用于登入的认证方法与流程

本发明涉及一种认证方法，特别是涉及一种用于登入的认证方法。

背景技术

用户登入电子信箱网站、购物网站，或社群网站时，通常都会被要求输入账号与密码。然而，若该使用者在不同的网站注册不同的账号与密码，则该用户需要记忆多组账号与密码，导致该用户可能会遗忘某个网站的账号或密码，而无法登入。

为方便该使用者登入多个网站，现有相关技术人员提出了例如openid的单一签入(singlesignon,sso)的解决方法，其是通过一身分提供者(identityprovider)存储多笔用户数据，在登入网站时，该使用者根据一认证码提供一相关于该身分提供者的统一资源标志符(uniformresourceidentifier,uri)，以致网站根据该统一资源标志符链接至该身分提供者，该身分提供者再提供相关于该用户的用户数据，以认证该使用者的身分，让该用户只需要记忆一组认证码，就是说可登入所有支持openid的所有网站。举例来说，使用者alice在身分提供者http://openid-provider.org处注册了一认证码，该认证码例如为alice，则使用者alice提供给网站的该统一资源标志符为http://alice.openid-provider.org/。

然而，现有的身分提供者认证机制较为薄弱，容易发生该身分提供者因管理不当而让黑客窃取用户数据，一旦用户数据被窃取，所述用户数据可能会被盗用，而导致所有支持openid的网站可能被黑客以所述用户数据登入。

技术实现要素：

本发明的目的在于提供一种具有高安全性的用于登入的认证方法。

本发明的用于登入的认证方法，由包含认证服务端的系统来实施，所述认证服务端、使用端模块，及厂商服务端经由第一通信网络相互连接，该用于登入的认证方法包含一步骤(a)、一步骤(b)，及一步骤(c)。

在步骤(a)中，当所述认证服务端经由所述第一通信网络接收到来自所述厂商服务端的连结请求时，所述认证服务端产生并存储服务标识符，且经由所述第一通信网络传送所述服务标识符至所述厂商服务端，以致所述厂商服务端经由所述第一通信网络传送所述服务标识符至所述使用端模块。

在步骤(b)中，当所述认证服务端经由所述第一通信网络从所述使用端模块接收到由所述使用端模块根据预存的变换密钥加密所述服务标识符而产生的加密服务标识符、对应于所述使用端模块与所述变换密钥的使用端序号，及用户数据时，所述认证服务端判定所述加密服务标识符及所述使用端序号的组合是否为已被授权。

在步骤(c)中，当所述认证服务端判定出所述加密服务标识符及所述使用端序号的组合为已被授权时，所述认证服务端经由所述第一通信网络传送授权登入通知及所述用户数据至所述厂商服务端。

较佳地，本发明的用于登入的认证方法，所述使用端模块包括经由所述第一通信网络与所述厂商服务端连接且连接第二通信网络的移动装置，及经由所述第二通信网络与所述移动装置连接的帐密保护器，所述帐密保护器存储有所述变换密钥，在步骤(a)中，所述厂商服务端根据所接收到的来自所述移动装置的登入请求产生所述连结请求并传送所述连结请求至所述认证服务端，且所述厂商服务端经由所述第一通信网络传送所述服务标识符至所述移动装置，所述移动装置经由所述第二通信网络传送所述服务标识符至所述帐密保护器，以致在步骤(b)中，所述帐密保护器根据所述变换密钥加密所述服务标识符而产生所述加密服务标识符。

较佳地，本发明的用于登入的认证方法，所述使用端模块包括经由所述第一通信网络与所述厂商服务端连接的计算机装置、连接第二通信网络的移动装置，及经由所述第二通信网络与所述移动装置连接的帐密保护器，所述帐密保护器存储有所述变换密钥，在步骤(a)中，所述厂商服务端根据所接收到的来自所述计算机装置的登入请求产生并传送所述连结请求，且所述厂商服务端经由所述第一通信网络传送所述服务标识符至所述计算机装置，所述移动装置在从所述计算机装置获得所述服务标识符后，经由所述第二通信网络传送所述服务标识符至所述帐密保护器，以致在步骤(b)中，所述帐密保护器根据所述变换密钥加密所述服务标识符而产生所述加密服务标识符。

较佳地，本发明的用于登入的认证方法，所述移动装置还经由所述第一通信网络与所述认证服务端连接，所述帐密保护器还存储有对应所述帐密保护器的所述使用端序号及所述用户数据，在步骤(b)中，所述帐密保护器将所述加密服务标识符、所述使用端序号及所述用户数据经由所述第二通信网络传送至所述移动装置，所述移动装置再经由所述第一通信网络传送所述加密服务标识符、所述使用端序号及所述用户数据至所述认证服务端。

