CN108881153A - 用于登入的认证方法 - Google Patents
用于登入的认证方法 Download PDFInfo
- Publication number
- CN108881153A CN108881153A CN201810359161.8A CN201810359161A CN108881153A CN 108881153 A CN108881153 A CN 108881153A CN 201810359161 A CN201810359161 A CN 201810359161A CN 108881153 A CN108881153 A CN 108881153A
- Authority
- CN
- China
- Prior art keywords
- communication network
- certificate server
- serial number
- server
- mobile device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000004891 communication Methods 0.000 claims description 100
- 230000005540 biological transmission Effects 0.000 claims description 13
- 238000009434 installation Methods 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 8
- 238000013475 authorization Methods 0.000 claims description 5
- 239000011159 matrix material Substances 0.000 claims description 3
- 230000009466 transformation Effects 0.000 claims description 3
- 230000008859 change Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种用于登入的认证方法,包含以下步骤:(A)当认证服务端接收到来自厂商服务端的连结请求时,所述认证服务端产生并存储服务标识符,且传送所述服务标识符至所述厂商服务端,以致所述厂商服务端传送所述服务标识符至使用端模块;(B)当所述认证服务端从所述使用端模块接收到加密服务标识符、使用端序号,及用户数据时,所述认证服务端判定所述加密服务标识符及所述使用端序号的组合是否为已被授权;及(C)当所述认证服务端判定出所述加密服务标识符及所述使用端序号的组合为已被授权时,所述认证服务端传送授权登入通知及所述用户数据至所述厂商服务端。
Description
技术领域
本发明涉及一种认证方法,特别是涉及一种用于登入的认证方法。
背景技术
用户登入电子信箱网站、购物网站,或社群网站时,通常都会被要求输入账号与密码。然而,若该使用者在不同的网站注册不同的账号与密码,则该用户需要记忆多组账号与密码,导致该用户可能会遗忘某个网站的账号或密码,而无法登入。
为方便该使用者登入多个网站,现有相关技术人员提出了例如OpenID的单一签入(Single Sign On,SSO)的解决方法,其是通过一身分提供者(Identity Provider)存储多笔用户数据,在登入网站时,该使用者根据一认证码提供一相关于该身分提供者的统一资源标志符(Uniform Resource Identifier,URI),以致网站根据该统一资源标志符链接至该身分提供者,该身分提供者再提供相关于该用户的用户数据,以认证该使用者的身分,让该用户只需要记忆一组认证码,就是说可登入所有支持OpenID的所有网站。举例来说,使用者Alice在身分提供者http://openid-provider.org处注册了一认证码,该认证码例如为alice,则使用者Alice提供给网站的该统一资源标志符为http://alice.openid- provider.org/。
然而,现有的身分提供者认证机制较为薄弱,容易发生该身分提供者因管理不当而让黑客窃取用户数据,一旦用户数据被窃取,所述用户数据可能会被盗用,而导致所有支持OpenID的网站可能被黑客以所述用户数据登入。
发明内容
本发明的目的在于提供一种具有高安全性的用于登入的认证方法。
本发明的用于登入的认证方法,由包含认证服务端的***来实施,所述认证服务端、使用端模块,及厂商服务端经由第一通信网络相互连接,该用于登入的认证方法包含一步骤(A)、一步骤(B),及一步骤(C)。
在步骤(A)中,当所述认证服务端经由所述第一通信网络接收到来自所述厂商服务端的连结请求时,所述认证服务端产生并存储服务标识符,且经由所述第一通信网络传送所述服务标识符至所述厂商服务端,以致所述厂商服务端经由所述第一通信网络传送所述服务标识符至所述使用端模块。
