专利名称:登入认证系统及方法
技术领域:
本发明是有关于一种登入认证系统及方法,特别涉及一种客户端以移动通讯装置 通过网络系统登入服务平台进行安全认证的登入认证系统及方法。
背景技术:
由于计算机及因特网的快速发展,利用计算机及/或电子化设备与因特网来进行 信息的传输、交易、查询或信息处理工作,已经成为惯用模式。再者,现今由于移动通讯装置 (例如手机)的可移植性和便利性,并具有装置个人专属及私有的特色,因此,该移动通讯 装置的使用者可以通过该移动通讯装置或配合计算机来输出/输入信息,并藉因特网传输 到服务提供端去执行各项需求,因而提供交易处理上的方便性与效率;因此,无论在金融交 易、抑或是各种个人工作处理及应用上,已经有相当多种方式通过计算机、移动通讯装置及 因特网来执行;此外,对于该服务提供端来说,藉由因特网沟通更可以省去该远程服务器需 提供服务的人力成本并且提高客户端的满意度,因此,该藉由因特网传输、交易的机制是一 种可达到双方互惠互利的方式。然而,计算机、移动通讯装置及因特网虽然方便,但往往是不太安全的机制,尤其 是许多黑客经常在网络上进行拦截、破解及窃取客户端信息,抑或恶意破坏服务提供端的 主机,造成相当大的问题。一般金融业界常见的在线交易服务例如网络银行,一旦黑客窃取到客户端的账号 及密码时,便可以盗用客户端的账号,客户端不仅会信息泄露于外,甚至还可能蒙受财产损 失;相对地,该网络银行管理者的账号密码若被盗用,甚至可能损害到更多客户的权益,而 银行亦须进行赔偿与赔上公司信誉。因此,近年来金融业界非常重视网络上的信息安全,投入大量的心血来发展各种 信息加密、解密的方法,或是增加许多的安全机制,以提高、维护信息的安全性。请参照图1所示,即一移动通讯装置1’客户端与网络银行服务提供端3’间的服 务方式,当该移动通讯装置1’传输至该服务提供端3’时,由于该服务提供端3’所走的网 络层级标准是安全通讯端层(Secure Sockets Layer,SSL)规范机制,为了提高藉由通讯网 络2’登入的安全性,现有技术常用的方法主要是采该移动通讯装置1’登入服务提供端3’ 的主机31’时,将账号、密码进行加密后再传输(未图标),该主机31’接收加密的信息后先 进行解密,再检验该账号及其该密码是否正确。此种方式是防止他人在通讯网络2’上拦截 信息后可以辨识出使用者的账号及密码,进而盗取使用者账号,欲藉由加密方法使得信息 无法被他人所破解及利用,而服务提供端3’为了避免加密方法被破解,因此发展出更加繁 复的计算方法来进行加密、解密的工作,甚至是采用二次加密方式,期望能达到无法被破解 的目的。除此之外,亦有提供以简讯回传金钥密码的方式,当该移动通讯装置1’以账号、 密码登入该服务提供端3’的主机时,远程的网络银行服务提供端3’将会以简讯方式传送 一组金钥密码,要求该移动通讯装置1’的客户端再次输入该金钥密码以确认是否为输入者本人。然而,此种方式若当该移动通讯装置1’或用户识别模块(Subscriber Identity Module, SIM)卡发生遗失或被亲近人士所偷窃及其它状况发生,若当有心人士使用该移动 通讯装置1’或劫取该SIM卡以相同的该账号、该密码登入该网络银行服务提供端3’,由于 该网络银行服务提供端3’发送简讯对应移动通讯装置1’内的该SIM卡发送一组金钥密码, 亦即所发送识别的对象为该SIM卡,并非针对移动装置或持有移动装置的使用者本人做发 送,因此,仍无法避免原客户端所持有的该移动通讯装置1’内的该SIM卡被有心人士劫取 后,插入至其它的移动通讯装置,藉由登入该服务提供端3,输入相同账号、密码自该服务提 供端3’骗取得到一组金钥,并再次回传该金钥以成功登入开通并窃取得信息的危机。因此,如何有效解决上述现有技术的缺失,即是,如何建立更安全的控制管理机 制,除了做到一般输入账号、密码使用者的管控,以及账号、密码系统的加密控管之外,如何 进一步做到移动通讯装置的装置管控及装置认证,以达到不仅做到信息加密、更可认证使 用者、认证移动通讯装置,使得伪造开通及伪造交易状况更加难以进行,实为目前亟需解决 的问题。