较佳地，本发明的用于登入的认证方法，所述认证服务端存储有多个比对序号及多个分别对应所述比对序号的验证密钥，步骤(b)包含以下子步骤：

(b-1)所述认证服务端经由所述第一通信网络接收所述加密服务标识符、所述使用端序号，及所述用户数据；

(b-2)当所述认证服务端接收到所述加密服务标识符、所述使用端序号，及所述用户数据时，所述认证服务端根据所述使用端序号判定所述使用端序号是否匹配于所述比对序号的其中一者；

(b-3)当所述认证服务端判定出所述使用端序号匹配于所述比对序号的其中一者时，所述认证服务端判定匹配于所述使用端序号的比对序号对应的验证密钥也对应所述变换密钥；

(b-4)所述认证服务端根据对应所述变换密钥的验证密钥解密所述加密服务标识符，以产生解密服务标识符；及

(b-5)所述认证服务端判定是否自身存储有与所述解密服务标识符匹配的服务标识符；

在步骤(c)中，当所述认证服务端判定出自身存储有与所述解密服务标识符匹配的服务标识符时，所述认证服务端判定所述加密服务标识符及所述使用端序号的组合为已被授权。

较佳地，本发明的用于登入的认证方法，所述认证服务端存储有多个初始密钥，所述使用端模块存储有使用端初始密钥，在步骤(a)前还包含以下步骤：

(d)当所述认证服务端经由所述第一通信网络接收到来自所述使用端模块的所述使用端初始密钥时，所述认证服务端判定所述使用端初始密钥是否匹配于所述初始密钥的其中一者；

(e)当所述认证服务端判定出所述使用端初始密钥匹配于所述初始密钥的其中一者时，所述认证服务端产生并传送认证码至所述使用端模块，以致所述使用端模块经由所述第一通信网络传送包含相关于所述认证码的认证数据、所述使用端初始密钥及所述使用端序号的注册数据至所述认证服务端；

(f)所述认证服务端根据所述注册数据的所述认证数据判定所述认证数据是否与所述认证码相符；及

(g)当所述认证服务端判定出所述认证数据与所述认证码相符时，所述认证服务端根据所述注册数据的所述使用端初始密钥产生所述变换密钥，并经由所述第一通信网络传送所述变换密钥至所述使用端模块，且根据所述变换密钥产生并存储对应所述使用端序号且对应所述变换密钥的验证密钥，且将所述使用端序号存储为比对序号。

较佳地，本发明的用于登入的认证方法，所述使用端模块包括连接所述第一通信网络及第二通信网络的移动装置，及经由所述第二通信网络与所述移动装置连接的帐密保护器，所述移动装置经由所述第一通信网络与所述认证服务端连接，所述帐密保护器存储有所述使用端初始密钥，在步骤(d)中，所述帐密保护器回应于来自所述移动装置的数据提供请求，经由所述第二通信网络传送所述使用端初始密钥及所述使用端序号至所述移动装置，所述移动装置经由所述第一通信网络传送所述使用端初始密钥至所述认证服务端，在步骤(e)中，当所述移动装置经由所述第一通信网络接收到所述认证码时，所述移动装置根据所述认证码产生所述认证数据，并经由所述第一通信网络传送所述注册数据至所述认证服务端，在步骤(g)中，所述移动装置经由所述第一通信网络接收所述变换密钥，并经由所述第二通信网络传送所述变换密钥至所述帐密保护器。

较佳地，本发明的用于登入的认证方法，所述第一通信网络是互联网，所述第二通信网络是短距无线通信网络。

较佳地，本发明的用于登入的认证方法，在步骤(a)中，所述服务标识符是快速响应矩阵码编码。

本发明的有益效果在于：借由所述使用端模块根据所述变换密钥加密所述服务标识符以产生所述加密服务标识符，以致所述认证服务端进行所述加密服务标识符及所述使用端序号的组合是否为已被授权的判定，当所述认证服务端判定出所述加密服务标识符及所述使用端序号的组合为已被授权时，所述认证服务端才传送所述授权登入通知及所述用户数据至所述厂商服务端，借此只需要所述变换密钥及所述使用端序号，就是说可登入所有支持所述认证服务端的厂商服务端，且所述认证服务端不存储所述用户数据，以避免黑客骇入所述认证服务端窃取所述用户数据，提高安全性。

附图说明

本发明的其他的特征及功效，将于参照图式的实施方式中清楚地呈现，其中：

图1是一方块图，示例地绘示一用来实施本发明用于登入的认证方法的一实施例的系统；

图2是一流程图，说明该实施例的一注册程序；

图3是一流程图，说明该实施例的一登入程序；及

图4是一流程图，说明图3中步骤38的子步骤。

具体实施方式

参阅图1，图1说明用来实施本发明用于登入的认证方法的一实施例的一系统100，包含一认证服务端11、一厂商服务端12，及一使用端模块13。

该认证服务端11连接一第一通信网络14，并存储有多个初始密钥、多个比对序号及多个分别对应所述比对序号的验证密钥，该第一通信网络14例如是一网络互联网。

该厂商服务端12经由该第一通信网络14与该认证服务端11连接。

该使用端模块13包括一经由该第一通信网络14与该厂商服务端12连接的计算机装置131、一经由该第一通信网络14与该认证服务端11连接且连接一第二通信网络15的移动装置132，及一经由该第二通信网络15与该移动装置132连接的帐密保护器133，该帐密保护器133存储有一使用端初始密钥、一对应该帐密保护器133的使用端序号，及一笔用户数据，该第二通信网络15例如是一短距无线通信网络。此外，在其他实施例中，该使用端模块13可不包括该计算机装置131，且该移动装置132还经由该第一通信网络14与该厂商服务端12连接。

本发明登入的认证方法的该实施例包含一注册程序及一登入程序。

参阅图1及图2，该注册程序包含步骤21～29。以下详述各个步骤。

在步骤21中，该移动装置132经由该第二通信网络15传送一数据提供请求至该帐密保护器133。

在步骤22中，该帐密保护器133响应于该数据提供请求，经由该第二通信网络15传送该使用端初始密钥及该使用端序号至该移动装置132。

在步骤23中，当该移动装置132接收到该使用端初始密钥及该使用端序号时，该移动装置132经由该第一通信网络14传送该使用端初始密钥至该认证服务端11。

在步骤24中，当该认证服务端11接收到该使用端初始密钥时，该认证服务端11判定该使用端初始密钥是否匹配于所述初始密钥的其中一者。若该判定结果为肯定，该流程进行步骤25，否则结束。

在步骤25中，当该认证服务端11判定出该使用端初始密钥匹配于所述初始密钥的其中一者时，该认证服务端11产生并经由该第一通信网络14传送一认证码至该移动装置132。

在步骤26中，当该移动装置132接收到该认证码时，该移动装置132根据认证码产生一笔相关于该认证码的认证数据，并经由该第一通信网络14传送一笔包含该认证数据、该使用端初始密钥及该使用端序号的注册数据至该认证服务端11。

在步骤27中，当该认证服务端11接收到该注册数据时，该认证服务端11根据该注册数据的该认证数据判定该认证数据是否与该认证码相符。若该判定结果为肯定，该流程进行步骤28，否则结束。

在步骤28中，当该认证服务端11判定出该认证数据与该认证码相符时，该认证服务端11根据该注册数据的该使用端初始密钥产生一变换密钥，并经由该第一通信网络14传送该变换密钥至该移动装置132，且根据该变换密钥产生并存储一对应该使用端序号且对应该变换密钥的验证密钥，且将该使用端序号存储为不同于所述比对序号的另一比对序号。值得注意的是，在本实施例中，该变换密钥与该验证密钥相同，也就是说该变换密钥与该验证密钥用于对称加密。在其他实施例中该变换密钥与该验证密钥不同，也就是说该变换密钥与该验证密钥用于非对称加密，例如公钥加密，其中该变换密钥为一私钥，且该验证密钥为一对应该变换密钥的公钥。

在步骤29中，当该移动装置132接收到该变换密钥时，该移动装置132经由该第二通信网络15传送该变换密钥至该帐密保护器133，以致该帐密保护器133存储该变换密钥。

参阅图1及图3，该登入程序包含步骤31～39。以下详述各个步骤。

在步骤31中，该计算机装置131经由该第一通信网络14传送一登入请求至该厂商服务端12。要特别注意的是，在其他该使用端模块13不包含该计算机装置131的实施例中，是由该移动装置132经由该第一通信网络14传送一登入请求至该厂商服务端12。

在步骤32中，当该厂商服务端12接收到该登入请求时，该厂商服务端12根据该登入请求产生一连结请求并经由该第一通信网络14传送该连结请求至该认证服务端11。

在步骤33中，当该认证服务端11接收到该连结请求时，该认证服务端11产生并存储一服务标识符，且经由该第一通信网络14传送该服务标识符至该厂商服务端12。在本实施例中，该服务标识符例如是以快速响应矩阵码(quickresponsecode,qrcode)编码。

在步骤34中，当该厂商服务端12接收到该服务标识符时，该厂商服务端12经由该第一通信网络14传送该服务标识符至该计算机装置131。

在步骤35中，该移动装置132从该计算机装置131获得该服务标识符，并经由该第二通信网络15传送该服务标识符至该帐密保护器133。要再特别注意的是，在本实施例中，该移动装置132是扫描该计算机装置131所显示的qrcode以获得该服务标识符，而在其他该使用端模块13不包含该计算机装置131的实施例中，在步骤34该厂商服务端12经由该第一通信网络14传送该服务标识符至该移动装置132，在步骤35当该移动装置132接收到该服务标识符时，经由该第二通信网络15传送该服务标识符至该帐密保护器133。

在步骤36中，当该帐密保护器133接收到该服务标识符时，该帐密保护器133根据该变换密钥加密该服务标识符而产生一加密服务标识符，并经由该第二通信网络15传送该加密服务标识符、该用户数据，及该使用端序号至该移动装置132。值得注意的是，在本实施例中，该帐密保护器133是响应于一使用者于该帐密保护器133的输入操作，以根据该变换密钥加密该服务标识符而产生该加密服务标识符，换句话说，该帐密保护器133除了接收到该服务标识符外，还需要该使用者于该帐密保护器133进行输入操作时，才会响应于该输入操作来根据该变换密钥加密该服务标识符而产生该加密服务标识符，并经由该第二通信网络15传送该加密服务标识符、该用户数据，及该使用端序号至该移动装置132。

在步骤37中，当该移动装置132接收到该加密服务标识符、该用户数据，及该使用端序号时，该移动装置132经由该第一通信网络14传送该加密服务标识符、该用户数据，及该使用端序号至该认证服务端11。

在步骤38中，当该认证服务端11接收到该加密服务标识符、该使用端序号，及该用户数据时，该认证服务端11判定该加密服务标识符及该使用端序号的组合是否为已被授权。若该判定结果为肯定，该流程进行步骤39，否则结束。

再参阅图4，进一步详细说明该认证服务端11所执行的步骤38包含以下子步骤。

在子步骤381中，该认证服务端11经由该第一通信网络14接收该加密服务标识符、该使用端序号，及该用户数据。

在子步骤382中，该认证服务端11根据该使用端序号判定该使用端序号是否匹配于所述比对序号的其中一者。若该判定结果为肯定，该流程进行步骤383，否则结束。

在子步骤383中，当该认证服务端11判定出该使用端序号匹配于所述比对序号的其中一者时，该认证服务端11判定匹配于该使用端序号的比对序号对应的验证密钥也对应该变换密钥。

在子步骤384中，该认证服务端11根据对应该变换密钥的验证密钥解密该加密服务标识符，以产生一解密服务标识符。

在子步骤385中，该认证服务端11判定是否自身存储有与该解密服务标识符匹配的服务标识符。若该判定结果为肯定，该流程进行步骤39，否则结束。

在步骤39中，当该认证服务端11在步骤38中判定出该加密服务标识符及该使用端序号的组合为已被授权时，也就是说在子步骤385中判定出自身存储有与该解密服务标识符匹配的服务标识符时，该认证服务端11经由该第一通信网络14传送一授权登入通知及该用户数据至该厂商服务端12。

综上所述，本发明用于登入的认证方法，借由该帐密保护器133根据该变换密钥加密该服务标识符以产生该加密服务标识符，该认证服务端11进行该加密服务标识符及该使用端序号的组合是否为已被授权的判定，当该认证服务端11判定出该加密服务标识符及该使用端序号的组合为已被授权时，该认证服务端11才传送该授权登入通知及该用户数据至该厂商服务端12，借此只需要该变换密钥及该使用端序号，就是说可登入所有支持该认证服务端11的厂商服务端12，且该认证服务端11不存储该用户数据，以避免黑客骇入该认证服务端11窃取该用户数据，提高安全性，故确实能达成本发明的目的。

以上所述者，仅为本发明的实施例而已，当不能以此限定本发明实施的范围，就是说凡依本发明权利要求书及说明书内容所作的简单的等效变化与修饰，皆仍属本发明的范围。