CN105431843A - 以通信装置识别码作为网络身份验证 - Google Patents
以通信装置识别码作为网络身份验证 Download PDFInfo
- Publication number
- CN105431843A CN105431843A CN201480038189.1A CN201480038189A CN105431843A CN 105431843 A CN105431843 A CN 105431843A CN 201480038189 A CN201480038189 A CN 201480038189A CN 105431843 A CN105431843 A CN 105431843A
- Authority
- CN
- China
- Prior art keywords
- network
- identification code
- communicator
- network operation
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/102—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Telephonic Communication Services (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种以通信装置识别码及网络操作密码作为网络身份验证的方法,其网络操作密码是由特定网站伺服器内的网络操作密码产生器撷取特定网络操作识别码的部份或全部而产生,且该通信识别码与网络操作密码的验证经由电信网络直接送回验证***,故不会有传统动态密码身份验证方法因网络使用者误上钓鱼网站或所使用的网络遭中间人入侵,使骇客得以藉由取得用户所输入的动态密码来任意窜改认证标的。
Description
本件申请是依据在2013年7月5日提出申请号为61/843,102的有效美国临时专利申请案。
技术领域
本发明提供一种以通信装置识别码及网络操作密码作为网络身份验证的方法,特别是针对一种可以解决目前在网络所动态密码验证的缺失,而能有效抵抗钓鱼网站与中间人攻击的方法。
背景技术
现代人使用因特网络来进行各种网络购物、网络线上游戏、网络金融交易及其他电子商务等活动,已是日常生活中不可或缺又极为普遍的现象,但伴随而来的各种网络骇客的破坏行为也愈来愈多,其大致上可归纳如下。
1.特洛伊木马程式的恶意危害:特洛伊木马或特洛伊木马程式是具有执行电脑使用者所想要的功能,但却也导致其能进入到未被授权的使用者电脑***内,在电脑科学领域中,该特洛伊木马程式看来好像是合法的程式,但却被用来做为只有破坏性的结果,例如:其可以被用来窃取网络密码讯息,使未被授权进入者对电脑***造成更多的损坏,或者可以简易地摧毁电脑硬盘内的各种程式或资料,当特洛伊木马程式被植入攻击对象的电脑***后,电脑骇客便可以进入该电脑来进行删除及执行各种不同的操作。
2.网络钓鱼(Phishing)骗取客户密码的危害:根据反网络钓鱼工作小组(APWG)的定义,网络钓鱼是利用伪造电子邮件与网站作为诱饵,愚弄使用者泄漏如使用者名字、银行帐户密码及信用***码等个人机密资料。
3.互动式假网站(Man-in-the-Middle)窜改交易内容攻击的危害:在密码学领域,该互动式假网站是由骇客躲藏在银行与网络用户端之间,以伪装的银行网站,一边与用户连线互动窃取资料,一边产生假的交易资料,传送至银行真实网站进行交易,使得网络用户端发生的金钱损失。
缘是,为防止上述各种网络的危害发生,目前己因应发展出以OTP动态密码作为验证的方法,并由一些“OTP动态密码验证单位”的营利事业法人推广中,其主要是使用随机乱数产生的密码,依据网络使用者每次进行其所需的网络活动时,而每次产生不同的密码,也就是一次性密码(One-TimePassword,简称OTP)亦称为动态密码,骇客即使拦截到该次的动态密码时,也无法应用到下一次的登入(Login)来危害网络使用者,因此,该动态密码的不可预测性、不会重复性和一次有效性被认为是当前最能够最有效解决使用者的安全身份验证方式之一,其可有效防范木马程式、网络钓鱼、间谍程式、假网站等多种网络骇客攻击问题。
至于而该习知动态密码验证的方法如第1图所示,其步骤包含,并取得其帐号与密码:
A.由网络使用者先申请注册成为“动态密码验证单位”的会员;
B.以上网装置进入与“动态密码验证单位”有合作的其中一线上网站,并点选该线上网站的“动态密码验证网页”;
C.将注册会员时所指定的“帐号”及“密码”完成输入至该动态密码验证网页中的“帐号”及“密码”栏位内;
D.“动态密码验证单位”收到“帐号”及“密码”后,会产生一组“动态密码”,并以电信简讯将该“动态密码”拨打传送至网络使用者指定的行动电话中,来告知网络使用者当次的“动态密码”;
E.网络使用者将阅读自其行动电话所接收电信简讯中的“动态密码”,再输入至该线上网络的“动态密码验证网页”中的“动态密码验证栏位”内;
F.该线上网站即会将该动态密码传送至“动态密码验证单位”,并经“动态密码验证单位”的电脑验证***,比对所接收的“动态密码”与透过电话简讯传送告知网络使用者的“动态密码”相符合时,即在该线上网站的“动态密码验证网页”中出现“登入成功”;反之,则出现“登入失败”。
前述习知动态密码验证的方法自从被推广后,虽已获得某些金融银行、线上游戏及网络购物等公司法人采用,但从2007年以来却遇上了瓶颈而无法快速增长,其原因如下:
1.由于行动电话的普及并具有上网的功能,使得行动电话历史上的第1只病毒“Cabir”与第2只病毒“CommWarrior”分别在2004年6月及2005年1月诞生,其中,该“Cabir”病毒的主要特征是自动搜寻四周有蓝牙功能的智慧型行动电话,不断向搜寻到的行动电话发送讯号,受感染的行动电话萤幕上会出现“Caribe”文字,电池待机时间也会因而缩短;而该“CommWarrior”则会利用多媒体简讯将病毒传给行动电话中的所有联络人,且不断发送简讯造成行动电话的费用损失;2007年7月西班牙警方逮捕撰写这2只手机病毒的28岁骇客,他所制造的变种病毒已使得11.5万支智慧型行动电话受到感染。
此外,在2007年后又陆续发现行动电话病毒已进步到会卧底,台湾财团法人资讯工业策进会(简称资策会)的市场情报中心(MIC)指出,目前已发现行动电话病毒会隐藏在简讯内发送,一旦使用者开启简讯后,就会在完全没察觉的情形下被安装侧录程式,盗取行动电话里头的资讯,甚至侧录对话内容,资策会的MIC又发现,此类卧底病毒会在用户完全感受不到异常的情形下,盗取或删除手机内的个人通讯录、简讯、行程安排、银行帐号、密码等重要讯息,因此,上述步骤D中的“动态密码”因为是由电信简讯方式来传送给网络使用者,一旦该网络使用者的行动电话遭到骇客的侧录程式侵害后,便会让骇客获知该网络使用者每次的“动态密码”,进而能轻易地假冒成该网络使用者的身份来骗过“动态密码验证单位”的电脑验证***,致使整个动态密码验证的功能丧失及无效。
2.又如前述步骤D所述,当每次遇有网络使用者要求做身份验证时,该“动态密码验证单位”所拨打发送当次“动态密码”给网络使用者的电信简讯费用,均是由该与“动态密码验证单位”所合作的线上网站业者来支付,故线上网站业者除须支付固定电信简讯的成本外,更有发生因被其竞争对手或骇客发送的恶意程式诱发数量庞大的无效“动态密码”简讯的情形,其结果不但会增加业者无谓的电信支出,亦大幅地降低所有线上网站业者们导入成为“动态密码”验证机制的意愿,以致使得整个推广上的速度不增反减。
3.又如前述步骤D所述,“动态密码验证单位”会产生一组“动态密码”,并经由简讯传送到指定网络使用者的行动电话。由于该简讯传输的模式是属于行动电信网络商务简讯发送的MT(MobileTerminated行动接收)模式,故不一定会被立即传输,而且也不保证当次在行动网络中的传输会一定百分之百成功(依现行实际传输的结果统计会有5%至10%的传输失败率),此一现行的MT模式机制所存在的缺陷,会导致身份验证迟滞与身份验证失败所衍生的客户投诉。
4.又如前述步骤D所述,“动态密码验证单位”会产生一组“动态密码”,并经由简讯传送到指定网络使用者的行动电话,这意味着每个手机使用者可能从任何传送端获得OTP简讯。这种机制将导致一个名为"OTP简讯钓鱼"的新欺诈:攻击者将欺诈OTP简讯发送到受害者让受害者怀疑他/她的帐户受到攻击。然后,攻击者并假装是受害者的帐户管理员,指示受害人遵循他的命令,然后使受害者被骗来达成诈骗取得他/她的金钱或财务等目的。
5.又如前述步骤F所述,该线上网站即会将该动态密码传送至“动态密码验证单位”,并经“动态密码验证单位”的电脑验证***来进行比对,故一但网络使用者误上钓鱼网站或遭中间人攻击,其所要进行“动态密码验证”的传送,将变成协助钓鱼网站或中间人攻击的骇客可通过“动态密码验证”,反而可轻易达成其窜改网络活动或网络交易的内容,以及任意盗取网络使用者帐户的目的,OTP动态密码即完全失去保护网络使用者的功效。
6.另于2012年,网络攻击者透过号称Eurograbber的Zeus新款变种病毒,在欧洲地区大举展开目标式攻击。Eurograbber先是在义大利被发现,随后也在其他国家被侦测到,受影响的银行有16家位于义大利、7家在西班牙、6家在德国,以及3家在荷兰。Eurograbber的攻击模式,比较特别的是,该病毒会先感染使用者电脑,然后再感染他们的行动装置,从而拦截银行发到使用者手机的简讯,取得网络银行的交易确认码(Transactionauthenticationnumber,TAN),藉此突破用来提升网络交易安全的双因素认证(two-factorauthentication)机制。Zitmo即为行动版Zeus,专门设计用来拦截银行的简讯,以窃取网络交易授权码,也就是用来做为银行双因素认证的要素,再交由Eurograbber利用这组授权码将受害者帐户中的钱转到指定帐户,每笔被窃金额从656美元到32.8万美元不等。
鉴于上列网络不法诈骗事件层出不穷,且有与日俱增的情况,而既有各式于网页回填OTP以进行动态密码验证的机制明显无法有效保护网络使用者,故如何遏止此犯罪的歪风并有效保护网络使用者,乃为刻不容缓之事。
发明内容
本发明的主要目的在提供一种以通信装置识别码及网络操作密码作为网络身份验证的方法,其步骤包含:
a.导引网络使用者经由因特网络每次进入一特定网站进行特定网络操作时,即要求其必须选定一通信装置,并将该通信装置所专属对应的通信装置识别码与特定网络操作所专属对应的网站、帐号、交易或其他服务网络操作识别码,分别输入该特定网站的动态网页中的通信装置识别码栏位及网站、帐号、交易或其他服务网络操作识别码栏位内,其中,若该网络使用者不愿将其通信装置识别码输入时,即表示选择放弃在网络上接受身份验证的服务;
b.在特定网站的网站伺服器内的网络操作密码产生模组收到该网站、帐号、交易或其他服务网络操作识别码后,会撷取网站、帐号、交易或其他服务网络操作识别码的部份或全部来产生网络操作密码,并同步在动态网页上呈现网络操作密码与网站、帐号、交易或其他服务网络操作识别码的关系说明,同时又将该通信装置识别码及网络操作密码一起储存于网站伺服器的验证资料库内;
c.网络使用者用其选定的通信装置,将目视来自动态网页上网络操作密码与网站、帐号、交易或其他服务网络操作识别码的关系说明而得之网络操作密码,主动以电信简讯的方式经由电信网络传送至特定网站所指定的受信端;
d.受信端收到上述电信简讯时,会主动侦测得知该电信简讯的通信装置所专属的通信装置识别码,并立即与该电信简讯内的网络操作密码一起传送至特定网站的验证资料库内进行比对,若与该验证资料库内所储存的通信装置识别码及网络操作密码均相符合,即在该特定网站的动态网页中出现验证成功或相类似的输出;反之,若比对有其中一项不符合,则出现验证失败或相类似的输出。
上述方法中,该“网络操作密码”是经由特定网站伺服器内的网络操作密码产生器,撷取“网站、帐号、交易或其他服务网络操作识别码”的部份或全部来产生,且其“通信装置识别码”与“网络操作密码”的验证是透过电信网络直接送回验证***,而非习知以在因特网络进行传送,故不会有习知因网络使用者的网络遭中间人入侵,并取得动态密码与任意窜改认证标的的资讯所导致损害的缺失。
本发明的另一目的在提供一种以通信装置识别码及网络操作密码作为网络身份验证的方法,由于本发明步骤c中的网络操作密码是由网络使用者采〝主动〞拨打电信简讯的方式,故其电信费用亦由该网络使用者支付,而网站业者完全不必负担该电信费用的成本,更不必害怕遭受竞争对手或骇客,所发送恶意程式诱发数量庞大的无效网络操作密码简讯的情形,故可大幅提高所有线上网站业者们导入成为网络操作密码验证机制的意愿;再者,在本发明步骤d中的验证比对参数上包括通信装置识别码及网络操作密码两项,只要有其中一项不符合即无法通过验证,故其安全性远较习知仅以单一动态密码的比对方式来得更高。
本发明的再一目的在提供一种以通信装置识别码及网络操作密码作为网络身份验证的方法,由于本发明步骤c中的“网络操作密码”是由网络使用者采〝主动〞拨打电信简讯的方式,若骇客以中间人攻击进行入侵伪冒成网络使用者进行自己想要的网络交易,则会因骇客的受款帐号与网络使用者所输入的受款帐号必然不相同,故所产生的“网络操作密码”必然也不相同,换言之,骇客若以中间人攻击窜改受款帐户为骇客自己的银行帐户,则必因网络使用者所发送的“网络操作密码”与验证资料库内所储存的“网络操作密码”不符合,使得骇客依然无法达成假冒其身份来通过验证而进入网络银行网站去遂行其犯罪破坏的行为,故本发明的安全性确实远较习知动态密码验证的方法要高且在防范钓鱼网站与中间人攻击具有高度的效益。
本发明的又一目的在提供一种以通信装置识别码及网络操作密码作为网络身份验证的方法,由于本发明步骤c中的网络操作密码是由网络使用者采〝主动〞拨打电信简讯的方式,简讯传输模式是行动电信网络的MO(行动发起)模式,这是比MT(行动接收)优先顺序更高的传输,且传输的成功与否会显示于对使用者的行动电话中。因此,本发明是比习知动态密码验证的方法以使用者被动接收OTP简讯更具时效且更可靠的身分验证机制。
本发明的另一目的在提供一种以通信装置识别码及网络操作密码作为网络身份验证的方法,由于本发明步骤c中的网络操作密码是由网络使用者采〝主动〞拨打电信简讯的方式,如此使用者不会预期其行动电话会收到任何OTP简讯,自然没有骇客攻击者藉发送诈欺OTP简讯来诈欺使用者的可能,自然不会发生习知动态密码验证的方法可能产生的"OTP简讯钓鱼"的新型态犯罪手法。
附图说明
图1:是习知动态密码验证方法的步骤流程图。
图2:是本发明方法的步骤流程图。
图3:是图2的作动方块图。
图4:是本发明方法另一实施例的作动方块图。
具体实施方式
请参阅图2及图3所示,是本发明“一种以通信装置识别码及网络操作密码作为网络身份验证的方法”的第一实施例,其步骤包含:
a.导引网络使用者10经由因特网络W每次进入一特定网站20进行特定网络操作50时,即要求其必须选定一通信装置30,并将该通信装置30所专属对应的通信装置识别码31与特定网络操作所专属对应的网站、帐号、交易或其他服务网络操作识别码51,分别输入该特定网站20的动态网页22中的通信装置识别码栏位23及网站、帐号、交易或其他服务网络操作识别码栏位24内,其中,若该网络使用者10不愿将其通信装置识别码31输入时,即表示选择放弃在网络W上接受身份验证的服务;
b.在特定网站20的网站伺服器21内的网络操作密码产生模组210收到该网站、帐号、交易或其他服务网络操作识别码51后,会撷取网站、帐号、交易或其他服务网络操作识别码51的部份或全部来产生网络操作密码32,并同步在动态网页22上呈现网络操作密码与网站、帐号、交易或其他服务网络操作识别码的关系说明211,同时又将该通信装置识别码31及网络操作密码32一起储存于网站伺服器21的验证资料库26内;
c.网络使用者10用其选定的通信装置30,将目视V来自动态网页22上网络操作密码与网站、帐号、交易或其他服务网络操作识别码的关系说明211而得之网络操作密码32(如第3图中的标示符号V所示),主动以电信简讯的方式经由电信网络传送至特定网站20所指定的受信端40;
d.受信端40收到上述电信简讯时,会主动侦测得知该电信简讯的通信装置30所专属的通信装置识别码31,并立即与该电信简讯内的网络操作密码32一起传送至特定网站20的验证资料库26内进行比对,若与该验证资料库26内所储存的通信装置识别码31及网络操作密码32均相符合,即在该特定网站20的动态网页22中出现验证成功或相类似的输出;反之,若比对有其中一项不符合,则出现验证失败或相类似的输出。
其中,步骤a中该通信装置30若为固网电话时,则其相应的通信装置识别码31即是该固网电话的固网电话号码;而该通信装置30若为行动电话时,则其相应的通信装置识别码31可以是该行动电话的行动电话号码,或是该行动电话的用户识别模组(SIM,SubscriberIdentityModule)的资料。
而步骤b中若该网站、帐号、交易或其他服务网络操作识别码51是特定网站20的网址,则其相对应的网络操作密码32即是由网络操作密码产生模组210撷取该特定网站20的网址的部份或全部而成;若该网站、帐号、交易或其他服务网络操作识别码51是网络银行交易的受款银行帐户,则其相对应的网络操作密码32即是由网络操作密码产生模组210撷取该网络银行交易的受款银行帐户的部分或全部而成;若该网站、帐号、交易或其他服务网络操作识别码51是电子商务的交易序号,则其相对应的网络操作密码32即是由网络操作密码产生模组210撷取该电子商务交易序号的部份或全部而成。
又步骤c中该电信简讯的传送方式,可更换成电信语音传送方式、电信影像传送方式或网路语音传送方式及包括非结构化补充数据业务(USSD)。
另步骤d中该受信端40的电话号码可更设为电信简码,且不论是电话号码或是电信简码,其均是以媒体广告的宣传方式来让公众接收得知。
因此,当某一网络使用者10进入一特定网站20(例如网络银行)进行特定转账行为的特定网络操作50后,选用其合法申请的行动电话做为通信装置30,假设该行动电话的电话号码为“123456789”,则在该特定网站20的动态网页22中的通信装置识别码栏位23内应输入的通信装置识别码31即为“123456789”,另假设特定转账的受款帐户号码为“112232445566”,则在该特定网站20的动态网页22中的网站、帐号、交易或其他服务网络操作识别码栏位24内应输入的网站、帐号、交易或其他服务网络操作识别码51即为“112232445566”。
在特定网站20的网站伺服器21收到该“123456789”的通信装置识别码31及“112232445566”的网站、帐号、交易或其他服务网络操作识别码“51后,该特定网站20的网站伺服器21内的网络操作密码产生模组210便会立即作动来撷取该网站、帐号、交易或其他服务网络操作识别码51的部份或全部,若当次的方式是撷取网站、帐号、交易或其他服务网络操作识别码51的末六码“445566”,即会同步在动态网页22上呈现的网络操作密码与网站、帐号、交易或其他服务网络操作识别码的关系说明211为〝请以112232445566的末六码做为本次的网络操作密码〞,并同时将该末六码“445566”成为当次的网络操作密码32而一并呈现在动态网页22的网络操作密码栏位25上,同时该“123456789”的通信装置识别码31及“445566”的网络操作密码32也会一起储存于网站伺服器21的验证资料库26内。
接著,网络使用者10藉由目视得知特定网站20的动态网页22上呈现的网络操作密码与网站、帐号、交易或其他服务网络操作识别码的关系说明211,並在此同時,网络使用者10只要用该行动电话码为“123456789”的行动电话做為通信装置30的通信装置识别码31,及将目视“445566”成为当次的网络操作密码32,并以简讯传送至受信端40,便可通过身份验证而进入至特定网络银行网站开始进行网络转账。
其中,在前述操作过程中,当骇客虽未以钓鱼网页或中间人攻击进行入侵,即便已早知道网络使用者10的行动电话号码为“123456789”或是相同的通信装置30的通信装置识别码,骇客也无法轻易取得该行动电话号码使用权用以发送以该行动电话号码为通信装置识别码31的简讯,进而无法达成假冒网络使用者的身份来通过验证而进入网络银行网站去遂行其犯罪破坏的行为。
同样地,即便骇客以钓鱼网页或中间人攻击进行入侵伪冒成网络使用者10进行自己想要的转账交易,但由于骇客自己的受款帐号与网络使用者10所输入的网站、帐号、交易或其他服务网络操作识别码51(即受款帐号)必然不相同,故所产生的网络操作密码32必然也不相同,即骇客若以钓鱼网页或中间人攻击窜改受款帐户为骇客本身的银行帐户,则其所发送至受信端40的网络操作密码32乃为骇客本身的银行帐户号码,但其却会与验证资料库26内所储存的网络操作密码32仍不符合,故骇客依然无法达成假冒其身份来通过验证而进入网络银行网站去遂行其犯罪破坏的行为。
因此,本发明的安全性确实远较习知动态密码验证的方法要高且在防范钓鱼网页与中间人攻击上具有高度效益,进而能让所有重视网络交易安全的网络使用者完全放心使用。
再如图4所示,其中,该步骤b中网络操作密码与网站、帐号、交易或其他服务网络操作识别码的关系说明211的显示方式,更可以透过电子邮件33a,或网络通讯语音33b,或电信语音33c,或电信简讯33d等不同的方式来显示及告知网络使用者10。
Claims (11)
1.一种以通信装置识别码及网络操作密码作为网络身份验证的方法,其步骤包含:
a.导引网络使用者每次进入特定网站进行特定网络操作时,即要求其必须选定一通信装置,并将该通信装置所专属对应的通信装置识别码与特定网络操作所属的特定网络操作识别码分别输入该特定网站的动态网页中的通信装置识别码栏位与特定网络操作识别码栏位内;
b.该特定网站的网站伺服器收到该通信装置识别码与特定网络操作识别码后,该伺服器内的网络操作密码产生模组会撷取特定网络操作识别码的部份或全部内容而产生一网络操作密码,并同步在该特定网站的动态网页上呈现一网络操作密码与特定网络操作识别码两者间的关系指示说明,另又同时将该通信装置识别码与网络操作密码一起储存于网站伺服器的验证资料库内;
c.网络使用者用其选定的通信装置,将目视来自动态网页中网络操作密码与特定网络操作识别码的关系说明所得的网络操作密码,主动以电信简讯的方式经由电信网络传送至特定网站所指定的受信端;及
d.受信端收到上述电信简讯时,会主动侦测得知该电信简讯的通信装置所专属的通信装置识别码,并立即与该电信简讯内的网络操作密码一起传送至该特定网站的验证资料库内进行比对,若与该验证资料库内所储存的通信装置识别码及网络操作密码均相符合,即在该特定网站的动态网页中出现验证成功或相类似的输出;反之,若比对有其中一项不符合,则出现验证失败或相类似的输出。
2.如申请专利范围第1项所述的以通信装置识别码及网络操作密码作为网络身份验证的方法,其中,该步骤a中的通信装置为固网电话,而其相应的通信装置识别码为固网电话号码。
3.如申请专利范围第1项所述的以通信装置识别码及网络操作密码作为网络身份验证的方法,其中,该步骤a中的通信装置为行动电话,而其相应的通信装置识别码为行动电话号码。
4.如申请专利范围第1项所述的以通信装置识别码及网络操作密码作为网络身份验证的方法,其中,该步骤a中的通信装置为行动电话,而其相应的通信装置识别码为该行动电话的用户识别模组(SIM,SubscriberIdentityModule)的资料。
5.如申请专利范围第1项所述的以通信装置识别码及网络操作密码作为网络身份验证的方法,其中,该步骤b中网络操作密码与特定网络操作识别码的关系说明的显示方式,可更设为电子邮件,或网络通讯语音,或电信语音,或电信简讯等方式。
6.如申请专利范围第1项所述的以通信装置识别码及网络操作密码作为网络身份验证的方法,其中,该步骤b中的特定网络操作识别码为该特定网站的网址,而其相应的网络操作密码为该特定网站的网址的部份或全部。
7.如申请专利范围第1项所述的以通信装置识别码及网络操作密码作为网络身份验证的方法,其中,该步骤b中的特定网络操作识别码为网络银行交易的受款银行帐户,而其相应的网络操作密码为网络银行交易受款银行帐户的部份或全部。
8.如申请专利范围第1项所述的以通信装置识别码及网络操作密码作为网络身份验证的方法,其中,该步骤b中的特定网络操作识别码为电子商务的交易序号,而其相应的网络操作密码为电子商务交易序号的部份或全部。
9.如申请专利范围第1项所述的以通信装置识别码及网络操作密码作为网络身份验证的方法,其中,该步骤c***简讯传送的方式,可更设为电信语音或影像传送的方式。
10.如申请专利范围第1项所述的以通信装置识别码及网络操作密码作为网络身份验证的方法,其中,该步骤d的受信端的电话号码可更设为电信简码。
11.如申请专利范围第1项所述的以通信装置识别码及网络操作密码作为网络身份验证的方法,其中,该步骤c***简讯的传送方式可更设为非结构化补充数据业务。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361843102P | 2013-07-05 | 2013-07-05 | |
| US61/843,102 | 2013-07-05 | ||
| PCT/US2014/045541 WO2015003182A1 (en) | 2013-07-05 | 2014-07-07 | Network identity authentication using communication device identification code |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105431843A true CN105431843A (zh) | 2016-03-23 |
Family
ID=52144228
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480038189.1A Pending CN105431843A (zh) | 2013-07-05 | 2014-07-07 | 以通信装置识别码作为网络身份验证 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20160142398A1 (zh) |
| JP (1) | JP2016532936A (zh) |
| CN (1) | CN105431843A (zh) |
| AU (1) | AU2014285035A1 (zh) |
| DE (1) | DE112014003159T5 (zh) |
| SG (1) | SG11201510655RA (zh) |
| WO (1) | WO2015003182A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109600354A (zh) * | 2017-09-30 | 2019-04-09 | 优仕达资讯股份有限公司 | 网络身份验证***与方法 |
| CN111898107A (zh) * | 2020-08-18 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 账号冻结方法、装置、计算机设备和存储介质 |
| TWI726383B (zh) * | 2019-08-15 | 2021-05-01 | 互動資通股份有限公司 | 簡訊啟動網頁的身分辨識方法 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170093828A1 (en) * | 2015-09-25 | 2017-03-30 | Nicolas Lupien | System and method for detecting whether automatic login to a website has succeeded |
| TWI637621B (zh) | 2017-01-05 | 2018-10-01 | 緯創資通股份有限公司 | 物聯網讀取裝置、安全存取方法以及控制中心設備 |
| US10810510B2 (en) | 2017-02-17 | 2020-10-20 | International Business Machines Corporation | Conversation and context aware fraud and abuse prevention agent |
| US10757058B2 (en) | 2017-02-17 | 2020-08-25 | International Business Machines Corporation | Outgoing communication scam prevention |
| US10102868B2 (en) | 2017-02-17 | 2018-10-16 | International Business Machines Corporation | Bot-based honeypot poison resilient data collection |
| US11057362B2 (en) * | 2017-10-05 | 2021-07-06 | Ca, Inc. | Adaptive selection of authentication schemes in MFA |
| US12021861B2 (en) * | 2021-01-04 | 2024-06-25 | Bank Of America Corporation | Identity verification through multisystem cooperation |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040030934A1 (en) * | 2001-10-19 | 2004-02-12 | Fumio Mizoguchi | User selectable authentication interface and universal password oracle |
| US20080139184A1 (en) * | 2004-11-24 | 2008-06-12 | Vascode Technologies Ltd. | Unstructured Supplementary Service Data Call Control Manager within a Wireless Network |
| US20110072499A1 (en) * | 2009-09-18 | 2011-03-24 | Chung-Yu Lin | Method of identity authentication and fraudulent phone call verification that utilizes an identification code of a communication device and a dynamic password |
| CN102164141A (zh) * | 2011-04-24 | 2011-08-24 | 陈珂 | 保护账号安全的方法 |
| US20120297190A1 (en) * | 2011-05-19 | 2012-11-22 | Microsoft Corporation | Usable security of online password management with sensor-based authentication |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002099763A (ja) * | 2000-09-22 | 2002-04-05 | Fujitsu Ltd | 取引支援装置および取引支援方法 |
| JP2002123779A (ja) * | 2000-10-12 | 2002-04-26 | Hitachi Ltd | 決済処理方法及びシステム並びにプログラムを格納した記録媒体 |
| US7124433B2 (en) * | 2002-12-10 | 2006-10-17 | International Business Machines Corporation | Password that associates screen position information with sequentially entered characters |
| US20060090073A1 (en) * | 2004-04-27 | 2006-04-27 | Shira Steinberg | System and method of using human friendly representations of mathematical values and activity analysis to confirm authenticity |
| US20070136573A1 (en) * | 2005-12-05 | 2007-06-14 | Joseph Steinberg | System and method of using two or more multi-factor authentication mechanisms to authenticate online parties |
| CN101212473A (zh) * | 2006-12-31 | 2008-07-02 | 北京握奇数据***有限公司 | 一种通过多媒体实现交互信息的方法及*** |
| US8281375B2 (en) * | 2007-01-05 | 2012-10-02 | Ebay Inc. | One time password authentication of websites |
| US20110016049A1 (en) * | 2007-12-11 | 2011-01-20 | Craig Patrick Kilfoil | Account risk management and authorization system for preventing unauthorized usage of accounts |
| JP2009276864A (ja) * | 2008-05-13 | 2009-11-26 | Hitachi Ltd | 情報端末、および認証サーバ |
| US20130166450A1 (en) * | 2010-04-23 | 2013-06-27 | Thandisizwe Ezwenilethu Pama | Identity Verification System Using Network Initiated USSD |
| CN103095662B (zh) * | 2011-11-04 | 2016-08-03 | 阿里巴巴集团控股有限公司 | 一种网上交易安全认证方法及网上交易安全认证*** |
| JP5216932B1 (ja) * | 2012-10-01 | 2013-06-19 | さくら情報システム株式会社 | ワンタイムパスワード装置、システム及びプログラム |
-
2014
- 2014-07-07 AU AU2014285035A patent/AU2014285035A1/en not_active Abandoned
- 2014-07-07 CN CN201480038189.1A patent/CN105431843A/zh active Pending
- 2014-07-07 US US14/324,590 patent/US20160142398A1/en not_active Abandoned
- 2014-07-07 WO PCT/US2014/045541 patent/WO2015003182A1/en active Application Filing
- 2014-07-07 DE DE112014003159.3T patent/DE112014003159T5/de not_active Ceased
- 2014-07-07 SG SG11201510655RA patent/SG11201510655RA/en unknown
- 2014-07-07 JP JP2016524389A patent/JP2016532936A/ja active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040030934A1 (en) * | 2001-10-19 | 2004-02-12 | Fumio Mizoguchi | User selectable authentication interface and universal password oracle |
| US20080139184A1 (en) * | 2004-11-24 | 2008-06-12 | Vascode Technologies Ltd. | Unstructured Supplementary Service Data Call Control Manager within a Wireless Network |
| US20110072499A1 (en) * | 2009-09-18 | 2011-03-24 | Chung-Yu Lin | Method of identity authentication and fraudulent phone call verification that utilizes an identification code of a communication device and a dynamic password |
| CN102164141A (zh) * | 2011-04-24 | 2011-08-24 | 陈珂 | 保护账号安全的方法 |
| US20120297190A1 (en) * | 2011-05-19 | 2012-11-22 | Microsoft Corporation | Usable security of online password management with sensor-based authentication |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109600354A (zh) * | 2017-09-30 | 2019-04-09 | 优仕达资讯股份有限公司 | 网络身份验证***与方法 |
| TWI726383B (zh) * | 2019-08-15 | 2021-05-01 | 互動資通股份有限公司 | 簡訊啟動網頁的身分辨識方法 |
| CN111898107A (zh) * | 2020-08-18 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 账号冻结方法、装置、计算机设备和存储介质 |
| CN111898107B (zh) * | 2020-08-18 | 2024-06-07 | 腾讯科技(深圳)有限公司 | 账号冻结方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| SG11201510655RA (en) | 2016-01-28 |
| DE112014003159T5 (de) | 2016-07-14 |
| JP2016532936A (ja) | 2016-10-20 |
| AU2014285035A1 (en) | 2016-01-28 |
| WO2015003182A1 (en) | 2015-01-08 |
| US20160142398A1 (en) | 2016-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105431843A (zh) | 以通信装置识别码作为网络身份验证 | |
| US8549594B2 (en) | Method of identity authentication and fraudulent phone call verification that utilizes an identification code of a communication device and a dynamic password | |
| Mirian et al. | Hack for hire: Exploring the emerging market for account hijacking | |
| US10484426B2 (en) | Auto-generated synthetic identities for simulating population dynamics to detect fraudulent activity | |
| Hammood et al. | A review of user authentication model for online banking system based on mobile IMEI number | |
| CN102160059A (zh) | 服务器操作的授权 | |
| US11403633B2 (en) | Method for sending digital information | |
| CN102147662A (zh) | 带键盘和加密模块的输入终端 | |
| CN105184567A (zh) | 信息的处理方法、处理装置和移动终端 | |
| US20050238174A1 (en) | Method and system for secure communications over a public network | |
| CN103401686B (zh) | 一种用户互联网身份认证***及其应用方法 | |
| CN109740319B (zh) | 数字身份验证方法及服务器 | |
| Mandalapu et al. | An NFC featured three level authentication system for tenable transaction and abridgment of ATM card blocking intricacies | |
| Vila et al. | A professional view on ebanking authentication: Challenges and recommendations | |
| KR101321829B1 (ko) | 사이트 방문자 인증 방법 및 인증 시스템 | |
| Wodo et al. | Security Issues of Electronic and Mobile Banking. | |
| Brabin et al. | A secure mechanism for prevention of vishing attack in banking system | |
| TW201112720A (en) | Method of communication device recognition code and dynamic code for network identification and telephone fraud certification | |
| TWI609287B (zh) | Using communication device identification code and network operation password as methods for network authentication | |
| Mohanty et al. | Nfc featured triple tier atm protection | |
| Virmani et al. | M, Mathur V, Saxena S (2020) Analysis of cyber attacks and security intelligence: Identity theft | |
| Singh et al. | When social networks meet payment: a security perspective | |
| Ekeh et al. | Awareness of BVN, SIM swap and clone frauds: Methods and controls | |
| Blancaflor et al. | Social Media Content Compilation of Online Banking Scams in the Philippines: A Literature Review | |
| Polyakov et al. | Security of user authentication in payment systems in the agricultural value chain |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160323 |
|
| WD01 | Invention patent application deemed withdrawn after publication |