发明内容
鉴于上述现有技术的缺点,本发明之一目的在于提供一种登入认证系统及方法, 用以建立登入认证关卡,以提升登入网络银行的使用者、移动通讯装置及网络银行服务提 供端之间的安全防护。为达上揭以及其它目的,本发明提供一种登入认证系统及方法。该登入认证系统 是用以供一客户端以移动通讯装置通过网络系统登入服务平台的安全登入机制,该登入认 证系统包括储存模块,其储存开通密码及开通账号;服务启用模块,其提供一服务启用界 面,以使该移动通讯装置得以开启该服务启用界面而输入第一账号及第一密码以进行开通 验证;以及防伪程序产生模块,其将该移动通讯装置登入该服务启用界面所输入的第一账 号及第一密码与该储存模块所储存的开通密码及开通账号进行比对,在比对一致而确定通 过开通验证后,产生一具有软件序号的防伪程序并传回该移动通讯装置,以由该移动通讯 装置储存该具有软件序号的防伪程序,使该移动通讯装置以该具有软件序号的防伪程序登 入该服务平台。本发明的登入认证方法用以供一客户端以移动通讯装置通过网络系统登入服务 平台的安全登入方法,该登入认证方法包括该服务平台要求该移动通讯装置输入第一账 号、第一密码以进行开通验证;该移动通讯装置通过该服务平台开通验证后,该服务平台自 动产生一具有软件序号的防伪程序传回该移动通讯装置,以将该防伪程序写入该移动通讯 装置中,使该移动通讯装置以该具有软件序号的防伪程序登入该服务平台。因此,本发明的登入认证系统利用开通验证流程、该移动通讯装置的防伪程序写 入以及使用者登入验证的安全机制设计,毋需改变既有移动通讯登入验证的架构下,即可 克服现有以短信传送登入识别码易于冒用及/或该移动通讯装置遗失所衍生的问题。此 外,利用本发明的登入认证方法,使用者亦无须再重新学习许多与使用者无关的登入开通 操作步骤,例如必须插入PKI卡及/或建入序号、建入ID或建入需求码才能进行输入账号、 密码等步骤,因此节省使用者对于交易服务重新学习的成本、并省去该服务平台的防护成 本及装置被窃后可能造成的服务平台信息窃取危机,故能克服现有技术所存在的缺失。
图1为现有客户端以移动通讯装置通过网络登入服务平台的系统架构示意图;图2为本发明登入认证系统的第一实施例的系统架构示意图;图3为本发明登入认证系统的第二实施例的系统架构示意图;图4为本发明登入认证方法第一实施例的流程示意图;图5为本发明登入认证方法第二实施例的流程示意图。主要组件符号说明1,,1,,1”移动通讯装置2,2'通讯网络
3,3,,3”服务平台
31,主机
2通讯网络
31网关装置
311服务启用模块
3110服务启用界面
312验证模块
313防伪程序产生模块
3130防伪程序
314储存模块
3140开通信息
3141,3141’登入信息
32账务主机
