根据本发明，一次性密码服务器响应于对于登录验证一次性密码的请求的接收发送登录验证一次性密码，同时它响应于对于交易验证一次性密码的请求的接收发送交易验证一次性密码。替代地，信息终端设备读取并解码移动终端设备上显示的二维代码，并接着根据解码的信息中包括的识别比特序列生成登录验证一次性密码或交易内容验证的一次性密码。从而，分开地生成登录验证一次性密码和交易内容验证的一次性密码。结果是，可以解决使用一次性密码的传统验证系统的第一问题，即，这种一次性密码通过间谍软件之类的使用的实时泄露并用于非法交易验证目的的可能性。从而本发明使得可以安全地提供在线服务。
此外，信息终端设备进行登录验证和交易内容验证需要的一次性密码从移动终端设备发送。以这种方式，可以采用由大量字符构成从而具有较大强度的一次性密码。从而，可以解决使用一次性密码的传统验证系统的第二问题，并且可以提供高度安全的在线服务。
通过基于强度识别一次性密码服务器接收的验证请求中包括的一次性密码的类型，一次性密码服务器可以根据一次性密码的类型执行验证流程。例如，可以例如根据移动终端设备的射频条件，移动终端设备是否包括IC卡或无线通信端口，或者移动终端设备是否具有摄像机功能选择在线服务用户要获取的一次性密码的类型，并可以接着根据类型执行验证流程。


图1显示了本发明的验证系统的结构。
图2(A)、(B)显示了本发明的验证系统中在线服务服务器以及一次性密码服务器的详细结构的示例。
图3(A)、(B)显示了本发明的验证系统中信息终端设备和便携式终端设备的详细结构的示例。
图4(A)-(D)显示了存储在本发明的验证系统中的数据库中的信息的示例。
图5显示了本发明的验证系统中的登录验证屏幕显示流程的示例。
图6显示了本发明的验证系统中的登录验证屏幕的示例。
图7显示了本发明的验证系统中的登录OTP(下载方法)获取流程的示例。
图8显示了本发明的验证系统中的登录OTP(双向通信方法)获取流程的示例。
图9显示了本发明的验证系统中的登录OTP(单向通信方法)获取流程的示例。
图10显示了本发明的验证系统中的登录验证流程的示例。
图11显示了本发明的验证系统中的交易验证屏幕显示流程的示例。
图12显示了本发明的验证系统中的交易验证屏幕的示例。
图13显示了本发明的验证系统中的交易OTP(下载方法)获取流程的示例。
图14显示了本发明的验证系统中的交易OTP(双向通信方法)获取流程的示例。
图15显示了本发明的验证系统中的交易OTP(单向通信方法)获取流程的示例。
图16显示了本发明的验证系统中的交易验证流程的示例。
图17显示了与本发明的验证系统中的交易相关的流程的要点。
具体实施例方式
在下面，将参考附图描述本发明的验证系统的实施例。
图1显示了根据本发明的一个实施例的验证系统的整体框图。
验证系统包括提供诸如互联网购物的在线服务的在线服务服务器1；生成用于在线服务的一次性密码的一次性密码服务器2；接收在线服务的信息终端设备3，以及信息终端设备3的用户拥有的便携式终端设备4。系统的这些组件经由诸如英特网的网络5连接。
数据库6连接到一次性密码服务器2，数据库6中例如存储了关于接收在线服务的用户的信息。
在线服务服务器1对应于提供诸如互联网购物的在线服务的互联网服务器。一次性密码服务器2对应于生成一次性密码的互联网服务服务器。
信息终端设备3由接收在线服务的用户使用的个人计算机之类构成。它实现为在线服务客户机7。
便携式终端设备4由接收在线服务的用户拥有的蜂窝呼叫之类构成。它实现为一次性密码客户机8。
图2显示了在线服务服务器1以及一次性密码服务器2的详细的框图。
在线服务服务器1包括CPU 101以及存储了在线服务程序103的存储器102。在线服务器1还包括显示单元104，输入单元105，以及网络通信单元106。
一次性密码服务器2包括CPU 201以及存储了一次性密码生成服务程序203的存储器202。
一次性密码服务器2还包括显示单元204，输入单元205，以及网络通信单元206，并且它可以访问数据库6。
图3显示了信息终端设备3和便携式终端设备4的详细的框图。
信息终端设备3包括CPU 301以及存储了可以接收在线服务的在线服务客户机7的存储器302。在线服务客户机7例如由互联网浏览器303构成。信息终端设备3还包括显示单元304，输入单元305，IC卡读卡器306，无线通信端口307，以及网络通信单元308。
便携式终端设备4包括CPU 401以及存储了一次性密码客户机8的存储器402。一次性密码客户机8由例如互联网浏览器403，一次性密码生成程序404，以及QR代码解码器405构成。便携式终端设备4还包括呼叫所需的呼叫功能单元，诸如呼叫电路406，以及可以使用弱无线电波发送存储的信息到外部IC卡读卡器以及从外部IC卡读卡器接收信息的IC卡407。便携式终端设备进一步包括显示单元408，诸如袖珍键盘的输入单元409，摄像机410，以及无线通信端口411。
IC卡407存储一次性密码生成程序404生成的一次性密码(此后称为“OTP”)。当将便携式终端设备4放置在信息终端设备3的IC卡读卡器306的读取位置上方时，通过弱无线电波将存储的OTP传输到信息终端设备3。
当读取在信息终端设备3的显示单元304上显示的QR代码(二维条形码)时使用摄像机410。
当经由信息终端设备3的无线通信端口307将OTP生成程序404生成的OTP发送到信息终端设备3时使用无线通信端口411。
图4显示了存储在数据库6中的信息的示例，诸如在线服务用户表6001，口令(challenge)表6002，登录表6003，以及交易表6004。
在线服务用户表6001存储用户ID，固定密码，以及公用密钥。
口令表6002存储一次性密码服务器2生成的口令以及生成的时间。
登录表6003存储按照用户ID存储用于登录的OTP的生成时间以及用于登录的OTP。
用于登录的OTP指的是用于接收在线服务的用户的验证的那些OTP。在下面，将它们称为登录OTP。
交易表6004按照用户ID存储交易内容的接收时间，交易内容，以及用于交易内容验证的OTP。
这里的“用于交易内容验证的OTP”指的是根据提供的在线服务内容(交易内容)变化的那些OTP。在下面将它们称为交易OTP。
根据本发明，关于登录OTP和交易OTP有三种方法。在下载方法中，一次性密码服务器2生成OTP并且将生成的OTP下载到便携式终端设备4。在双向通信方式中，根据来自信息终端设备3的指令在便携式终端设备4中生成OTP，并且将它们返回到使用它们的信息终端设备3。在单向通信方法中，用便携式终端设备4中的摄像机拍摄信息终端设备3上显示的QR代码并进行解码，并显示基于解码结果显示生成的OTP。
下载方法在移动终端设备3具有良好的无线电条件并且可以与一次性密码服务器2通信的条件下可用。
双向通信方法在允许信息终端设备3的IC卡407以及IC卡读卡器306的组合，或者便携式终端设备4的无线通信端口411和信息终端设备3的无线通信端口307的组合的条件下可用。
双向通信方法允许在线服务客户机终端上的OTP输入屏幕上的大量字符构成的OTP的自动输入。结果是，可以以高强度输入OTP并进行安全和鲁棒的验证流程。
单向通信方法在便携式终端设备4具有可用的内置摄像机的条件下可用。
下面，将描述在本发明的验证系统中使用的OTP的特征和类型。
登录OTP(下载方法)，登录OTP(双向通信方法)以及登录OTP(单向通信方法)之间的强度不同。
交易OTP(下载方法)，交易OTP(双向通信方法)以及交易OTP(单向通信方法)之间的强度不同。
OTP的强度不同指的是例如OTP具有不同数量的字符。
即，当由数量a的字符(诸如6个数字字符)构成登录OTP(下载方法)，由数量b的字符(诸如32个数字字符)构成登录OTP(双向通信方法)，以及由数量c的字符(诸如8个数字字符)构成登录OTP(单向通信方法)时，a，b，c的值不同。
此外，当由数量x的字符(诸如4个数字字符)构成交易OTP(下载方法)，由数量y的字符(诸如32个数字字符)构成交易OTP(双向通信方法)，以及由数量z的字符(诸如6个数字字符)构成交易OTP(单向通信方法)时，x，y，z的值不同。
需要指出密码不仅仅局限于数字字符的序列。
将描述本发明的验证系统的初始状态。
在初始状态，数据库6具有存储在如图4所示在线服务用户表6001中的用户ID，固定密码，以及公用密钥。
便携式终端设备4已经存储了对应于在线服务用户的设备拥有者的ID，以及共享的秘密信息。在下面，将共享的秘密信息描述为由与固定密码形成一对的公用密钥K构成。
替代地，使用固定密码的验证流程以及OTP计算流程，和使用公用密钥密码系统的编码/解码流程以及MAC(消息认证码)增加/验证流程可以使用公共密钥加密系统进行。
参考图5描述本发明的验证系统执行的流程中登录验证屏幕显示流程的示例。
在步骤501，在线服务客户机7将登录验证屏幕获取请求发送到在线服务服务器1。
在步骤502，在线服务服务器1将口令获取请求发送到一次性密码服务器2。
在步骤503，一次性密码服务器2根据口令响应系统随机地生成口令，在数据库6中的口令表6002中存储口令及其生成时间，接着将口令识别比特序列以及口令的组合比特序列编码为QR代码。
在步骤504，在步骤504，一次性密码服务器2将口令和QR代码发送到在线服务服务器1。
在步骤505，在线服务服务器1将口令和登录验证屏幕发送到在线服务客户机7。
在步骤506，在线服务客户机7使得登录验证屏幕600显示在信息终端设备3的显示单元304上，该屏幕包括用于登录OTP的获取的QR代码601，ID输入域602，登录OTP输入域603，登录验证流程输入按钮604，如图6所示。
QR代码601由便携式终端设备4中的摄像机410读取，以使用QR代码601中包括的口令生成登录OTP。
在下面，参考图7描述本发明的验证系统执行的流程中登录OTP(下载方法)获取流程的示例。
在步骤701，一次性密码客户机8发送包括一组ID和固定密码的登录OTP获取请求到一次性密码服务器2。
在步骤702，如果接收的ID和固定密码组存储在数据库6的在线服务用户表6001中，一次性密码服务器2随机生成登录OTP(下载方法)，并将ID，OTP的生成时间，以及登录OTP(下载方法)存储在数据库6的登录表6003中。
在步骤703，一次性密码服务器2发送登录OTP(下载方法)到一次性密码客户机8。
在步骤704，一次性密码客户机8使得ID和登录OTP(下载方法)显示在便携式终端设备4的显示单元408上。
在步骤705，在线服务客户机7接收在线服务用户在图6所示的登录验证屏幕600上手动输入的ID和登录OTP(下载方法)。
在下面，参考图8描述本发明的验证系统执行的流程中登录OTP(双向通信方法)获取流程的示例。
当前双向通信方法中的登录OTP获取流程是在便携式终端设备4中包括的IC卡407和信息终端设备3的IC卡读卡器306的组合，或者便携式终端设备4的无线通信端口411和信息终端设备3的无线通信端口307的组合的基础上执行的。
在步骤801，在线服务客户机7发送口令到一次性密码客户机8。口令是在图5的步骤505中从一次性密码服务器2接收并接着存储在在线服务客户机7中。
在步骤802，一次性密码客户机8从口令和固定密码计算登录OTP(双向通信方法)。
例如，使用安全哈希函数从口令和固定密码计算安全哈希值。接着，使用哈希函数从安全哈希值计算由数量b的数字字符构成的字符串，并接着作为登录OTP(双向通信方法)使用。
在步骤803，一次性密码客户机8或者使用便携式终端设备4中包括的IC卡407和信息终端设备3的IC卡读卡器306的组合，或者使用便携式终端设备4的无线通信端口411和信息终端设备3的无线通信端口307的组合发送ID和登录OTP(双向通信方法)到在线服务客户机7。
在线服务客户机7接着使得接收的ID和登录OTP(双向通信方法)显示在登录验证屏幕600上。在此情况下，在线服务用户不需要手动输入ID和登录OTP(双向通信方法)。
在下面，参考图9描述本发明的验证系统执行的流程中登录OTP(单向通信方法)获取流程的示例。
在单向通信方法中的登录OTP获取流程中，使用便携式终端设备4中内置的摄像机410拍摄在信息终端设备3的显示单元304上显示的QR代码，并接着通过解码QR代码生成登录OTP并显示。
在步骤901，一次性密码客户机8使用摄像机410读取在线服务客户机7显示的QR代码(图6的601)。客户机接着使用QR代码解码器将QR代码解码。如果解码的信息的初始比特序列与口令识别比特序列一致，则认为口令识别比特序列随后的解码的信息的比特序列是口令并在步骤902和后续的步骤中使用。
在步骤902，一次性密码客户机8由口令和固定密码计算登录OTP(单向通信方法)。
例如，使用哈希函数从口令和固定密码计算安全哈希值，接着使用哈希函数从安全哈希值计算由数量c的数字字符构成的字符串，并作为登录OTP(单向通信方法)使用。
在步骤903，一次性密码客户机8显示ID和登录OTP(单向通信方法)。
在步骤904，在线服务客户机7接收在线服务用户在图6所示的登录验证屏幕600上手动输入的ID和登录OTP(单向通信方法)。
替代地，也可以使用便携式终端设备4中包括的IC卡407和信息终端设备3的IC卡读卡器306的组合，或者使用便携式终端设备4的无线通信端口411和信息终端设备3的无线通信端口307的组合在登录验证屏幕600上自动输入ID和登录OTP(单向通信方法)。
在下面，参考图10描述本发明的验证系统执行的流程中登录验证流程的示例。
在步骤1001，在线服务客户机7发送登录验证请求到在线服务服务器1，请求包括经由登录验证屏幕600输入的ID和登录OTP的组以及从在线服务服务器1接收的口令。
步骤1001在在线服务用户按下登录验证流程输入按钮的情况下执行。
在步骤1002，在线服务服务器1发送登录验证请求到一次性密码服务器2，请求包括ID，登录OTP以及口令的组。
在步骤1003，从接收的登录OTP的强度确定OTP的类型，并接着根据OTP的类型进行登录验证流程。
“根据OTP的类型的登录验证流程”指的是(a)如果一次性密码服务器2接收的登录OTP的强度等于登录OTP(下载方法)的强度，接收的ID和登录OTP的组存储在数据库6的登录表6003中，并且当前时间是处于从OTP的生成时间开始的特定持续时间内，则认为登录验证成功。
(b)如果一次性密码服务器2接收的登录OTP的强度等于登录OTP(双向通信方法)的强度，接收的口令存储在数据库6的口令表6002中，当前时间是处于从口令的生成时间开始的特定持续时间内，并且接收的登录OTP等于从对应于接收的ID的口令和固定密码计算的登录OTP(双向通信方法)，则认为登录验证是成功的，其中固定密码是从数据库6的在线服务用户表6001获取的。
例如，使用安全哈希函数从口令和固定密码计算安全哈希值。接着，使用哈希函数从安全哈希值计算由数量b的数字字符构成的字符串，并接着作为登录OTP(双向通信方法)使用。
(c)如果一次性密码服务器2接收的登录OTP的强度等于登录OTP(单向通信方法)的强度，接收的口令存储在数据库6的口令表6002中，当前时间是处于从口令的生成时间开始的特定持续时间内，并且接收的登录OTP等于从对应于接收的ID的口令和固定密码计算的登录OTP(单向通信方法)，则认为登录验证是成功的，其中固定密码是从数据库6的在线服务用户表6001获取的。
例如，使用安全哈希函数从口令和固定密码计算安全哈希值，接着使用哈希函数从安全哈希值计算由数量c的数字字符构成的字符串，并作为登录OTP(单向通信方法)使用。
在步骤1004，一次性密码服务器2从数据库6的口令表6002中删除包含接收的口令的记录，并进一步从数据库6的登录表6003中删除包含接收的ID的记录。
在下面，参考图11描述本发明的验证系统执行的流程中交易验证屏幕显示流程的示例。
在步骤1101，在线服务客户机7发送交易验证屏幕获取请求到在线服务服务器1，该请求包括ID和交易内容的组。
交易内容指的是关于产品的买/卖，银行转帐等等的信息。
在步骤1102，在线服务服务器1发送交易准备请求到一次性密码服务器2，该请求包括ID和交易内容的组。
在步骤1103，一次性密码服务器2将交易OTP(下载方法)设置为空(NULL)值，随机生成交易OTP(双向通信方法)和交易OTP(单向通信方法)，并将ID，交易内容接收时间，交易内容，交易OTP(下载方法)，交易OTP(双向通信方法)和交易OTP(单向通信方法)存储在数据库6的交易表6004中。一次性密码服务器2进一步从数据库6的在线服务用户表6001中获取对应于接收的ID的公用密钥K，使用公用密钥K将MAC增加到由交易内容，交易OTP(双向通信方法)和交易OTP(单向通信方法)的组合比特序列构成的纯文本上。MAC由MAC生成算法生成。一次性密码服务器2接着使用公用密钥加密系统并使用公用密钥对该纯文本进行加密。一次性密码服务器2接着将交易准备信息识别比特序列和交易准备信息的组合比特序列编码为QR代码用于交易OTP的获取。
需要指出，交易准备信息识别比特序列是不同于口令识别比特序列的比特序列。
在步骤1104，一次性密码服务器2发送交易准备信息和QR代码到在线服务服务器1。
在步骤1105，在线服务服务器1发送交易准备信息和交易验证屏幕到在线服务客户机7。
交易验证屏幕1200包括QR代码1201，交易内容1202，交易OTP输入域1203，以及交易验证流程输入按钮1204，如图12所示。
在步骤1106，在线服务客户机7显示交易验证屏幕1200。
在下面，参考图13描述本发明的验证系统执行的流程中交易OTP(下载方法)获取流程的示例。
在步骤1301，一次性密码客户机8发送交易OTP获取请求到一次性密码服务器2，该请求包括ID和固定密码的组。
在步骤1302，如果接收的ID和固定密码的组存储在数据库6的在线服务用户表6001中，一次性密码服务器2随机地生成交易OTP(下载方法)，从数据库6的交易表6004中存储的具有接收的ID的记录获取交易内容，并接着存储交易OTP(下载方法)。
在步骤1303，一次性密码服务器2发送交易内容和交易OTP(下载方法)到一次性密码客户机8。
在步骤1304，一次性密码客户机8使得交易内容和交易OTP(下载方法)显示在显示单元408上。
在步骤1305，在线服务客户机7接收在线服务用户在交易验证屏幕1200上输入的交易OTP(下载方法)。
需要指出，步骤1305在在线服务用户确认一次性密码客户机8上显示的交易内容的情况下执行。
在下面，参考图14描述本发明的验证系统执行的流程中交易OTP(双向通信方法)获取流程的示例。
双向通信方法中的交易OTP获取流程是使用便携式终端设备4中包括的IC卡407和信息终端设备3的IC卡读卡器306的组合，或者便携式终端设备4的无线通信端口411和信息终端设备3的无线通信端口307的组合执行的。
在步骤1401，在线服务客户机7发送交易准备信息到一次性密码客户机8。
在步骤1402，在利用公共密钥K并使用公用密钥加密系统成功解码交易准备信息并且MAC验证成功的情况下，一次性密码客户机8显示交易内容。
在步骤1403，一次性密码客户机8发送交易OTP(双向通信方法)到在线服务客户机7。
需要指出，步骤1403是在在线服务用户确认一次性密码客户机8上显示的交易内容之后，通过将便携式终端设备4中包括的IC卡407靠近信息终端设备3的IC卡读卡器306，或者通过将便携式终端设备4的无线通信端口411靠近信息终端设备3的无线通信端口307而启动的。
在下面，参考图15描述本发明的验证系统执行的流程中交易OTP(单向通信方法)获取流程的示例。
在单向通信方法中的交易OTP获取流程中，使用便携式终端设备4中的摄像机410拍摄在信息终端设备3的显示单元304上显示的QR代码，并接着通过解码QR代码生成OTP并显示。
在步骤1501，一次性密码客户机8使用摄像机410读取在线服务客户机7的显示单元304上显示的QR代码1201并解码。如果解码的信息的初始比特序列与交易准备信息识别比特序列一致，在步骤1502以及后续的步骤中将交易准备信息识别比特序列随后的解码的信息的比特序列使用作为交易准备信息。
替代地，如果口令和交易准备信息具有不同的比特长度，也可以基于比特长度确定在步骤901和步骤1501中解码的信息是否对应于口令或交易准备信息。
在步骤1502，如果一次性密码客户机8成功解码交易准备信息并成功验证了MAC，它使得交易内容和交易OTP(单向通信方法)显示在显示单元408上。
在步骤1503，在线服务客户机7接收在线服务用户在交易验证屏幕1200上由在线服务用户输入的交易OTP(单向通信方法)。
需要指出，步骤1503是在在线服务用户确认一次性密码客户机8上显示的交易内容之后进行的。
在下面，参考图16描述本发明的验证系统执行的流程中交易验证流程的示例。
在步骤1601，在线服务客户机7发送交易验证请求到在线服务服务器1，该请求包括ID，交易OTP，以及交易内容的组。
然而，需要指出，步骤1601是在在线服务用户按下交易验证流程输入按钮1204的情况下执行的。
在步骤1602，在线服务服务器1发送交易验证请求到一次性密码服务器2，该请求包括ID，交易OTP，以及交易内容的组。
在步骤1603，一次性密码服务器2基于接收的交易OTP的强度识别OTP的类型，并接着根据交易OTP的类型进行交易验证流程。
“根据OTP的类型的交易验证流程”指的是(a)如果一次性密码服务器2接收的交易OTP的强度等于交易OTP(下载方法)的强度，接收的ID，交易OTP(下载方法)以及交易内容的组存储在数据库6的交易表6004中，并且当前时间是处于从交易内容接收时间开始的特定持续时间内，则认为交易验证成功。
(b)如果一次性密码服务器2接收的交易OTP的强度等于交易OTP(双向通信方法)的强度，接收的ID，交易OTP(双向通信方法)以及交易内容的组存储在数据库6的交易表6004中，并且当前时间是处于从交易内容接收时间开始的特定持续时间内，则认为交易验证是成功的。
(c)如果一次性密码服务器2接收的交易OTP的强度等于交易OTP(单向通信方法)的强度，接收的ID，交易OTP(单向通信方法)以及交易内容的组存储在数据库6的交易表6004中，并且当前时间是处于从交易内容接收时间开始的特定持续时间内，则认为交易验证是成功的。
在步骤1604，一次性密码服务器2删除数据库6的交易表6004中包括接收的ID的记录。
图17显示了从信息终端设备3的交易内容的发送开始直到使用交易OTP的交易内容的执行的流程的要点。
流程3A涉及单向通信方法。
流程3B涉及下载方法。
流程7在一次性密码服务器2确认成功的交易验证之后执行。
在图17中，互联网服务器对应于在线服务服务器1和一次性密码服务器2；PC对应于信息终端设备3；而移动呼叫对应于便携式终端设备4。
尽管在前述实施例中二维代码包括QR代码，例如，也可以使用诸如Maxi代码，数据矩阵，PDF417，以及RSS混合的其他二维代码。
本发明也适合于将信息终端设备3和便携式终端设备4集成的PDA。
此外，本发明适用于通过数字电视广播在电视接收器上广告的产品的交易的执行。在此情况下，可以在电视接收器中合成等同于根据该实施例的信息终端设备3的功能，并且可以在遥控器中合成等同于根据该实施例的便携式终端设备4的功能。
权利要求
1.一种验证系统，其包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码，其中，一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证，该便携式终端设备包括用于分别地将登录验证一次性密码的获取请求和交易内容验证一次性密码的获取请求发送到一次性密码服务器，从一次性密码服务器分别地接收登录验证一次性密码和交易内容验证一次性密码，并显示这些密码的装置，这些密码在信息终端设备从在线服务服务器接收在线服务时是必需的。
2.一种验证系统，其包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码，其中，一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证，该信息终端设备包括用于发送登录验证屏幕获取请求到在线服务服务器，接收包括一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的口令的登录验证屏幕，显示接收的登录验证屏幕，将接收的口令发送到便携式终端设备，并从便携式终端设备接收作为因子使用口令而生成的登录验证一次性密码的装置；用于发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易内容的交易验证屏幕并显示交易验证屏幕的装置，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；以及用于将交易准备信息发送到便携式终端设备，并接收通过在便携式终端设备中使用与一次性密码服务器共享的公用密钥解码交易准备信息而提取的交易内容验证一次性密码。
3.一种验证系统，其包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码，其中，一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证，该信息终端设备包括用于发送登录验证屏幕获取请求到在线服务服务器，接收增加了口令和口令的二维代码的登录验证屏幕，并显示接收的登录验证屏幕的装置，该口令是一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；用于发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易准备信息的二维代码的交易验证屏幕并显示接收的交易验证屏幕的装置，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；并且该便携式终端设备包括用于通过解码信息终端设备的显示屏幕上显示的口令的二维代码而还原口令，并显示通过作为因子使用口令生成的登录验证一次性密码的装置，以及用于通过解码信息终端设备的显示屏幕上显示的交易准备信息的二维代码还原交易准备信息，通过使用公用密钥解码交易准备信息而提取交易内容验证一次性密码和交易内容，并显示交易内容验证一次性密码和交易内容的装置。
4.一种验证系统，其包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码，其中，一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证，该便携式终端设备包括用于分别地将登录验证一次性密码的获取请求和交易内容验证一次性密码的获取请求发送到一次性密码服务器，从一次性密码服务器分别地接收登录验证一次性密码和交易内容验证一次性密码，并显示这些密码的装置，这些密码在信息终端设备从在线服务服务器接收在线服务时是必需的；该信息终端设备包括用于发送登录验证屏幕获取请求到在线服务服务器，接收包括一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的口令的登录验证屏幕，显示接收的登录验证屏幕，将接收的口令发送到便携式终端设备，并从便携式终端设备接收作为因子使用口令而生成的登录验证一次性密码的装置；用于发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易内容的交易验证屏幕并显示交易验证屏幕的装置，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；以及用于将交易准备信息发送到便携式终端设备，并接收通过在便携式终端设备中使用与一次性密码服务器共享的公用密钥解码交易准备信息而提取的交易内容验证一次性密码。
5.一种验证系统，其包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码，其中，一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证，该便携式终端设备包括用于分别地将登录验证一次性密码的获取请求和交易内容验证一次性密码的获取请求发送到一次性密码服务器，从一次性密码服务器分别地接收登录验证一次性密码和交易内容验证一次性密码，并显示这些密码的装置，这些密码在信息终端设备从在线服务服务器接收在线服务时是必需的；该信息终端设备包括用于发送登录验证屏幕获取请求到在线服务服务器，接收增加了口令和口令的二维代码的登录验证屏幕，并显示接收的登录验证屏幕的装置，该口令是一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；用于发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易准备信息的二维代码的交易验证屏幕并显示接收的交易验证屏幕的装置，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；并且该便携式终端设备包括用于通过解码信息终端设备的显示屏幕上显示的口令的二维代码而还原口令，并显示通过作为因子使用口令生成的登录验证一次性密码的装置，以及用于通过解码信息终端设备的显示屏幕上显示的交易准备信息的二维代码还原交易准备信息，通过使用公用密钥解码交易准备信息而提取交易内容验证一次性密码和交易内容，并显示交易内容验证一次性密码和交易内容的装置。
6.一种验证系统，其包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码，其中，一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证，该信息终端设备包括用于发送登录验证屏幕获取请求到在线服务服务器，接收包括一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的口令的登录验证屏幕，显示接收的登录验证屏幕，将接收的口令发送到便携式终端设备，并从便携式终端设备接收作为因子使用口令而生成的登录验证一次性密码的装置；用于发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易内容的交易验证屏幕并显示交易验证屏幕的装置，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；以及用于将交易准备信息发送到便携式终端设备，并接收通过在便携式终端设备中使用与一次性密码服务器共享的公用密钥解码交易准备信息而提取的交易内容验证一次性密码，该信息终端设备包括用于发送登录验证屏幕获取请求到在线服务服务器，接收增加了口令和口令的二维代码的登录验证屏幕，并显示接收的登录验证屏幕的装置，该口令是一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；用于发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易准备信息的二维代码的交易验证屏幕并显示接收的交易验证屏幕的装置，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；并且该便携式终端设备包括用于通过解码信息终端设备的显示屏幕上显示的口令的二维代码而还原口令，并显示通过作为因子使用口令生成的登录验证一次性密码的装置，以及用于通过解码信息终端设备的显示屏幕上显示的交易准备信息的二维代码还原交易准备信息，通过使用公用密钥解码交易准备信息而提取交易内容验证一次性密码和交易内容，并显示交易内容验证一次性密码和交易内容的装置。
7.一种验证系统，其包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码，其中，一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证，该便携式终端设备包括用于分别地将登录验证一次性密码的获取请求和交易内容验证一次性密码的获取请求发送到一次性密码服务器，从一次性密码服务器分别地接收登录验证一次性密码和交易内容验证一次性密码，并显示这些密码的装置，这些密码在信息终端设备从在线服务服务器接收在线服务时是必需的，该信息终端设备包括用于发送登录验证屏幕获取请求到在线服务服务器，接收包括一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的口令的登录验证屏幕，显示接收的登录验证屏幕，将接收的口令发送到便携式终端设备，并从便携式终端设备接收作为因子使用口令而生成的登录验证一次性密码的装置；用于发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易内容的交易验证屏幕并显示交易验证屏幕的装置，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；以及用于将交易准备信息发送到便携式终端设备，并接收通过在便携式终端设备中使用与一次性密码服务器共享的公用密钥解码交易准备信息而提取的交易内容验证一次性密码，该信息终端设备包括用于发送登录验证屏幕获取请求到在线服务服务器，接收增加了口令和口令的二维代码的登录验证屏幕，并显示接收的登录验证屏幕的装置，该口令是一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；用于发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易准备信息的二维代码的交易验证屏幕并显示接收的交易验证屏幕的装置，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的；并且该便携式终端设备包括用于通过解码信息终端设备的显示屏幕上显示的口令的二维代码而还原口令，并显示通过作为因子使用口令生成的登录验证一次性密码的装置，以及用于通过解码信息终端设备的显示屏幕上显示的交易准备信息的二维代码还原交易准备信息，通过使用公用密钥解码交易准备信息而提取交易内容验证一次性密码和交易内容，并显示交易内容验证一次性密码和交易内容的装置。
8.根据权利要求4到7中任一项所述的验证系统，其中一次性密码服务器包括用于经由在线服务服务器从信息终端设备接收包括登录验证一次性密码的登录验证请求和包括交易内容验证一次性密码的交易验证请求，并基于登录验证一次性密码的强度和交易内容验证一次性密码的强度识别接收的登录验证一次性密码和交易内容验证一次性密码的类型的装置。
9.根据权利要求2，4，6和7中任一项所述的验证系统，其中信息终端设备和便携式终端设备中的每个都包括无线接口或IC卡接口，用于使用无线信号发送和接收口令，登录验证一次性密码，交易准备信息，以及交易内容验证一次性密码。
10.一种验证系统中的验证方法，该验证系统包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码，其中，一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证，该验证方法包括以下步骤在便携式终端设备中，分别地将登录验证一次性密码的获取请求和交易内容验证一次性密码的获取请求发送到一次性密码服务器，这些密码在信息终端设备从在线服务服务器接收在线服务时是必需的，从一次性密码服务器分别地接收登录验证一次性密码和交易内容验证一次性密码，并，在显示器上显示这些密码。
11.一种验证系统中的验证方法，该验证系统包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码，其中，一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证，该验证方法包括以下步骤在信息终端设备中，发送登录验证屏幕获取请求到在线服务服务器，接收包括一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的口令的登录验证屏幕，在显示器上显示接收的登录验证屏幕，将接收的口令发送到便携式终端设备，并从便携式终端设备接收作为因子使用口令而生成的登录验证一次性密码；发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易内容的交易验证屏幕，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的，显示交易验证屏幕；将交易准备信息发送到便携式终端设备，并，接收通过在便携式终端设备中使用与一次性密码服务器共享的公用密钥解码交易准备信息而提取的交易内容验证一次性密码。
12.一种验证系统中的验证方法，该验证系统包括在线服务服务器，用于提供在线服务；信息终端设备，用于接收在线服务；一次性密码服务器，用于执行涉及信息终端设备登录到在线服务服务器上的验证和在线服务的交易内容的验证的流程；以及接收在线服务的信息终端设备的用户拥有的便携式终端设备，该便携式终端设备用于显示用于登录验证和交易内容验证的一次性密码，其中，一次性密码服务器使用从信息终端设备接收的一次性密码执行在线服务的登录验证和关于在线服务的交易内容的验证，该验证方法包括以下步骤在信息终端设备中，发送登录验证屏幕获取请求到在线服务服务器，接收增加了口令和口令的二维代码的登录验证屏幕，该口令是一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的，显示接收的登录验证屏幕；发送包括交易内容的交易验证屏幕获取请求到在线服务服务器，接收增加了交易准备信息和交易准备信息的二维代码的交易验证屏幕，其中交易准备信息包括通过一次性密码服务器和便携式终端设备共享的公用密钥编码的交易内容验证一次性密码和交易内容的组，交易内容验证一次性密码是由一次性密码服务器根据在线服务服务器对于一次性密码服务器的指令生成的，并且，显示接收的交易验证屏幕，该方法进一步包括以下步骤在便携式终端设备中，通过解码信息终端设备的显示屏幕上显示的口令的二维代码还原口令，显示通过作为因子使用口令生成的登录验证一次性密码；通过解码信息终端设备的显示屏幕上显示的交易准备信息的二维代码还原交易准备信息，通过使用公用密钥解码交易准备信息而提取交易内容验证一次性密码和交易内容，并且，在显示器上显示交易内容验证一次性密码和交易内容。
全文摘要
一种验证系统，其中客户机终端可以安全地从在线服务服务器接收在线服务。该验证系统包括在线服务服务器；接收在线服务的信息终端设备；OTP服务器，用于执行涉及信息终端设备的登录验证和在线服务交易内容的验证的流程；以及显示用于登录验证和交易内容验证的OTP的便携式终端设备。该便携式终端设备包括用于将分别的登录验证OTP的获取请求和交易内容验证OTP的获取请求发送到OTP服务器，从OTP服务器接收登录验证OTP和交易内容验证OTP，并显示这些OTP的装置，这些登录验证OTP和交易内容验证OTP在信息终端设备从在线服务服务器接收在线服务时是必需的。
文档编号G06F21/35GK101038653SQ200710135959
公开日2007年9月19日 申请日期2007年3月13日 优先权日2006年3月17日
发明者石田夏树 申请人:日立软件工程株式会社