以通信装置识别码作为网络身份验证的制作方法

以通信装置识别码作为网络身份验证的制作方法
【专利说明】以通信装置识别码作为网络身份验证
[0001]本件申请是依据在2013年7月5日提出申请号为61/843，102的有效美国临时专利申请案。
技术领域
[0002]本发明提供一种以通信装置识别码及网络操作密码作为网络身份验证的方法，特别是针对一种可以解决目前在网络所动态密码验证的缺失，而能有效抵抗钓鱼网站与中间人攻击的方法。
【背景技术】
[0003]现代人使用因特网络来进行各种网络购物、网络线上游戏、网络金融交易及其他电子商务等活动，已是日常生活中不可或缺又极为普遍的现象，但伴随而来的各种网络骇客的破坏行为也愈来愈多，其大致上可归纳如下。
[0004]1.特洛伊木马程式的恶意危害:特洛伊木马或特洛伊木马程式是具有执行电脑使用者所想要的功能，但却也导致其能进入到未被授权的使用者电脑系统内，在电脑科学领域中，该特洛伊木马程式看来好像是合法的程式，但却被用来做为只有破坏性的结果，例如:其可以被用来窃取网络密码讯息，使未被授权进入者对电脑系统造成更多的损坏，或者可以简易地摧毁电脑硬盘内的各种程式或资料，当特洛伊木马程式被植入攻击对象的电脑系统后，电脑骇客便可以进入该电脑来进行删除及执行各种不同的操作。
[0005]2.网络钓鱼(Phishing)骗取客户密码的危害:根据反网络钓鱼工作小组(APWG)的定义，网络钓鱼是利用伪造电子邮件与网站作为诱饵，愚弄使用者泄漏如使用者名字、银行帐户密码及信用卡号码等个人机密资料。
[0006]3.互动式假网站(Man-1n-the-Middle)窜改交易内容攻击的危害:在密码学领域，该互动式假网站是由骇客躲藏在银行与网络用户端之间，以伪装的银行网站，一边与用户连线互动窃取资料，一边产生假的交易资料，传送至银行真实网站进行交易，使得网络用户端发生的金钱损失。
[0007]缘是，为防止上述各种网络的危害发生，目前己因应发展出以0ΤΡ动态密码作为验证的方法，并由一些“0ΤΡ动态密码验证单位”的营利事业法人推广中，其主要是使用随机乱数产生的密码，依据网络使用者每次进行其所需的网络活动时，而每次产生不同的密码，也就是一次性密码(One-Time Password，简称OTP)亦称为动态密码，骇客即使拦截到该次的动态密码时，也无法应用到下一次的登入(Login)来危害网络使用者，因此，该动态密码的不可预测性、不会重复性和一次有效性被认为是当前最能够最有效解决使用者的安全身份验证方式之一，其可有效防范木马程式、网络钓鱼、间谍程式、假网站等多种网络骇客攻击问题。
[0008]至于而该习知动态密码验证的方法如第1图所示，其步骤包含，并取得其帐号与密码:
A.由网络使用者先申请注册成为“动态密码验证单位”的会员； B.以上网装置进入与“动态密码验证单位”有合作的其中一线上网站，并点选该线上网站的“动态密码验证网页”；
C.将注册会员时所指定的“帐号”及“密码”完成输入至该动态密码验证网页中的“帐号”及“密码”栏位内；
D.“动态密码验证单位”收到“帐号”及“密码”后，会产生一组“动态密码”，并以电信简讯将该“动态密码”拨打传送至网络使用者指定的行动电话中，来告知网络使用者当次的“动态密码”；
E.网络使用者将阅读自其行动电话所接收电信简讯中的“动态密码”，再输入至该线上网络的“动态密码验证网页”中的“动态密码验证栏位”内；
F.该线上网站即会将该动态密码传送至“动态密码验证单位”，并经“动态密码验证单位”的电脑验证系统，比对所接收的“动态密码”与透过电话简讯传送告知网络使用者的“动态密码”相符合时，即在该线上网站的“动态密码验证网页”中出现“登入成功”;反之，则出现“登入失败”。
[0009]前述习知动态密码验证的方法自从被推广后，虽已获得某些金融银行、线上游戏及网络购物等公司法人采用，但从2007年以来却遇上了瓶颈而无法快速增长，其原因如下:
1.由于行动电话的普及并具有上网的功能，使得行动电话历史上的第1只病毒“Cabir”与第2只病毒“CommWarr1r”分别在2004年6月及2005年1月诞生，其中，该“Cabir”病毒的主要特征是自动搜寻四周有蓝牙功能的智慧型行动电话，不断向搜寻到的行动电话发送讯号，受感染的行动电话萤幕上会出现“Caribe”文字，电池待机时间也会因而缩短；而该“CommWarr1r”则会利用多媒体简讯将病毒传给行动电话中的所有联络人，且不断发送简讯造成行动电话的费用损失；2007年7月西班牙警方逮捕撰写这2只手机病毒的28岁骇客，他所制造的变种病毒已使得11.5万支智慧型行动电话受到感染。
[0010]此外，在2007年后又陆续发现行动电话病毒已进步到会卧底，台湾财团法人资讯工业策进会(简称资策会)的市场情报中心(MIC)指出，目前已发现行动电话病毒会隐藏在简讯内发送，一旦使用者开启简讯后，就会在完全没察觉的情形下被安装侧录程式，盗取行动电话里头的资讯，甚至侧录对话内容，资策会的MIC又发现，此类卧底病毒会在用户完全感受不到异常的情形下，盗取或删除手机内的个人通讯录、简讯、行程安排、银行帐号、密码等重要讯息，因此，上述步骤D中的“动态密码”因为是由电信简讯方式来传送给网络使用者，一旦该网络使用者的行动电话遭到骇客的侧录程式侵害后，便会让骇客获知该网络使用者每次的“动态密码”，进而能轻易地假冒成该网络使用者的身份来骗过“动态密码验证单位”的电脑验证系统，致使整个动态密码验证的功能丧失及无效。
[0011]2.又如前述步骤D所述，当每次遇有网络使用者要求做身份验证时，该“动态密码验证单位”所拨打发送当次“动态密码”给网络使用者的电信简讯费用，均是由该与“动态密码验证单位”所合作的线上网站业者来支付，故线上网站业者除须支付固定电信简讯的成本外，更有发生因被其竞争对手或骇客发送的恶意程式诱发数量庞大的无效“动态密码”简讯的情形，其结果不但会增加业者无谓的电信支出，亦大幅地降低所有线上网站业者们导入成为“动态密码”验证机制的意愿，以致使得整个推广上的速度不增反减。
[0012]3.又如前述步骤D所述，“动态密码验证单位”会产生一组“动态密码”，并经由简讯传送到指定网络使用者的行动电话。由于该简讯传输的模式是属于行动电信网络商务简讯发送的MT (Mobile Terminated行动接收)模式，故不一定会被立即传输，而且也不保证当次在行动网络中的传输会一定百分之百成功(依现行实际传输的结果统计会有5%至10%的传输失败率)，此一现行的MT模式机制所存在的缺陷，会导致身份验证迟滞与身份验证失败所衍生的客户投诉。
[0013]4.又如前述步骤D所述，“动态密码验证单位”会产生一组“动态密码”，并经由简讯传送到指定网络使用者的行动电话，这意味着每个手机使用者可能从任何传送端获得0ΤΡ简讯。这种机制将导致一个名为"0ΤΡ简讯钓鱼〃的新欺诈:攻击者将欺诈0ΤΡ简讯发送到受害者让受害者怀疑他/她的帐户受到攻击。然后，攻击者并假装是受害者的帐户管理员，指示受害人遵循他的命令，然后使受害者被骗来达成诈骗取得他/她的金钱或财务等目的。
[0014]5.又如前述步骤F所述，该线上网站即会将该动态密码传送至“动态密码验证单位”，并经“动态密码验证单位”的电脑验证系统来进行比对，故一但网络使用者误上钓鱼网站或遭中间人攻击，其所要进行“动态密码验证”的传送，将变成协助钓鱼网站或中间人攻击的骇客可通过“动态密码验证”，反而可轻易达成其窜改网络活动或网络交易的内容，以及任意盗取网络使用者帐户的目的，0ΤΡ动态密码即完全失去保护网络使用者的功效。
[0015]6.另于2012年，网络攻击者透过号称Eurograbber的Zeus新款变种病毒，在欧洲地区大举展开目标式攻击。Eurograbber先是在义大利被发现，随后也在其他国家被侦测到，受影响的银行有16家位于义大利、7家在西班牙、6家在德国，以及3家在荷兰。Eurograbber的攻击模式，比较特别的是，该病毒会先感染使用者电脑，然后再感染他们的行动装置，从而拦截银行发到使用者手机的简讯，取得网络银行的交易确认码(Transact1n authenticat1n number，TAN)，藉此突破用来提升网络交易安全的双因素认证(two-factor authenticat1n)机制。Zitmo即为行动版Zeus，专门设计用