具体实施例方式以下藉由特定的具体实施例说明本发明的实施方式,所属技术领域中具有通常知 识的人及熟悉此项技术的人员可由本说明书所揭示的内容轻易地了解本发明的其它优点 与功效。请参阅图2,为本发明之登入认证系统的第一实施例的系统架构示意图。如图所 示,本实施例的登入认证系统用以供位于移动通讯装置1的客户端通过通讯网络登入服务 平台3的使用者安全登入机制,最佳实施例中,该移动通讯装置1为移动电话,藉由该登入 认证系统以确实识别出通过该移动通讯装置1进行登入请求的客户端为移动通讯装置1的 拥有者。该服务平台3具有服务启用模块311、防伪程序产生模块313及储存模块314 ;该 储存模块314用以储存开通信息3140,该开通信息3140是该移动通讯装置1的客户端至该 服务平台3提供单位而临柜申请启用交易服务时,由服务平台管理者核发予该客户端(一 般新申请的用户)的一组随机数排列的第一账号及第一密码。该服务启用模块311是用以提供一服务启用界面3110,该移动通讯装置1藉由该 通讯网络2连接该服务平台3后,开启该服务启用模块311的该服务启用界面3110,以要求该移动通讯装置1输入第一账号3111及第一密码3112,待该移动通讯装置1输入该第一 账号3111及第一密码3112且确认该第一账号及第一密码符合该服务平台管理者核发予该 客户端的开通信息后,该服务启用模块311可选择性要求该移动通讯装置1变更账号及密 码,即由该移动通讯装置1输入第二账号3113及第二密码3114,而该第二账号及第二密码 为日后登入服务平台的登入信息3141,并储存于储存模块314中。前述账号及密码的变更 作业除了便于客户端记忆外,亦同时增加客户端登入该服务平台3的安全性,须提出说明 的是,在开通作业中可依客户端的需求或服务平台3所提供的设定来决定是否须对该第一 账号3111及第一密码3112进行变更。该防伪程序产生模块313确定该移动通讯装置1所输入的第一账号及第一密码与 该服务平台管理者核发予该客户端的开通信息3140 —致后,该防伪程序产生模块313自动 产生一具有软件序号且只读的防伪程序3130,并将该防伪程序3130传回该移动通讯装置 1,且将该防伪程序3130写入该移动通讯装置1中。在该移动通讯装置1成功写入该防伪程序3130后,该移动通讯装置1自动回传写 入成功信息,使该服务平台3确认该移动通讯装置1已完成登入的开通作业。在本实施例中,该服务启用模块311所提供的服务启用界面3110是通过通讯网络 2而以网页形式用以供客户端输入有关于执行开通作业的信息,使客户端通过该移动通讯 装置1的上网功能进行前述的开通验证作业。请参阅图3,为本发明之登入认证系统的第二实施例的系统架构示意图。如图3所 示,本实施例登入认证系统的服务平台3”可应用于银行账务服务上,以供客户端通过移动 通讯装置1”而随时随地登入该服务平台3”进行账务信息的查询。在此须提出说明的是, 本实施例与图2所示的实施例的不同处在于,本实施例用以说明该移动通讯装置1”于通过 开通作业后而登入服务平台3”所需的系统架构,本实施例的登入认证系统的服务平台3” 包括网关装置31以及账务主机32,该网关装置31内建验证模块312以及储存模块314’。 该储存模块314’用以储存登入信息3141’,本实施例的登入信息3141’包括前述的登入账 号及登入密码外,还包括与该登入账号及登入密码对应的防伪序号。该验证模块312是用以验证欲登入该服务平台3”的移动通讯装置1”的登入身份, 由前述图2所示的实施例可知,欲登入该服务平台3”的移动通讯装置1”已内建一具有软 件序号且只读的该防伪程序3130,而客户端欲通过该移动通讯装置1”登入该服务平台3” 时,该移动通讯装置1”则执行该防伪程序3130,而该防伪程序3130除了包括前述的防伪 序号外,另包括连结网址,而该连结网址是作为该移动通讯装置1通过该通讯网络2而与该 服务平台3”的网关装置31建立连结的管道,因此,当该验证模块312接收到该移动通讯装 置1”的防伪程序3130所传来的登入请求(而该登入请求一并包括防伪序号)时,会一并 要求该移动通讯装置1”输入登入密码及登入账号,以依据该登入密码及登入账号及该移动 通讯装置1”的防伪程序3130的登入请求所包括的防伪序号来与该储存模块314’所储存 的登入信息3141’进行比对,在比对一致后,而准予客户端通过该移动通讯装置1查询账务 主机32中的账务信息。由上可知,当该移动通讯装置1”通过该开通验证后,该防伪程序产生模块313自 动产生一具有软件序号且只读的防伪程序3130并写入该移动通讯装置1”中,因此该移动 通讯装置1”进行交易或服务登入时,除了增加一般登入账号、密码的客户端身份的管控外,更进一步做到对移动通讯装置1”的管控及认证,以达到不仅做到信息加密,更强调可同时 认证使用者以及移动通讯装置1,使得伪造开通及伪造交易状况难以实施,此外,该防伪程 序3130回传该服务平台3’的认证手段是采用隐匿方式且自动地通过通讯网络2连结至该 服务平台3”,移动通讯装置的客户端仅需要输入账号及密码后,该服务平台3”自动取得该 移动通讯装置1的防伪程序3130所提供的防伪序号,且依据该移动通讯装置1”传来的登 入账号及该登入密码与该防伪序号配合验证是否为该移动通讯装置本人所有,而有效杜绝 恶意人士注销合法手机号码从而冒用移动通讯装置的客户端身份进行交易,故在考虑登入 安全性的同时,亦一并兼顾到客户端的操作方便性。请参阅图4,为本发明之登入认证方法的第一实施例的流程示意图。如图4所示, 本实施例的登入认证方法用以说明客户端通过移动通讯装置向服务平台进行开通验证的 处理流程,换言之,客户端依据服务平台管理者核发予该客户端的开通信息而进行开通作 业的步骤流程,在步骤S41中,客户端通过该移动通讯装置1向服务平台提出登入开通请 求,接着进至步骤S42。在步骤S42中,服务平台要求持有该移动通讯装置的客户端提供第一账号及第一 密码,即为服务平台管理者核发予该客户端(一般新申请的用户)的一组随机数排列的开 通信息。接着进至步骤S43。在步骤S43中,该客户端通过该移动通讯装置1输入第一账号及第一密码的开通 信息并传至该服务平台,接着进至步骤S44。
在步骤S44中,该服务平台且确认该第一账号及第一密码符合该服务平台管理者 核发予该客户端的开通信息后,要求客户端变更第一账号及第一密码,且将输入而变更后 所得到的第二账号及第二密码予以储存,接着进至步骤S45。在步骤S45中,该服务平台产生具有防伪序号(Software ID)的防伪程序,并将该 防伪程序传送至该移动通讯装置中,且建立该移动通讯装置的登入信息,该登入信息即包 括前述第二账号、第二密码以及与该第二账号及第二密码对应的防伪序号,接着进至步骤 46。在步骤S46中,该移动通讯装置依据所接收的防伪程序自动回传写入成功信息, 以表示登入开通作业完成。因此,本发明的登入认证方法须通过该移动通讯装置进行开通业务并写入一具 有软件序号的防伪程序,而非现有技术以简讯方式传送登入识别码至该移动通讯装置,故 当恶意人士假冒其为遗失内建有SIM卡的移动通讯装置的客户端,而使该恶意人士注销原 SIM卡而欲以获得的另一张SIM卡进行登入时,因该恶意人士所使用的移动通讯装置未内 建该具有软件序号的防伪程序亦无法以该获得的SIM卡进行登入。请参阅图5,为本发明之登入认证方法第二实施例的流程示意图。如图5所示,本 实施例的登入认证方法用以说明客户端通过移动通讯装置向服务平台进行登入的处理流 程,因此本实施例中,该服务平台已具有完成开通验证作业的登入信息,而该登入信息即包 括客户端通过开通验证作业而确定的登入密码、登入账号以及与该登入密码及登入账号对 应的防伪序号。在步骤S51中,移动通讯装置执行写入于本端的防伪程序,以使该移动通讯装置 通过移动通讯装置本端内建的防伪程序而连结至该服务平台,接着进至步骤S52。
在步骤S52中,该服务平台接收到该移动通讯装置的防伪程序所传来的登入请 求,响应该移动通讯装置以请求该移动通讯装置传送登入信息,该登入信息是指客户端通 过开通验证作业而确定的登入密码、登入账号以及防伪序号,前述的登入密码及登入账号 是由客户端自行输入,而该防伪序号是在移动通讯装置传送客户端所输入的登入密码及登 入账号时一并附加传送,亦即由移动通讯装置内储的防伪程序执行附加及传送处理,接着 进至步骤S53。在步骤S53中,客户端通过移动通讯装置输入登入账号及登入密码,接着进至步 骤 S54。在步骤S54中,该服务平台比对该移动通讯装置所传来的登入账号及登入密码及 其内建的防伪序号(Software ID)与所储存的登入信息是否相符,若相符则进至步骤S55, 若不相符则进至步骤S56。在步骤S55中,由于该服务平台所储存的登入信息与该移动通讯装置所传来的登 入信息相符,该服务平台提供提出该登入请求的移动通讯装置所需的服务,须提出说明的 是,该服务内容端视实施型态而定,举例而言,当该服务平台为银行所建置时,该服务平台 所提供的服务例如是账务查询或转账等,当该服务平台为学校所建置时,该服务平台所提 供的服务例如是学分选课或学务活动查询等。在步骤S56中,由于该服务平台所储存的登入信息与该移动通讯装置所传来的登 入信息不相符,则该服务平台传送验证失败的信息至该移动通讯装置,亦即通知该移动通 讯装置无法登入该服务平台。因此,本发明的登入认证系统及方法让客户端随时随地以移动通讯装置通过网络 系统登入服务平台的同时,亦确保客户端通过网络系统进行登入的安全性。上述实施例仅例示性说明本发明的原理、特点及其功效,并非用以限制本发明的 可实施范畴,任何熟悉此项技技术的人员均可在不违背本发明的精神及范畴下,对上述实 施例进行修饰与改变。任何运用本发明所揭示内容而完成的功效改变及修饰,均仍应为本 发明权利要求保护范围所涵盖。
权利要求
一种登入认证系统,用以提供位于移动通讯装置的客户端通过通讯网络登入服务平台的安全登入机制,其特征在于,该登入认证系统包括储存模块,用以储存开通密码及开通账号;服务启用模块,用以提供一服务启用界面,以供该移动通讯装置藉由该通讯网络开启该服务启用界面,以要求该移动通讯装置输入第一账号及第一密码以进行开通验证;以及防伪程序产生模块,用来将该服务启用界面接收该移动通讯装置所输入的第一账号及第一密码与该储存模块所储存的开通密码及开通账号进行比对,在比对一致而确定通过开通验证后,产生一具有软件序号的防伪程序并传回该移动通讯装置予以储存,以供该移动通讯装置以该具有软件序号的防伪程序登入该服务平台。
2.如权利要求1所述的登入认证系统,其特征在于,该服务启用模块接收到该移动通 讯装置开启该服务启用界面所输入的第一账号及第一密码后,要求该移动通讯装置变更所 输入的第一账号及第一密码,并以变更后所得到的第二账号、第二密码以及储存于移动通 讯装置中的软件序号作为登入该服务平台的登入信息。
3.如权利要求1所述的登入认证系统,其特征在于,该移动通讯装置写入该防伪程序, 自动回传有关于写入成功信息,使该服务平台完成对该移动通讯装置的登入开通作业。
4.如权利要求1所述的登入认证系统,其特征在于,该服务启用模块的服务启用界面 是以网页形式提示客户端有关于执行开通作业的信息。
5.如权利要求1所述的登入认证系统,其特征在于,该移动通讯装置所储存的防伪程 序包括连结网址,而该连结网址是作为该移动通讯装置通过该通讯网络而与该服务平台建 立连结的目的地。
6.如权利要求4或5所述的登入认证系统,其特征在于,其还包括验证模块,该服务启 用模块接收到该移动通讯装置开启该服务启用界面所输入的第一账号及第一密码后,要求 该移动通讯装置变更所输入的第一账号及第一密码,并将变更后所得到的第二账号、第二 密码以及与该移动通讯装置对应的防伪序号作为登入信息并储存于该储存模块中,在该移 动通讯装置通过该防伪程序向该服务平台提出登入请求时,该验证模块依据该移动通讯装 所输入的第二账号及第二密码及该移动通讯装置的防伪程序所提供的防伪序号来与该储 存模块所储存的登入信息进行比对,以在比对一致后准予客户端通过该移动通讯装置登入 该服务平台。
7.一种登入认证方法,是用以提供位于移动通讯装置的客户端通过通讯网络登入服务 平台的安全登入机制,其特征在于,该登入认证方法包括下列步骤该移动通讯装置与该服务平台建立网络连接,且由该服务平台要求该移动通讯装置输 入第一账号、第一密码以进行开通验证作业;该移动通讯装置通过该开通验证作业后,该服务平台自动产生一具有软件序号的防伪 程序并传送至该移动通讯装置;以及该防伪程序写入该移动通讯装置中,以供该移动通讯装置以该具有软件序号的防伪程 序登入该服务平台。
8.如权利要求7所述的登入认证方法,其特征在于,该服务平台对该移动通讯装置进 行开通验证作业的步骤还包括以下步骤该服务平台要求该移动通讯装置变更所输入的第一账号及第一密码,并以变更后所得到的第二账号、第二密码以及储存于移动通讯装置中的软件序号作为登入该服务平台的登 入{曰息。
9.如权利要求7所述的登入认证方法,其特征在于,该移动通讯装置写入该防伪程序, 自动回传有关于写入成功信息,使该服务平台完成对该移动通讯装置的登入开通作业。
10.如权利要求7所述的登入认证方法,其特征在于,该服务平台是以网页形式提示通 过该移动通讯装置连接该服务平台的客户端有关于执行开通作业的信息。
11.如权利要求7所述的登入认证方法,其特征在于,该移动通讯装置所储存的防伪程 序包括连结网址,而该连结网址是作为该移动通讯装置通过该通讯网络而与该服务平台建 立连结的目的地。
12.如权利要求10或11所述的登入认证方法,其特征在于,该服务平台接收到该移动 通讯装置所输入的第一账号及第一密码后,要求该移动通讯装置变更所输入的第一账号及 第一密码,并将变更后所得到的第二账号、第二密码以及与该移动通讯装置对应的防伪序 号作为登入信息并予以储存,于该移动通讯装置通过该防伪程序向该服务平台提出登入请 求时,该服务平台依据该移动通讯装所输入的第二账号及第二密码及该移动通讯装置的防 伪程序所提供的防伪序号来与该所储存的登入信息进行比对,以在比对一致后准予客户端 通过该移动通讯装置登入该服务平台。
全文摘要
本发明公开一种登入认证系统及方法,是用以供一客户端以移动通讯装置通过网络系统登入服务平台的安全登入机制,该服务平台要求该移动通讯装置输入账号、密码以进行开通验证;该移动通讯装置通过该服务平台开通验证后,该服务平台自动产生一具有软件序号的防伪程序并传回该移动通讯装置以写入该移动通讯装置中,使该移动通讯装置以该具有软件序号的防伪程序登入该服务平台。
文档编号H04W12/12GK101854627SQ200910129600
公开日2010年10月6日 申请日期2009年3月31日 优先权日2009年3月31日
发明者邱宏达 申请人:邱宏达