在步骤(B)中,当所述认证服务端经由所述第一通信网络从所述使用端模块接收到由所述使用端模块根据预存的变换密钥加密所述服务标识符而产生的加密服务标识符、对应于所述使用端模块与所述变换密钥的使用端序号,及用户数据时,所述认证服务端判定所述加密服务标识符及所述使用端序号的组合是否为已被授权。
在步骤(C)中,当所述认证服务端判定出所述加密服务标识符及所述使用端序号的组合为已被授权时,所述认证服务端经由所述第一通信网络传送授权登入通知及所述用户数据至所述厂商服务端。
较佳地,本发明的用于登入的认证方法,所述使用端模块包括经由所述第一通信网络与所述厂商服务端连接且连接第二通信网络的移动装置,及经由所述第二通信网络与所述移动装置连接的帐密保护器,所述帐密保护器存储有所述变换密钥,在步骤(A)中,所述厂商服务端根据所接收到的来自所述移动装置的登入请求产生所述连结请求并传送所述连结请求至所述认证服务端,且所述厂商服务端经由所述第一通信网络传送所述服务标识符至所述移动装置,所述移动装置经由所述第二通信网络传送所述服务标识符至所述帐密保护器,以致在步骤(B)中,所述帐密保护器根据所述变换密钥加密所述服务标识符而产生所述加密服务标识符。
较佳地,本发明的用于登入的认证方法,所述使用端模块包括经由所述第一通信网络与所述厂商服务端连接的计算机装置、连接第二通信网络的移动装置,及经由所述第二通信网络与所述移动装置连接的帐密保护器,所述帐密保护器存储有所述变换密钥,在步骤(A)中,所述厂商服务端根据所接收到的来自所述计算机装置的登入请求产生并传送所述连结请求,且所述厂商服务端经由所述第一通信网络传送所述服务标识符至所述计算机装置,所述移动装置在从所述计算机装置获得所述服务标识符后,经由所述第二通信网络传送所述服务标识符至所述帐密保护器,以致在步骤(B)中,所述帐密保护器根据所述变换密钥加密所述服务标识符而产生所述加密服务标识符。
较佳地,本发明的用于登入的认证方法,所述移动装置还经由所述第一通信网络与所述认证服务端连接,所述帐密保护器还存储有对应所述帐密保护器的所述使用端序号及所述用户数据,在步骤(B)中,所述帐密保护器将所述加密服务标识符、所述使用端序号及所述用户数据经由所述第二通信网络传送至所述移动装置,所述移动装置再经由所述第一通信网络传送所述加密服务标识符、所述使用端序号及所述用户数据至所述认证服务端。
较佳地,本发明的用于登入的认证方法,所述认证服务端存储有多个比对序号及多个分别对应所述比对序号的验证密钥,步骤(B)包含以下子步骤:
(B-1)所述认证服务端经由所述第一通信网络接收所述加密服务标识符、所述使用端序号,及所述用户数据;
(B-2)当所述认证服务端接收到所述加密服务标识符、所述使用端序号,及所述用户数据时,所述认证服务端根据所述使用端序号判定所述使用端序号是否匹配于所述比对序号的其中一者;
(B-3)当所述认证服务端判定出所述使用端序号匹配于所述比对序号的其中一者时,所述认证服务端判定匹配于所述使用端序号的比对序号对应的验证密钥也对应所述变换密钥;
(B-4)所述认证服务端根据对应所述变换密钥的验证密钥解密所述加密服务标识符,以产生解密服务标识符;及
(B-5)所述认证服务端判定是否自身存储有与所述解密服务标识符匹配的服务标识符;
在步骤(C)中,当所述认证服务端判定出自身存储有与所述解密服务标识符匹配的服务标识符时,所述认证服务端判定所述加密服务标识符及所述使用端序号的组合为已被授权。
较佳地,本发明的用于登入的认证方法,所述认证服务端存储有多个初始密钥,所述使用端模块存储有使用端初始密钥,在步骤(A)前还包含以下步骤:
(D)当所述认证服务端经由所述第一通信网络接收到来自所述使用端模块的所述使用端初始密钥时,所述认证服务端判定所述使用端初始密钥是否匹配于所述初始密钥的其中一者;
(E)当所述认证服务端判定出所述使用端初始密钥匹配于所述初始密钥的其中一者时,所述认证服务端产生并传送认证码至所述使用端模块,以致所述使用端模块经由所述第一通信网络传送包含相关于所述认证码的认证数据、所述使用端初始密钥及所述使用端序号的注册数据至所述认证服务端;
(F)所述认证服务端根据所述注册数据的所述认证数据判定所述认证数据是否与所述认证码相符;及
(G)当所述认证服务端判定出所述认证数据与所述认证码相符时,所述认证服务端根据所述注册数据的所述使用端初始密钥产生所述变换密钥,并经由所述第一通信网络传送所述变换密钥至所述使用端模块,且根据所述变换密钥产生并存储对应所述使用端序号且对应所述变换密钥的验证密钥,且将所述使用端序号存储为比对序号。
较佳地,本发明的用于登入的认证方法,所述使用端模块包括连接所述第一通信网络及第二通信网络的移动装置,及经由所述第二通信网络与所述移动装置连接的帐密保护器,所述移动装置经由所述第一通信网络与所述认证服务端连接,所述帐密保护器存储有所述使用端初始密钥,在步骤(D)中,所述帐密保护器回应于来自所述移动装置的数据提供请求,经由所述第二通信网络传送所述使用端初始密钥及所述使用端序号至所述移动装置,所述移动装置经由所述第一通信网络传送所述使用端初始密钥至所述认证服务端,在步骤(E)中,当所述移动装置经由所述第一通信网络接收到所述认证码时,所述移动装置根据所述认证码产生所述认证数据,并经由所述第一通信网络传送所述注册数据至所述认证服务端,在步骤(G)中,所述移动装置经由所述第一通信网络接收所述变换密钥,并经由所述第二通信网络传送所述变换密钥至所述帐密保护器。
较佳地,本发明的用于登入的认证方法,所述第一通信网络是互联网,所述第二通信网络是短距无线通信网络。
较佳地,本发明的用于登入的认证方法,在步骤(A)中,所述服务标识符是快速响应矩阵码编码。
本发明的有益效果在于:借由所述使用端模块根据所述变换密钥加密所述服务标识符以产生所述加密服务标识符,以致所述认证服务端进行所述加密服务标识符及所述使用端序号的组合是否为已被授权的判定,当所述认证服务端判定出所述加密服务标识符及所述使用端序号的组合为已被授权时,所述认证服务端才传送所述授权登入通知及所述用户数据至所述厂商服务端,借此只需要所述变换密钥及所述使用端序号,就是说可登入所有支持所述认证服务端的厂商服务端,且所述认证服务端不存储所述用户数据,以避免黑客骇入所述认证服务端窃取所述用户数据,提高安全性。
附图说明
本发明的其他的特征及功效,将于参照图式的实施方式中清楚地呈现,其中:
图1是一方块图,示例地绘示一用来实施本发明用于登入的认证方法的一实施例的***;
图2是一流程图,说明该实施例的一注册程序;
图3是一流程图,说明该实施例的一登入程序;及
图4是一流程图,说明图3中步骤38的子步骤。
具体实施方式
参阅图1,图1说明用来实施本发明用于登入的认证方法的一实施例的一***100,包含一认证服务端11、一厂商服务端12,及一使用端模块13。
该认证服务端11连接一第一通信网络14,并存储有多个初始密钥、多个比对序号及多个分别对应所述比对序号的验证密钥,该第一通信网络14例如是一网络互联网。
该厂商服务端12经由该第一通信网络14与该认证服务端11连接。
该使用端模块13包括一经由该第一通信网络14与该厂商服务端12连接的计算机装置131、一经由该第一通信网络14与该认证服务端11连接且连接一第二通信网络15的移动装置132,及一经由该第二通信网络15与该移动装置132连接的帐密保护器133,该帐密保护器133存储有一使用端初始密钥、一对应该帐密保护器133的使用端序号,及一笔用户数据,该第二通信网络15例如是一短距无线通信网络。此外,在其他实施例中,该使用端模块13可不包括该计算机装置131,且该移动装置132还经由该第一通信网络14与该厂商服务端12连接。
本发明登入的认证方法的该实施例包含一注册程序及一登入程序。
参阅图1及图2,该注册程序包含步骤21~29。以下详述各个步骤。
在步骤21中,该移动装置132经由该第二通信网络15传送一数据提供请求至该帐密保护器133。
在步骤22中,该帐密保护器133响应于该数据提供请求,经由该第二通信网络15传送该使用端初始密钥及该使用端序号至该移动装置132。
在步骤23中,当该移动装置132接收到该使用端初始密钥及该使用端序号时,该移动装置132经由该第一通信网络14传送该使用端初始密钥至该认证服务端11。
在步骤24中,当该认证服务端11接收到该使用端初始密钥时,该认证服务端11判定该使用端初始密钥是否匹配于所述初始密钥的其中一者。若该判定结果为肯定,该流程进行步骤25,否则结束。
在步骤25中,当该认证服务端11判定出该使用端初始密钥匹配于所述初始密钥的其中一者时,该认证服务端11产生并经由该第一通信网络14传送一认证码至该移动装置132。
在步骤26中,当该移动装置132接收到该认证码时,该移动装置132根据认证码产生一笔相关于该认证码的认证数据,并经由该第一通信网络14传送一笔包含该认证数据、该使用端初始密钥及该使用端序号的注册数据至该认证服务端11。
在步骤27中,当该认证服务端11接收到该注册数据时,该认证服务端11根据该注册数据的该认证数据判定该认证数据是否与该认证码相符。若该判定结果为肯定,该流程进行步骤28,否则结束。
在步骤28中,当该认证服务端11判定出该认证数据与该认证码相符时,该认证服务端11根据该注册数据的该使用端初始密钥产生一变换密钥,并经由该第一通信网络14传送该变换密钥至该移动装置132,且根据该变换密钥产生并存储一对应该使用端序号且对应该变换密钥的验证密钥,且将该使用端序号存储为不同于所述比对序号的另一比对序号。值得注意的是,在本实施例中,该变换密钥与该验证密钥相同,也就是说该变换密钥与该验证密钥用于对称加密。在其他实施例中该变换密钥与该验证密钥不同,也就是说该变换密钥与该验证密钥用于非对称加密,例如公钥加密,其中该变换密钥为一私钥,且该验证密钥为一对应该变换密钥的公钥。
在步骤29中,当该移动装置132接收到该变换密钥时,该移动装置132经由该第二通信网络15传送该变换密钥至该帐密保护器133,以致该帐密保护器133存储该变换密钥。
参阅图1及图3,该登入程序包含步骤31~39。以下详述各个步骤。
在步骤31中,该计算机装置131经由该第一通信网络14传送一登入请求至该厂商服务端12。要特别注意的是,在其他该使用端模块13不包含该计算机装置131的实施例中,是由该移动装置132经由该第一通信网络14传送一登入请求至该厂商服务端12。
在步骤32中,当该厂商服务端12接收到该登入请求时,该厂商服务端12根据该登入请求产生一连结请求并经由该第一通信网络14传送该连结请求至该认证服务端11。
在步骤33中,当该认证服务端11接收到该连结请求时,该认证服务端11产生并存储一服务标识符,且经由该第一通信网络14传送该服务标识符至该厂商服务端12。在本实施例中,该服务标识符例如是以快速响应矩阵码(Quick Response code,QR code)编码。
在步骤34中,当该厂商服务端12接收到该服务标识符时,该厂商服务端12经由该第一通信网络14传送该服务标识符至该计算机装置131。
在步骤35中,该移动装置132从该计算机装置131获得该服务标识符,并经由该第二通信网络15传送该服务标识符至该帐密保护器133。要再特别注意的是,在本实施例中,该移动装置132是扫描该计算机装置131所显示的QR code以获得该服务标识符,而在其他该使用端模块13不包含该计算机装置131的实施例中,在步骤34该厂商服务端12经由该第一通信网络14传送该服务标识符至该移动装置132,在步骤35当该移动装置132接收到该服务标识符时,经由该第二通信网络15传送该服务标识符至该帐密保护器133。
在步骤36中,当该帐密保护器133接收到该服务标识符时,该帐密保护器133根据该变换密钥加密该服务标识符而产生一加密服务标识符,并经由该第二通信网络15传送该加密服务标识符、该用户数据,及该使用端序号至该移动装置132。值得注意的是,在本实施例中,该帐密保护器133是响应于一使用者于该帐密保护器133的输入操作,以根据该变换密钥加密该服务标识符而产生该加密服务标识符,换句话说,该帐密保护器133除了接收到该服务标识符外,还需要该使用者于该帐密保护器133进行输入操作时,才会响应于该输入操作来根据该变换密钥加密该服务标识符而产生该加密服务标识符,并经由该第二通信网络15传送该加密服务标识符、该用户数据,及该使用端序号至该移动装置132。
在步骤37中,当该移动装置132接收到该加密服务标识符、该用户数据,及该使用端序号时,该移动装置132经由该第一通信网络14传送该加密服务标识符、该用户数据,及该使用端序号至该认证服务端11。
在步骤38中,当该认证服务端11接收到该加密服务标识符、该使用端序号,及该用户数据时,该认证服务端11判定该加密服务标识符及该使用端序号的组合是否为已被授权。若该判定结果为肯定,该流程进行步骤39,否则结束。
再参阅图4,进一步详细说明该认证服务端11所执行的步骤38包含以下子步骤。
在子步骤381中,该认证服务端11经由该第一通信网络14接收该加密服务标识符、该使用端序号,及该用户数据。
在子步骤382中,该认证服务端11根据该使用端序号判定该使用端序号是否匹配于所述比对序号的其中一者。若该判定结果为肯定,该流程进行步骤383,否则结束。
在子步骤383中,当该认证服务端11判定出该使用端序号匹配于所述比对序号的其中一者时,该认证服务端11判定匹配于该使用端序号的比对序号对应的验证密钥也对应该变换密钥。
在子步骤384中,该认证服务端11根据对应该变换密钥的验证密钥解密该加密服务标识符,以产生一解密服务标识符。
在子步骤385中,该认证服务端11判定是否自身存储有与该解密服务标识符匹配的服务标识符。若该判定结果为肯定,该流程进行步骤39,否则结束。
在步骤39中,当该认证服务端11在步骤38中判定出该加密服务标识符及该使用端序号的组合为已被授权时,也就是说在子步骤385中判定出自身存储有与该解密服务标识符匹配的服务标识符时,该认证服务端11经由该第一通信网络14传送一授权登入通知及该用户数据至该厂商服务端12。
综上所述,本发明用于登入的认证方法,借由该帐密保护器133根据该变换密钥加密该服务标识符以产生该加密服务标识符,该认证服务端11进行该加密服务标识符及该使用端序号的组合是否为已被授权的判定,当该认证服务端11判定出该加密服务标识符及该使用端序号的组合为已被授权时,该认证服务端11才传送该授权登入通知及该用户数据至该厂商服务端12,借此只需要该变换密钥及该使用端序号,就是说可登入所有支持该认证服务端11的厂商服务端12,且该认证服务端11不存储该用户数据,以避免黑客骇入该认证服务端11窃取该用户数据,提高安全性,故确实能达成本发明的目的。
以上所述者,仅为本发明的实施例而已,当不能以此限定本发明实施的范围,就是说凡依本发明权利要求书及说明书内容所作的简单的等效变化与修饰,皆仍属本发明的范围。
Claims (9)
1.一种用于登入的认证方法,由包含认证服务端、使用端模块,及厂商服务端的***来实施,所述认证服务端、使用端模块,及厂商服务端经由第一通信网络相互连接,其特征在于:该用于登入的认证方法包含以下步骤:
(A)当所述认证服务端经由所述第一通信网络接收到来自所述厂商服务端的连结请求时,所述认证服务端产生并存储服务标识符,且经由所述第一通信网络传送所述服务标识符至所述厂商服务端,以致所述厂商服务端经由所述第一通信网络传送所述服务标识符至所述使用端模块;
(B)当所述认证服务端经由所述第一通信网络从所述使用端模块接收到由所述使用端模块根据预存的变换密钥加密所述服务标识符而产生的加密服务标识符、对应于所述使用端模块的使用端序号及用户数据时,所述认证服务端判定所述加密服务标识符及所述使用端序号的组合是否为已被授权;及
(C)当所述认证服务端判定出所述加密服务标识符及所述使用端序号的组合为已被授权时,所述认证服务端经由所述第一通信网络传送授权登入通知及所述用户数据至所述厂商服务端。
2.根据权利要求1所述的用于登入的认证方法,其特征在于:所述使用端模块包括经由所述第一通信网络与所述厂商服务端连接且连接第二通信网络的移动装置,及经由所述第二通信网络与所述移动装置连接的帐密保护器,所述帐密保护器存储有所述变换密钥,在步骤(A)中,所述厂商服务端根据所接收到的来自所述移动装置的登入请求产生所述连结请求并传送所述连结请求至所述认证服务端,且所述厂商服务端经由所述第一通信网络传送所述服务标识符至所述移动装置,所述移动装置经由所述第二通信网络传送所述服务标识符至所述帐密保护器,以致在步骤(B)中,所述帐密保护器根据所述变换密钥加密所述服务标识符而产生所述加密服务标识符。
3.根据权利要求1所述的用于登入的认证方法,其特征在于:所述使用端模块包括经由所述第一通信网络与所述厂商服务端连接的计算机装置、连接第二通信网络的移动装置,及经由所述第二通信网络与所述移动装置连接的帐密保护器,所述帐密保护器存储有所述变换密钥,在步骤(A)中,所述厂商服务端根据所接收到的来自所述计算机装置的登入请求产生并传送所述连结请求,且所述厂商服务端经由所述第一通信网络传送所述服务标识符至所述计算机装置,所述移动装置在从所述计算机装置获得所述服务标识符后,经由所述第二通信网络传送所述服务标识符至所述帐密保护器,以致在步骤(B)中,所述帐密保护器根据所述变换密钥加密所述服务标识符而产生所述加密服务标识符。
4.根据权利要求2或3所述的用于登入的认证方法,所述移动装置还经由所述第一通信网络与所述认证服务端连接,所述帐密保护器还存储有对应所述帐密保护器的所述使用端序号及所述用户数据,在步骤(B)中,所述帐密保护器将所述加密服务标识符、所述使用端序号及所述用户数据经由所述第二通信网络传送至所述移动装置,所述移动装置再经由所述第一通信网络传送所述加密服务标识符、所述使用端序号及所述用户数据至所述认证服务端。
5.根据权利要求1所述的用于登入的认证方法,其特征在于:所述认证服务端存储有多个比对序号及多个分别对应所述比对序号的验证密钥,步骤(B)包含以下子步骤:
(B-1)所述认证服务端经由所述第一通信网络接收所述加密服务标识符、所述使用端序号,及所述用户数据;
(B-2)当所述认证服务端接收到所述加密服务标识符、所述使用端序号及所述用户数据时,所述认证服务端根据所述使用端序号判定所述使用端序号是否匹配于所述比对序号的其中一者;
(B-3)当所述认证服务端判定出所述使用端序号匹配于所述比对序号的其中一者时,所述认证服务端判定匹配于所述使用端序号的比对序号对应的验证密钥也对应所述变换密钥;
(B-4)所述认证服务端根据对应所述变换密钥的验证密钥解密所述加密服务标识符,以产生解密服务标识符;及
(B-5)所述认证服务端判定是否自身存储有与所述解密服务标识符匹配的服务标识符;
在步骤(C)中,当所述认证服务端判定出自身存储有与所述解密服务标识符匹配的服务标识符时,所述认证服务端判定所述加密服务标识符及所述使用端序号的组合为已被授权。
6.根据权利要求1所述的用于登入的认证方法,其特征在于:所述认证服务端存储有多个初始密钥,所述使用端模块存储有使用端初始密钥,在步骤(A)前还包含以下步骤:
(D)当所述认证服务端经由所述第一通信网络接收到来自所述使用端模块的所述使用端初始密钥时,所述认证服务端判定所述使用端初始密钥是否匹配于所述初始密钥的其中一者;
(E)当所述认证服务端判定出所述使用端初始密钥匹配于所述初始密钥的其中一者时,所述认证服务端产生并传送认证码至所述使用端模块,以致所述使用端模块经由所述第一通信网络传送包含相关于所述认证码的认证数据、所述使用端初始密钥及所述使用端序号的注册数据至所述认证服务端;
(F)所述认证服务端根据所述注册数据的所述认证数据判定所述认证数据是否与所述认证码相符;及
(G)当所述认证服务端判定出所述认证数据与所述认证码相符时,所述认证服务端根据所述注册数据的所述使用端初始密钥产生所述变换密钥,并经由所述第一通信网络传送所述变换密钥至所述使用端模块,且根据所述变换密钥产生并存储对应所述使用端序号且对应所述变换密钥的验证密钥,且将所述使用端序号存储为比对序号。
7.根据权利要求6所述的用于登入的认证方法,其特征在于:所述使用端模块包括连接所述第一通信网络及第二通信网络的移动装置,及经由所述第二通信网络与所述移动装置连接的帐密保护器,所述移动装置经由所述第一通信网络与所述认证服务端连接,所述帐密保护器存储有所述使用端初始密钥,在步骤(D)中,所述帐密保护器回应于来自所述移动装置的数据提供请求,经由所述第二通信网络传送所述使用端初始密钥及所述使用端序号至所述移动装置,所述移动装置经由所述第一通信网络传送所述使用端初始密钥至所述认证服务端,在步骤(E)中,当所述移动装置经由所述第一通信网络接收到所述认证码时,所述移动装置根据所述认证码产生所述认证数据,并经由所述第一通信网络传送所述注册数据至所述认证服务端,在步骤(G)中,所述移动装置经由所述第一通信网络接收所述变换密钥,并经由所述第二通信网络传送所述变换密钥至所述帐密保护器。
8.根据权利要求2、3、7任一项所述的用于登入的认证方法,其特征在于:所述第一通信网络是网络互联网,所述第二通信网络是短距无线通信网络。
9.根据权利要求1所述的用于登入的认证方法,其特征在于:在步骤(A)中,所述服务标识符是快速响应矩阵码编码。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW106115412A TWI652594B (zh) | 2017-05-10 | 2017-05-10 | 用於登入的認證方法 |
| TW106115412 | 2017-05-10 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108881153A true CN108881153A (zh) | 2018-11-23 |
| CN108881153B CN108881153B (zh) | 2021-06-08 |
Family
ID=62222397
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810359161.8A Active CN108881153B (zh) | 2017-05-10 | 2018-04-20 | 用于登入的认证方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20180332040A1 (zh) |
| EP (1) | EP3402156A1 (zh) |
| JP (1) | JP6719503B2 (zh) |
| KR (1) | KR102171377B1 (zh) |
| CN (1) | CN108881153B (zh) |
| RU (1) | RU2698424C1 (zh) |
| TW (1) | TWI652594B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20210130715A (ko) * | 2019-02-25 | 2021-11-01 | 소니그룹주식회사 | 정보 처리 장치와 휴대 단말기 및 정보 처리 방법 |
| US11588749B2 (en) * | 2020-05-15 | 2023-02-21 | Cisco Technology, Inc. | Load balancing communication sessions in a networked computing environment |
| US20220141658A1 (en) * | 2020-11-05 | 2022-05-05 | Visa International Service Association | One-time wireless authentication of an internet-of-things device |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2912122Y (zh) * | 2006-01-18 | 2007-06-13 | 周宗和 | 一种网络安全认证授权*** |
| CN102591705A (zh) * | 2011-01-17 | 2012-07-18 | 腾讯科技(深圳)有限公司 | 一种开放平台代理访问方法及装置 |
| CN105827641A (zh) * | 2016-05-13 | 2016-08-03 | 沃通电子认证服务有限公司 | 情景感知型动态统一认证方法及*** |
| US20160359841A1 (en) * | 2012-02-01 | 2016-12-08 | Amazon Technologies, Inc. | Reset and recovery of managed security credentials |
| CN106330829A (zh) * | 2015-06-26 | 2017-01-11 | 东方电气集团东方电机有限公司 | 一种采用中间件实现单点登录的方法和*** |
| CN106575326A (zh) * | 2014-07-31 | 2017-04-19 | 诺克诺克实验公司 | 利用非对称加密实施一次性密码的***和方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101064601A (zh) | 2006-04-26 | 2007-10-31 | 资通电脑股份有限公司 | 文字图形化的认证方法 |
| US20140114846A1 (en) * | 2011-06-09 | 2014-04-24 | Accells Technologies, Ltd. | Transaction system and method for use with a mobile device |
| KR101383761B1 (ko) * | 2011-12-22 | 2014-04-18 | 주식회사 스마트시스템즈 | 사용자 인증 시스템 및 그 방법 |
| US9374369B2 (en) * | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
| WO2014141263A1 (en) * | 2013-03-13 | 2014-09-18 | Biothent Security Ltd. | Asymmetric otp authentication system |
| US9762590B2 (en) * | 2014-04-17 | 2017-09-12 | Duo Security, Inc. | System and method for an integrity focused authentication service |
| US20150304851A1 (en) * | 2014-04-22 | 2015-10-22 | Broadcom Corporation | Portable authorization device |
| TWI579728B (zh) | 2016-10-25 | 2017-04-21 | 中華電信股份有限公司 | 線上認證伺服器以及線上認證方法 |
-
2017
- 2017-05-10 TW TW106115412A patent/TWI652594B/zh active
-
2018
- 2018-04-20 CN CN201810359161.8A patent/CN108881153B/zh active Active
- 2018-05-04 US US15/971,768 patent/US20180332040A1/en not_active Abandoned
- 2018-05-08 JP JP2018089891A patent/JP6719503B2/ja active Active
- 2018-05-08 EP EP18171189.6A patent/EP3402156A1/en not_active Withdrawn
- 2018-05-08 RU RU2018116964A patent/RU2698424C1/ru active
- 2018-05-09 KR KR1020180053082A patent/KR102171377B1/ko active IP Right Grant
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2912122Y (zh) * | 2006-01-18 | 2007-06-13 | 周宗和 | 一种网络安全认证授权*** |
| CN102591705A (zh) * | 2011-01-17 | 2012-07-18 | 腾讯科技(深圳)有限公司 | 一种开放平台代理访问方法及装置 |
| US20160359841A1 (en) * | 2012-02-01 | 2016-12-08 | Amazon Technologies, Inc. | Reset and recovery of managed security credentials |
| CN106575326A (zh) * | 2014-07-31 | 2017-04-19 | 诺克诺克实验公司 | 利用非对称加密实施一次性密码的***和方法 |
| CN106330829A (zh) * | 2015-06-26 | 2017-01-11 | 东方电气集团东方电机有限公司 | 一种采用中间件实现单点登录的方法和*** |
| CN105827641A (zh) * | 2016-05-13 | 2016-08-03 | 沃通电子认证服务有限公司 | 情景感知型动态统一认证方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20200067987A (ko) | 2020-06-15 |
| TWI652594B (zh) | 2019-03-01 |
| EP3402156A1 (en) | 2018-11-14 |
| RU2698424C1 (ru) | 2019-08-26 |
| CN108881153B (zh) | 2021-06-08 |
| US20180332040A1 (en) | 2018-11-15 |
| JP2018206369A (ja) | 2018-12-27 |
| JP6719503B2 (ja) | 2020-07-08 |
| TW201901508A (zh) | 2019-01-01 |
| KR102171377B1 (ko) | 2020-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106357649B (zh) | 用户身份认证***和方法 | |
| CN103685282B (zh) | 一种基于单点登录的身份认证方法 | |
| CN101510877B (zh) | 单点登录方法和***、通信装置 | |
| CN107124433B (zh) | 物联网***、物联网设备访问方法、访问授权方法及设备 | |
| US20070240226A1 (en) | Method and apparatus for user centric private data management | |
| CN112861089B (zh) | 授权认证的方法、资源服务器、资源用户端、设备和介质 | |
| CA2879910C (en) | Terminal identity verification and service authentication method, system and terminal | |
| CN104412273A (zh) | 用于进行激活的方法和*** | |
| CN108881222A (zh) | 基于pam架构的强身份认证***及方法 | |
| CN102595213A (zh) | 可信电视终端安全认证方法和*** | |
| CN102811211A (zh) | 支持登录验证的设备和进行登录验证的方法 | |
| KR20120079892A (ko) | 개인망 엔티티 인증을 위한 방법 | |
| CN108809633A (zh) | 一种身份认证的方法、装置及*** | |
| CN104486087A (zh) | 一种基于远程硬件安全模块的数字签名方法 | |
| CN108881153A (zh) | 用于登入的认证方法 | |
| CN101938465B (zh) | 基于webservice认证的方法及*** | |
| CN104247485A (zh) | 在通用自举架构中的网络应用功能授权 | |
| US20090319778A1 (en) | User authentication system and method without password | |
| CN104243435A (zh) | 一种基于OAuth的HTTP协议的通讯方法 | |
| Fukumitsu et al. | A proposal of a password manager satisfying security and usability by using the secret sharing and a personal server | |
| JP2016139910A (ja) | 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム | |
| CN104506509A (zh) | 一种多功能安全认证终端及基于该终端的认证方法 | |
| CN108289100B (zh) | 一种安全访问方法、终端设备及*** | |
| CN116232599A (zh) | 一种物联网身份认证方法、物联网终端及服务器 | |
| CN106972928B (zh) | 一种堡垒机私钥管理方法、装置及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |