TWI436289B - 具有供用戶確認交易資料之一次性密碼認證方法 - Google Patents

具有供用戶確認交易資料之一次性密碼認證方法 Download PDF

Info

Publication number
TWI436289B
TWI436289B TW100137295A TW100137295A TWI436289B TW I436289 B TWI436289 B TW I436289B TW 100137295 A TW100137295 A TW 100137295A TW 100137295 A TW100137295 A TW 100137295A TW I436289 B TWI436289 B TW I436289B
Authority
TW
Taiwan
Prior art keywords
transaction
authentication
server
code
user
Prior art date
Application number
TW100137295A
Other languages
English (en)
Other versions
TW201316270A (zh
Inventor
Chufa Huang
Jui Min Jiang
Wei Jong Ho
Chen Chung Yeh
Hung Ping Chien
Jui Wen Chang
Hsin Yi Kuan
Original Assignee
Chunghwa Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chunghwa Telecom Co Ltd filed Critical Chunghwa Telecom Co Ltd
Priority to TW100137295A priority Critical patent/TWI436289B/zh
Publication of TW201316270A publication Critical patent/TW201316270A/zh
Application granted granted Critical
Publication of TWI436289B publication Critical patent/TWI436289B/zh

Links

Landscapes

  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

具有供用戶確認交易資料之一次性密碼認證方法
本發明係關於一種具有一次性密碼之認證方法,特別是關於一種具有供用戶確認交易資料之一次性密碼認證方法。
隨著網路的普及化,透過網路所能提供的服務愈來愈多樣化,促使人們日常生活與網路密不可分,舉例言之,消費者或使用者可以利用資訊處理裝置進行線上購物或拍賣,也可透過網路銀行來進行線上付費或轉帳等行為。
透過網路取得服務雖然便利,但用戶也擔心個人資料是否被非法截取、複製、篡改或盜用,其原因可能是用戶所使用的電腦等資訊處理裝置中毒或惡意程式的問題,亦有可能是網路服務供應者端出現問題,無論何種問題均對於網路交易安全性造成極大影響。因此,多數網路服務供應者會要求消費者或使用者等用戶進行認證,其中,以帳號與密碼作為身份識別的認證方法最為普遍,其他的像是動態密碼、簡訊認證、電子郵件回覆認證等認證方法也經常被使用,然而有心人士透過釣魚網頁或木馬程式盜取帳號或交易資料而衍生的詐騙案件時有所聞,縱使有服務供應者利用雙因素認證(例如一次性密碼(One Time Password;簡稱OTP)搭配簡訊認證等)方式,但還是有其他漏洞可供有心人士盜取相關資料。
例如中華民國專利公告第I288554號,係說明以交易內容運算產生一次性密碼,並於交易過程中要求使用者輸入OTP,而在交易啟動時利用OTP反推算交易內容並與原交易內容比對,若比對正確則進行交易,反之則中斷交易。如此雖避免有心人士可於取得OTP後再從事另一項與原交易內容無關的異常交易,但對於有心人士利用中介程式於OTP產生前先行竄改交易內容,則無任何防禦效果。
因此,如何提供一種高安全性的線上交易機制,特別是利用一次性密碼進行交易認證時,在交易過程中可確保交易資料未被竄改,避免如習知在一次性密碼產生前交易資料可能被竄改的缺陷,實為目前亟欲解決之技術課題。
鑒於上述習知技術之缺點,本發明之目的係利用一種具有供用戶確認交易資料之一次性密碼認證方法,係依據用戶之交易資料進行一次性密碼的產生及認證,以確保交易資料正確無誤,提供交易安全性。
本發明之另一目的,係透過一種具有供用戶確認交易資料之一次性密碼認證方法,係用於日後產生交易糾紛時,可透過交易資料重新計算並作比對,以提升交易不可否認性。
為達成前述目的及其他目的,本發明提供一種具有供用戶確認交易資料之一次性密碼認證方法,係應用於至少包括用戶端、交易提供端、銀行端、認證服務端以及通信服務端的架構中,該認證方法包含以下步驟:(1)該交易提供端接收到該用戶端所發出的交易請求時,令該交易提供端將該交易請求中之交易資料傳送至該銀行端;(2)令該銀行端將該交易資料之部分交易資料傳送至該認證服務端;(3)該認證服務端接收到該銀行端所傳送的該部分交易資料時,依據該部分交易資料產生一次性密碼,並將該一次性密碼拆解成用戶複核碼、銀行認證碼及交易認證碼;(4)令該認證服務端將該用戶複核碼、該銀行認證碼及該部分交易資料透過該通信服務端傳送至該用戶端,並令該認證服務端分別將該交易認證碼傳送至該交易提供端以及將該銀行認證碼傳送至該銀行端;(5)該用戶端確認該部分交易資料後,將所接收到之該用戶複核碼傳送至該交易提供端,以由該交易提供端將該交易認證碼及由該用戶端所傳送之該用戶複核碼傳送至該認證服務端進行認證;(6)該認證服務端認證完成後通知該銀行端進行交易;以及(7)該銀行端完成交易後,將交易結果及該銀行認證碼透過該交易提供端傳送至該用戶端,俾供該用戶端核對該交易結果及該銀行認證碼以對該交易資料作確認。
於一實施態樣中,該認證方法復包括令該認證服務端儲存該一次性密碼,用以與透過該交易資料再次產生的一次性密碼作比對。
本發明復提出一種具有供用戶確認交易資料之一次性密碼認證方法,係應用於至少包括用戶端、交易服務端、認證服務端以及通信服務端的架構中,該認證方法包含以下步驟:(1)該交易服務端接收到該用戶端所發出的交易請求時,令該交易服務端將該交易請求中之部分交易資料傳送至該認證服務端;(2)令該認證服務端於接收到該交易服務端所傳送的該部分交易資料時,依據該部分交易資料產生一次性密碼,並將該一次性密碼拆解成用戶複核碼、銀行認證碼及交易認證碼;(3)令該認證服務端將該用戶複核碼、該銀行認證碼及該部分交易資料透過該通信服務端傳送至該用戶端,且由該認證服務端將該交易認證碼及該銀行認證碼傳送至該交易服務端;(4)該用戶端確認該部分交易資料後,將所接收到之該用戶複核碼傳送至該交易服務端,以由該交易服務端將該交易認證碼及由該用戶端所傳送之該用戶複核碼傳送至該認證服務端進行認證;(5)令該認證服務端認證完成後通知該交易服務端進行交易;以及(6)該交易服務端完成交易後,令該交易服務端將交易結果及該銀行認證碼傳送至該用戶端,俾供該用戶端核對該交易結果及該銀行認證碼以對該交易資料作確認。
於一實施態樣中,該認證方法復包括令該認證服務端儲存該一次性密碼,用以與透過該交易資料再次產生的一次性密碼作比對。
相較於習知技術,本發明之具有供用戶確認交易資料之一次性密碼認證方法,係利用交易資料來產生一次性密碼,並於用戶認證過程中將該交易資料傳送給用戶以提供第一次檢視交易資料機會,接著,認證成功並完成交易後,將交易結果再次給予用戶作比對以確保完成交易資料無誤,進而提升交易過程安全性。另外,本發明復提供對一次性密碼作儲存,且可依據先前交易資料重新產生新的一次性密碼,以確保日後對交易的不可否認性,此亦為目前僅利用亂數產生一次性密碼所無法達到的。
以下藉由特定的具體實施形態說明本發明之技術內容,熟悉此技藝之人士可由本說明書所揭示之內容輕易地瞭解本發明之優點與功效。然本發明亦可藉由其他不同的具體實施形態加以施行或應用。
請參閱第1圖,係說明本發明之具有供用戶確認交易資料之一次性密碼認證方法的流程圖。於此須說明的是,該具有供用戶確認交易資料之一次性密碼認證方法係應用於至少包括用戶端、交易提供端、銀行端、認證服務端以及通信服務端的架構中,其中,透過交易資料的確認及一次性密碼拆解後多方分持,以避免認證過程中交易資料遭到竄改而影響交易安全性。
於步驟S101中,交易提供端接收到用戶端所發出的交易請求時,令該交易提供端將該交易請求中之交易資料傳送至該銀行端,其中,該交易請求包括用戶名稱、交易時間、交易金額等交易資料,而該交易提供端可為網路銀行或網路購物平台等,且當在接收到該些交易資料後,該交易提供端會將該些交易資料傳送至銀行端。接著進至步驟S102。
於步驟S102中,令銀行端將部分交易資料傳送至認證服務端。詳言之,當銀行端接收到交易資料後需先對用戶進行認證,故將部分交易資料傳送至認證服務端作認證,該些部分交易資料可包括轉出帳號、轉入帳號及交易金額等認證資料,由於該認證服務端僅作認證,因而僅需所述認證資料而無需完整交易資料。接著進至步驟S103。
於步驟S103中,認證服務端接收到該銀行端所傳送的部分交易資料時,依據該部分交易資料產生一次性密碼,並將該一次性密碼拆解成用戶複核碼、銀行認證碼及交易認證碼。具體來說,該認證服務端依據所接收到的部分交易資料透過雜湊函數計算以產生一次性密碼,該一次性密碼係用於後續用戶認證及執行交易的判斷憑證,其中,該一次性密碼可拆解為用戶複核碼、銀行認證碼及交易認證碼等三個認證碼,且前述各認證碼將傳送至本發明架構中的不同端,以供認證時比對判斷。接著進至步驟S104。
於步驟S104中,令該認證服務端將用戶複核碼、銀行認證碼及部分交易資料透過通信服務端傳送至用戶端,並令該認證服務端分別將該交易認證碼傳送至交易提供端以及將該銀行認證碼傳送至銀行端。於此步驟中,將步驟S103所產生的用戶複核碼、銀行認證碼及交易認證碼分別傳送至不同位置處,其中,用戶複核碼、銀行認證碼及部分交易資料將透過通信服務端傳送至用戶端,而交易提供端將收到來自該認證服務端所傳送之交易認證碼,銀行端則收到由該認證服務端所傳送之該銀行認證碼,爾後彼此之間可透過該些認證碼的比對來判斷是否認證無誤。
該通信服務端可為一般通訊公司,其中,該通信服務端與該認證服務端可透過專線進行資訊傳遞,而該通信服務端可透過簡訊、電子郵件或語音信箱之方式來傳輸用戶複核碼、銀行認證碼及部分交易資料。接著進至步驟S105。
於步驟S105中,在用戶端確認該部分交易資料後,將所接收到之用戶複核碼傳送至交易提供端,以由該交易提供端將交易認證碼及由該用戶端所傳送之用戶複核碼傳送至認證服務端進行認證。透過此步驟,可提升交易安全性。詳言之,當用戶端確認來自該通信服務端所傳送之部分交易資料,且與先前交易資料相同後,可將該用戶複核碼傳送至交易提供端以表示可進行交易,此時,該交易提供端將該用戶複核碼與先前所接收之交易認證碼一併傳送至認證服務端,以進行用戶身份確認及後續交易。接著進至步驟S106。
於步驟S106中,認證服務端比對由該交易提供端所傳送之用戶複核碼、交易認證碼與由該認證服務端所具有之用戶複核碼、交易認證碼,並於認證完成後通知該銀行端進行交易。亦即,該認證服務端比對所接收到的用戶複核碼、交易認證碼與由該認證服務端所具有之用戶複核碼、交易認證碼以對用戶認證,並確認是否為該用戶所執行之交易請求,接著該認證服務端會通知銀行端以進行交易。接著進至步驟S107。
於步驟S107中,該銀行端完成交易後,將交易結果及銀行認證碼傳送至該交易提供端,再將交易結果及銀行認證碼傳送至用戶端,俾供該用戶端核對該交易結果及該銀行認證碼以對交易資料作確認。詳言之,當銀行端接到該認證服務端之通知並完成交易後,會將交易結果及先前收到的銀行認證碼一併傳送到交易提供端,並透過交易提供端傳送到用戶端,此時,用戶端可將該銀行認證碼與步驟S104所收到之銀行認證碼作比對以確保資料來源無誤,且用戶可依據該交易結果對交易資料再次確認。
由上述可知,在步驟S104時,用戶端會接收到部分交易資料,此時用戶可進行第一次交易資料的確認,若無問題才進行如步驟S105將用戶複核碼傳送出去。此外,在步驟S107中,用戶端會再收到交易結果,此時用戶可再進行第二次交易資料的確認,避免交易資料已遭竄改且完成交易,但用戶確一無所知的情況。因此,透過多次確認可避免習知交易資料可能被竄改之缺陷。
本方法與習知方法最大不同在於,在該步驟S102中,交易資料由交易提供端傳送至銀行端,但該交易資料容易遭有心人士從中攔截並修改,由於習知認證服務端收到時因無法知悉用戶端一開始的交易資料,所以僅進行用戶身份認證,再加上後續無法對交易資料再確認,故所完成之交易資料可能遭有心人士竄改,因此,本認證方法提供交易資料作核對,可強化網路交易安全性。
另外,在步驟S107中復包括將該交易結果及該銀行認證碼傳送至該用戶端之資訊處理裝置。亦即,該用戶端可透過資訊處理裝置來接收相關資料,換言之,該用戶端與交易提供端及通信服務端之間皆可使用該資訊處理裝置來傳送與接收資料訊息。
另外,於本實施例中復包括令認證服務端儲存該一次性密碼,用以與透過該交易資料再次產生的一次性密碼作比對。詳言之,認證服務端會將本次所產生的一次性密碼加以儲存,假若日後對交易資料或結果有錯誤或糾紛時,該認證服務端可依據先前的交易資料(即部分交易資料)透過雜湊函數計算再次計算,此時所產生的一次性密碼可用於與先前儲存的一次性密碼作比對,藉此來確認交易結果是否正確。因此,透過將交易資料作為一次性密碼的產生依據,對於日後交易不可否認性有極大助益。
請參閱第2圖,係說明本發明之具有供用戶確認交易資料之一次性密碼認證方法另一實施例的流程圖,其中,該具有供用戶確認交易資料之一次性密碼認證方法係應用於至少包括用戶端、交易服務端、認證服務端以及通信服務端的架構中,係透過提供交易資料的確認以及一次性密碼的多方分持,以避免交易資料被竄改而影響交易安全性。
於步驟S201中,交易服務端接收到用戶端所發出的交易請求時,令該交易服務端將該交易請求中之部分交易資料傳送至認證服務端,其中,該交易服務端在接收到該部分交易資料後,會將該部分交易資料傳送至認證服務端,而該部分交易資料可包括轉出帳號、轉入帳號及交易金額等認證資料。接著進至步驟S202。
於步驟S202中,令該認證服務端於接收到交易服務端所傳送的部分交易資料時,依據該部分交易資料產生一次性密碼,並將該一次性密碼拆解成用戶複核碼、銀行認證碼及交易認證碼。具體來說,當認證服務端接收到該部分交易資料後,即以該部分交易資料透過雜湊函數計算而產生一次性密碼,且該一次性密碼可拆解為三個認證碼,分別為用戶複核碼、銀行認證碼及交易認證碼,提供後續各不同端認證判斷之用。接著進至步驟S203。
於步驟S203中,令該認證服務端將用戶複核碼、銀行認證碼及部分交易資料透過通信服務端傳送至用戶端,且由該認證服務端將交易認證碼及銀行認證碼傳送至交易服務端。具體來說,步驟S202所產生之用戶複核碼、銀行認證碼及交易認證碼分別被傳送不同位置處,其中,用戶複核碼、銀行認證碼及部分交易資料將透過通信服務端傳送至用戶端,而該交易認證碼及該銀行認證碼則由認證服務端傳送至交易服務端,後續利用該些認證碼比對進行認證並判斷是否認證無誤。接著進至步驟S204。
於步驟S204中,在用戶端確認部分交易資料後,將所接收到之用戶複核碼傳送至交易服務端,以由該交易服務端將該交易認證碼及由該用戶端所傳送之用戶複核碼傳送至認證服務端進行認證。透過此步驟,可提升交易安全性。詳言之,當用戶端確認來自該通信服務端所傳送之部分交易資料與先前交易資料相同後,將該用戶複核碼傳送至交易服務端作身份確認及進行交易,此時,該交易服務端將該用戶複核碼及先前所接收之交易認證碼一併傳送至認證服務端,以確保資料傳送來源無誤。接著進至步驟S205。
於步驟S205中,令認證服務端比對由該交易服務端所傳送之用戶複核碼、交易認證碼與由該認證服務端所具有之用戶複核碼、交易認證碼,並於認證完成後通知該交易服務端進行交易。亦即,在認證服務端確認該用戶複核碼、該交易認證碼與由該認證服務端所具有之用戶複核碼、交易認證碼無誤後即完成對用戶身份確認,即可通知交易服務端執行交易請求。接著進至步驟S206。
於步驟S206中,該交易服務端完成交易後,令該交易服務端將交易結果及銀行認證碼傳送至用戶端,俾供該用戶端核對交易結果及銀行認證碼以對交易資料作確認。詳言之,當交易服務端完成交易後,即將交易結果及先前所收到的銀行認證碼一併傳送到用戶端,此時,用戶端可比對先前收到銀行認證碼及目前所收到銀行認證碼是否相同,同時該用戶端可再次確認交易結果是否正確,即完成整個認證及交易流程。
因此,本實施例與第1圖之實施例最大差異在於第2圖的交易提供端與銀行端為同一單位,也就是交易服務端,係透過減少資料傳遞次數,亦可避免資料被竊取。同樣地,用戶端在步驟S204和步驟S206皆可對交易資料作確認,如此可避免交易資料中途遭竄改。
於此實施例中,該通信服務端同樣可為一般通訊公司,其中,該通信服務端透過專線與認證服務端進行資訊傳遞,而該通信服務端可透過簡訊、電子郵件或語音信箱之方式來傳輸資料。此外,用戶端同樣可透過資訊處理裝置與交易服務端及通信服務端進行資料傳輸。
另外,本實施例中復包括令認證服務端儲存該一次性密碼,用以與透過該交易資料再次產生的一次性密碼作比對。如前一實施例所述,認證服務端會儲存每一次產生的一次性密碼,日後若要確認交易資料時,則該認證服務端可以先前交易資料透過雜湊函數計算再次計算,而所產生的一次性密碼再與所儲存的一次性密碼相比對,以確認交易結果是否正確。因此,利用交易資料作為一次性密碼的產生依據,有助於日後對交易的不可否認性。
請參閱第3圖,係搭配第1圖流程圖之一具體實施之示意圖。如該圖所示,具有供用戶確認交易資料之一次性密碼認證方法可於用戶端30、交易提供端31、銀行端32、認證服務端33及通信服務端34間進行。首先,用戶端30向交易提供端31提出交易請求;交易提供端31將該交易請求中之交易資料傳送至銀行端32;該銀行端32在接收到該些交易資料後,將與認證相關的部分交易資料(圖中以Data表示)傳送至認證服務端33;此時,認證服務端33會依據該部分交易資料產一次性密碼(圖中以OTP表示),並將該一次性密碼拆解為用戶複核碼(OTP1)、銀行認證碼(OTP2)及交易認證碼(OTP3);該用戶複核碼(OTP1)、銀行認證碼(OTP2)及部分交易資料(Data)將透過通信服務端34傳送至用戶端30,且該銀行認證碼(OTP2)會傳送至銀行端32,而該交易認證碼(OTP3)會傳送至交易提供端31;用戶端30在接收到該用戶複核碼(OTP1)、銀行認證碼(OTP2)及部分交易資料(Data)後可對交易資料作確認,即檢視該部分交易資料是否正確,若無問題即可將所收到之該用戶複核碼(OTP1)傳送至交易提供端31;該交易提供端31在收到該用戶複核碼(OTP1)會與先前收到之交易認證碼(OTP3)一併傳送回認證服務端33進行認證;該認證服務端33會將所收到進行用戶複核碼(OTP1)及交易認證碼(OTP3)進行確認;在確認用戶身份無誤後即表示用戶同意交易,即通知該銀行端32認證完成以進行交易;最後,銀行端32會將交易結果及先前收到之銀行認證碼(OTP2)透過交易提供端31傳送至用戶端30以供用戶端30作核對,當然還可透過該交易提供端31傳送到該用戶端30之資訊處理裝置作核對,藉此提供用戶安全認證及交易。
與習知方法相比較,本發明之具有供用戶確認交易資料之一次性密碼認證方法,特別將一次性密碼拆解成三個認證碼,並提供銀行端在交易後將交易結果傳送給用戶端再次確認,藉此增加交易安全性。此外,在交易及認證過程中,會將部分交易資料傳送至用戶端,以確認交易資料在中途未被竄改,增加網路交易安全性及避免日後詐騙情況。再者,由於本發明在一次性密碼產生時,係將交易資料以特定雜湊函數計算且儲存該一次性密碼,若日後有交易問題,則可依先前交易資料以相同方式再產生出相同之一次性密碼,提供對已完成交易資料作核對,如此提升交易的不可否認性,若認證服務端為第三方的話,還可提升交易紀錄的公正性。因此,透過本發明之具有供用戶確認交易資料之一次性密碼認證方法,不僅可確保交易認證過程交易資料未被竄改,亦對交易後的不可否認性提供檢核機制,確實有助於提升交易認證安全性。
上述實施形態僅例示性說明本發明之原理及其功效,而非用於限制本發明。任何熟習此項技藝之人士均可在不違背本發明之精神及範疇下,對上述實施形態進行修飾與改變。因此,本發明之權利保護範圍,應如後述之申請專利範圍所列。
S101~S107...步驟
S201~S206...步驟
30...用戶端
31...交易提供端
32...銀行端
33...認證服務端
34...通信服務端
第1圖係說明本發明之具有供用戶確認交易資料之一次性密碼認證方法的流程圖;
第2圖係說明本發明之具有供用戶確認交易資料之一次性密碼認證方法另一實施例的流程圖;以及
第3圖係說明本發明之具有供用戶確認交易資料之一次性密碼認證方法具體實施之示意圖。
S101~S107...步驟

Claims (10)

  1. 一種具有供用戶確認交易資料之一次性密碼認證方法,係應用於至少包括用戶端、交易提供端、銀行端、認證服務端以及通信服務端的架構中,該認證方法包含以下步驟:(1)該交易提供端接收到該用戶端所發出的交易請求時,令該交易提供端將該交易請求中之交易資料傳送至該銀行端;(2)令該銀行端將該交易資料之部分交易資料傳送至該認證服務端;(3)該認證服務端接收到該銀行端所傳送的該部分交易資料時,依據該部分交易資料產生一次性密碼,並將該一次性密碼拆解成用戶複核碼、銀行認證碼及交易認證碼;(4)令該認證服務端將該用戶複核碼、該銀行認證碼及該部分交易資料透過該通信服務端傳送至該用戶端,並令該認證服務端分別將該交易認證碼傳送至該交易提供端以及將該銀行認證碼傳送至該銀行端;(5)該用戶端確認該部分交易資料後,將所接收到之該用戶複核碼傳送至該交易提供端,以由該交易提供端將該交易認證碼及由該用戶端所傳送之該用戶複核碼傳送至該認證服務端進行認證;(6)該認證服務端認證完成後通知該銀行端進行交易;以及(7)該銀行端完成交易後,將交易結果及該銀行認證碼透過該交易提供端傳送至該用戶端,俾供該用戶端核對該交易結果及該銀行認證碼以對該交易資料作確認。
  2. 如申請專利範圍第1項所述之具有供用戶確認交易資料之一次性密碼認證方法,其中,該通信服務端係以簡訊、電子郵件或語音信箱之方式傳輸該用戶複核碼、該銀行認證碼及該部分交易資料。
  3. 如申請專利範圍第1項所述之具有供用戶確認交易資料之一次性密碼認證方法,其中,該步驟(2)所述之該部分交易資料係包括轉出帳號、轉入帳號及交易金額。
  4. 如申請專利範圍第1項所述之具有供用戶確認交易資料之一次性密碼認證方法,其中,該步驟(7)復包括將該交易結果及該銀行認證碼傳送至該用戶端之資訊處理裝置。
  5. 如申請專利範圍第1項所述之具有供用戶確認交易資料之一次性密碼認證方法,其中,該用戶端係透過資訊處理裝置與該交易提供端及該通信服務端進行資料傳送與接收。
  6. 如申請專利範圍第1項所述之具有供用戶確認交易資料之一次性密碼認證方法,復包括令該認證服務端儲存該一次性密碼,用以與透過該交易資料再次產生的一次性密碼作比對。
  7. 如申請專利範圍第1項所述之具有供用戶確認交易資料之一次性密碼認證方法,其中,該認證服務端與該通信服務端係透過專線進行資訊傳遞。
  8. 一種具有供用戶確認交易資料之一次性密碼認證方法,係應用於至少包括用戶端、交易服務端、認證服務端以及通信服務端的架構中,該認證方法包含以下步驟:(1)該交易服務端接收到該用戶端所發出的交易請求時,令該交易服務端將該交易請求中之部分交易資料傳送至該認證服務端;(2)令該認證服務端於接收到該交易服務端所傳送的該部分交易資料時,依據該部分交易資料產生一次性密碼,並將該一次性密碼拆解成用戶複核碼、銀行認證碼及交易認證碼;(3)令該認證服務端將該用戶複核碼、該銀行認證碼及該部分交易資料透過該通信服務端傳送至該用戶端,且由該認證服務端將該交易認證碼及該銀行認證碼傳送至該交易服務端;(4)該用戶端確認該部分交易資料後,將所接收到之該用戶複核碼傳送至該交易服務端,以由該交易服務端將該交易認證碼及由該用戶端所傳送之該用戶複核碼傳送至該認證服務端進行認證;(5)令該認證服務端認證完成後通知該交易服務端進行交易;以及(6)該交易服務端完成交易後,令該交易服務端將交易結果及該銀行認證碼傳送至該用戶端,俾供該用戶端核對該交易結果及該銀行認證碼以對該交易資料作確認。
  9. 如申請專利範圍第8項所述之具有供用戶確認交易資料之一次性密碼認證方法,其中,該通信服務端將該用戶複核碼、該銀行認證碼及該部分交易資料以簡訊、電子郵件或語音信箱之方式傳輸。
  10. 如申請專利範圍第8項所述之具有供用戶確認交易資料之一次性密碼認證方法,其中,復包括令該認證服務端儲存該一次性密碼,用以與透過該交易資料再次產生的一次性密碼作比對。
TW100137295A 2011-10-14 2011-10-14 具有供用戶確認交易資料之一次性密碼認證方法 TWI436289B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW100137295A TWI436289B (zh) 2011-10-14 2011-10-14 具有供用戶確認交易資料之一次性密碼認證方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW100137295A TWI436289B (zh) 2011-10-14 2011-10-14 具有供用戶確認交易資料之一次性密碼認證方法

Publications (2)

Publication Number Publication Date
TW201316270A TW201316270A (zh) 2013-04-16
TWI436289B true TWI436289B (zh) 2014-05-01

Family

ID=48803065

Family Applications (1)

Application Number Title Priority Date Filing Date
TW100137295A TWI436289B (zh) 2011-10-14 2011-10-14 具有供用戶確認交易資料之一次性密碼認證方法

Country Status (1)

Country Link
TW (1) TWI436289B (zh)

Also Published As

Publication number Publication date
TW201316270A (zh) 2013-04-16

Similar Documents

Publication Publication Date Title
US11716321B2 (en) Communication network employing a method and system for establishing trusted communication using a security device
US10360561B2 (en) System and method for secured communications between a mobile device and a server
US20200336315A1 (en) Validation cryptogram for transaction
AU2011342282B2 (en) Authenticating transactions using a mobile device identifier
US10959093B2 (en) Method and system for provisioning access data to mobile device
US9596237B2 (en) System and method for initiating transactions on a mobile device
US20180352438A1 (en) Method and system for provisioning access data to mobile device
US20120150748A1 (en) System and method for authenticating transactions through a mobile device
US20090106138A1 (en) Transaction authentication over independent network
US9426655B2 (en) Legal authentication message confirmation system and method
US20130185209A1 (en) Transaction-based one time password (otp) payment system
US20090192944A1 (en) Symmetric verification of web sites and client devices
CN109308416B (zh) 业务服务数据处理方法、装置、***、存储介质和设备
WO2016054924A1 (zh) 身份认证方法、第三方服务器、商家服务器及用户终端
US20200342459A1 (en) Trusted customer identity systems and methods
TWI288554B (en) Method of generating and applying one time password in network transactions, and system executing the same method
TW201220783A (en) SMS authentication method
TW201601083A (zh) 一次性密碼生成的方法、裝置及認證方法、認證系統
JP6378870B2 (ja) 認証システム、認証方法および認証プログラム
TW201305935A (zh) 一次性密碼產生及應用方法及其系統
TW201421393A (zh) 行動裝置互動式二維條碼交易資訊傳輸及驗證之系統及其方法
TWI436289B (zh) 具有供用戶確認交易資料之一次性密碼認證方法
Kiljan et al. What you enter is what you sign: Input integrity in an online banking environment
CN113032761A (zh) 保护远程认证
JP2023507568A (ja) 悪意のあるプログラムコード注入に対する保護のためのシステム及び方法

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees