专利名称:通过多个模式对一次性密码的用户进行注册和验证的方法以及记录有执行该方法的程序 ...的制作方法
技术领域:
本发明涉及对一次性密码的用户进行注册的方法以及记录有用于执 行这种方法的程序的计算机可读记录介质,更具体地涉及一种在一次性 密码终端处以多种模式对一次性密码的用户进行注册的方法以及存储有 用于执行该方法的程序的计算机可读记录介质。
背景技术:
一般来讲,普通密码具有用户指定的固定值,并且用户负责管理密 码不被外泄。然而,在执行网上银行或者电话银行交易时,常常发生用 户输入的密码被通信网络中的第三方盗取或截获的情况,从而通过非法 密码对用户造成无法预料的损害。
一次性密码(OTP)的出现就是为了防止这种问题,并且因为这种 一次性密码仅仅有效一次,而在下次创建另一个密码,所以虽然有人在 中途截取了密码并且使用该密码,但是此时该密码已经失效,由此相对 于维持固定值的常规固定密码,相对地增强了安全性。
可以利用单独的终端或者下载到蜂窝电话等中的一次性密码创建程 序来创建一次性密码。所创建的一次性密码可用于自动柜员机(ATM) 或者用于网上银行业务。
近来,因为一次性密码的益处已经广为人知,所以许多金融机构等 竞相推荐客户在银行交易中使用一次性密码。然而,金融机构创建一次
性密码的方法之间存在显著差异。也就是说,创建一次性密码的方法的 例子包括使用64位字符串和128位字符串的方法、使用4位数字和8 位数字的方法、仅仅使用数字或者使用数字和字符组合的方法,等等。 一些金融机构不允许用与用户标识相同的字符串或者包含生日的数字串来创建密码本身。
因此,由于包含固定密码创建模式作为算法的程序无法用于创建使 用不同密码创建模式的另一个机构的密码,所以给在多家金融机构拥有 账户的用户带来不便,他们不得不携带多个一次性密码终端,或者在蜂 窝电话等中安装由多家金融机构提供并从这多家金融机构下载的多个一 次性密码创建程序。
发明内容
因此,提出本发明来解决以上问题,并且本发明的一个目的是提供 一种对一次性密码的用户进行注册的方法,其中可以通过一个一次性密 码创建程序来创建使用不同一次性密码创建模式的多家金融机构所要求 的一次性密码。此外,本发明的另一个目的是提供一种记录有用于执行 这种方法的程序的计算机可读记录介质。
也就是说,本发明涉及一种通过在一次性密码终端中安装一个程序 而创建并注册符合每家金融机构的一次性密码创建模式的一次性密码的 方法。在将与各家金融机构所使用的一次性密码创建模式有关的信息存 储在一次性密码服务器中之后,将与适合于用户(注册者)所选金融机 构的一次性密码创建模式有关的信息发送给一次性密码终端,并且加载 在该一次性密码终端上的程序基于所发送的模式来创建一次性密码。通 过上述配置,可以使用加载了一个程序的一次性密码终端来创建并注册 使用不同一次性密码创建模式的金融机构的所有类型的密码。
为了实现发明的上述目的,本发明的一方面提供了 一种在包括加载 有用于在多种模式下创建一次性密码的程序的一次性密码终端、用于对 一次性密码用户的真实性进行认证的认证服务器、 一次性密码服务器和 用于存储与一次性密码用户有关的信息的一次性密码数据库服务器的环 境下,在该一次性密码终端中对一次性密码用户进行注册的方法,该方 法包括以下步骤第一步骤,允许该一次性密码终端向该一次性密码服
务器请求要使用相应的一次性密码的机构的概况(profile)和用于创建一 次性密码的程序的序列号这两者;第二步骤,允许该一次性密码终端从
6该一次性密码服务器接收由该一次性密码服务器发布的序列号和概况; 和第三步骤,允许该一次性密码终端将概况和密码注册在该一次性密码 终端中,并且生成种子值,其中在第二步骤中接收到的序列号被用户传 送给并且注册在该认证服务器中,所述概况是与相应的一次性密码创建 模式有关的信息和与该机构有关的信息,并且一次性密码是由该一次性 密码终端在由所述概况确定的一次性密码创建模式下创建的。
发明的另一方面提供了一种方法,该方法允许一次性密码服务器在 包括加载有用于在多种模式下创建一次性密码的程序的一次性密码终 端、用于对一次性密码用户的真实性进行认证的认证服务器、该一次性 密码服务器和用于存储与一次性密码用户有关的信息的一次性密码数据 库服务器的环境下认证用户所输入的第一一次性密码,该方法包括以下 步骤第一步骤,允许该一次性密码服务器从该认证服务器接收用户信 息和第一一次性密码;第二步骤,允许该一次性密码服务器基于用户信 息询问该一次性密码数据库服务器并从它接收种子值;第三步骤,允许 该一次性密码服务器基于种子值来创建第二一次性密码;和第四步骤, 允许该一次性密码服务器将第一一次性密码与第二一次性密码进行比 较,并将比较结果传送给该认证服务器,其中第一一次性密码是由用户 利用该一次性密码终端而创建并传送给该认证服务器的。
根据本发明的上述配置,从一次性密码服务器传送金融机构的概况, 并且在通过该概况确定的一次性密码创建模式下创建一次性密码。因此, 可以由一个程序在多家金融机构指定的多个一次性密码创建模式下创建 一次性密码。显然,应当由该程序来选择金融机构。
一次性密码创建模式有几种,就重复第一到第四步骤几次。
根据本发明的计算机可读记录介质是一种记录有用于执行上述步骤 的程序的计算机可读记录介质。
本领域的普通技术人员使用术语"OTP"来指代本说明书和附图中使
用的一次性密码。
用于执行本发明的环境包括加载有用于创建一次性密码的程序的一 次性密码终端IO、用户计算机20、用于认证一次性密码用户的真实性的认证服务器30、 一次性密码服务器40和用于存储与一次性密码用户有关
的信息的一次性密码数据库服务器50。
一次性密码终端IO是一种用于创建一次性密码的终端,它可以是专
用终端,也可以是加载有用于创建一次性密码的程序的蜂窝电话。用户
计算机20包括连接到通信网络并且能够与认证服务器30进行通信的各 种电子设备。
认证服务器30是指在交易中使用一次性密码的金融机构(例如银行 等)的服务器,并且认证服务器30存储有包括与一次性密码用户金融账 户有关的信息在内的用户信息。为了将用户注册在一次性密码服务器40 中, 一次性密码用户应当通过认证服务器30获得认证。
根据本发明,在用于创建一次性密码的程序中提供了借助一个程序 在多家金融机构提供的多种模式下创建一次性密码的效果。
也就是说,可以利用加载了一个程序的一次性密码终端来创建并注 册使用不同一次性密码创建模式的金融机构的所有种类的密码。因此, 可以消除在多家金融机构拥有帐户的用户的不便性,也就是不必携带多 个一次性密码终端,或者在蜂窝电话等中安装由多家金融机构提供并且 从这多家金融机构下载的多个一次性密码创建程序。
结合附图来阅读以下详细说明可以更全面地理解发明的其他目的和 优点,图中-
图1为示出了在根据本发明的对用户进行注册的方法中对用户进行
认证的方法的图2为示出了根据本发明的对用户进行注册的方法的图3为示出了根据本发明的在对用户进行注册的过程中共享密钥的
处理的图4为示出了一实施方式的图,该实施方式实现了根据本发明的在 一次性密码终端处对一次性密码用户进行注册的处理;而
图5为示出了一实施方式的图,该实施方式实现了利用一次性密码终端来创建一次性密码并且通过注册机构来认证该一次性密码的处理。
具体实施例方式
下面将参照附图来详细描述本发明的优选实施方式。
首先,图1示出了一个流程图,该流程图例示了根据本发明的对用 户进行认证的方法和用于执行该用户认证方法的环境的组成部分。在图1 所示的处理中,假定通过电子设备(如计算机)来执行银行交易。
用户连接到该用户拥有账户的金融机构的网站,以便通过电子设备 (如计算机等)来执行金融交易(如网上银行业务)。在此情况下,需要 一次性密码来执行网上银行业务等。
在步骤S101中, 一次性密码终端10创建第一一次性密码。优选地 基于种子值来创建第一一次性密码,该种子值是在图2所示的对一次性
密码用户注册的步骤S209中创建、加密并存储的。
如果将所创建的第一一次性密码输入到计算机20中,则计算机20 通过通信网络将用户的标识(ID)和第一一次性密码传送给认证服务器 30 (S103)o
在此,用户ID可以是包括与用户在金融机构所拥有的账户等有关的
信息的个人信息,该金融机构在金融交易中使用一次性密码。
在步骤S104中,接收到用户ID和第一一次性密码的认证服务器30 确认该用户是否被授权。这是要确认该用户是否在图2所示的注册一次 性密码用户的步骤S210中被注册为认证服务器30中的一次性密码用户。 如果确认用户为授权用户,则在步骤S105中将用户信息和第一一次性密 码值传送给一次性密码服务器40。用户信息优选地为使用第一一次性密 码的机构的机构代码、用户ID等。 一次性密码服务器40基于所传送的 信息向 一次性密码数据库服务器50询问该对应用户针对使用第一一次性 密码的机构的种子值,并且接收返回值(S106)。种子值优选地为在图2 所示的注册一次性密码用户的步骤S208中传送给一次性密码服务器50 的值。
在步骤S107中,接收到种子值的一次性密码服务器40基于在步骤
9S106中接收到的种子值来创建第二一次性密码。然后, 一次性密码服务 器将创建的第二一次性密码与第一一次性密码进行比较(S108)。在步骤
S109中, 一次性密码服务器将比较结果传送给认证服务器30,并且认证 服务器30结合现有的认证服务器来进行认证,并允许连接(SllO)。
如果用户在多家金融机构拥有账户,则该用户应当执行用户注册, 以便利用一次性密码终端10上的一个程序在多种模式下创建一次性密 码,并且图2示出了这种用户注册的处理。
首先,用户利用计算机20登录认证服务器30 (S201)。认证服务器 30在步骤S202中要求用户的计算机20使用一次性密码,并在步骤S203 中将使用了该一次性密码的机构的机构代码以及用户ID传送给一次性密 码服务器40。机构代码是指可以将使用该一次性密码的机构与其他机构 区别开的唯--识别符,而用户ID可以是包括与该用户在使用该一次性密 码的金融机构所拥有的账户等有关的信息在内的个人信息。
一次性密码服务器40将机构代码和用户ID传送给一次性密码数据 库服务器, 一次性密码数据库服务器基于所传送的机构代码和用户ID对 用户ID进行注册(S204)。
另一方面,用户在步骤S205中运行一次性密码终端10的虚拟机 (VM),并且选择和处理可以包含在VM中的机构注册菜单。在此,VM 是本领域普通技术人员所使用的术语,指的是充当编译后的二进制代码 与实际上执行程序指令的微处理器之间的接口的软件。
VM通过机构注册菜单来生成某个随机值。该随机值优选地为出于 稳定目的的时变随机数(nonce)。与一般的随机值不同,如果连续生成 了相同的值,则时变随机数丢弃后一个值,并且重新生成不同的随机值。 一次性密码终端10可以将通过VM生成的随机值传送给一次性密码服务 器40,或者可以不进行传送而仅保存所生成的随机值。此外, 一次性密 码终端向一次性密码服务器请求使用一次性密码的机构的概况和序列号
(5206) 。
作为对该请求的应答, 一次性密码服务器40发布序列号和种子值
(5207) 。序列号是指加载在一次性密码终端上的程序的唯一号码。序列号和种子值优选地为彼此之间没有功能关联的情况下独立生成的值,并 且优选地将种子值确定为映射到序列号上的唯一信息。
一次性密码服务器40将步骤S206中所请求的使用一次性密码的机 构的概况和步骤S207中发布的序列号传送给一次性密码终端10(S208), 并且将步骤S207中发布的种子值传送给一次性密码数据库服务器50 (S208)。存储在一次性密码数据库服务器50中的种子值被用于在图1 所示的用户认证处理中的步骤S106中确认种子值是否匹配。
一次性密码终端IO注册所传送的概况和序列号,并且生成单独的种 子值(S209)。也就是说,在使用种子值的方法中对传送的信息进行加密 和处理。
用户通过计算机20输入在步骤S209中接收到的序列号,并且计算 机20将输入的序列号传送给认证服务器30,从而完成用户注册处理 (S210)。关于这一点优选的是 一起输入初始一次性密码值,并且将步 骤S209中生成的种子值存储为基于该初始一次性密码而加密的状态。
客户拥有账户的金融机构的数量有多少,就可以重复这些步骤多少 次。也就是说,用户选择使用一次性密码的金融机构,并且重复图2所 示的步骤达到与有意的金融机构的数量相同的次数,因此共享了相应金 融机构的概况和相应金融机构对于相应用户的种子值。
概况包括与使用一次性密码的金融机构的一次性密码创建模式有关 的信息和与金融机构本身有关的信息。优选的是,概况可以包括与指定 了再次创建一次性密码的时间间隔的一次性密码创建间隔有关的信息、 与一次性密码创建算法有关的信息、 一次性密码的尺寸、与所创建的一 次性密码的最后一位是否被作为校验和有关的信息、与是否在一次性密 码终端运行时设定一次性密码有关的信息、服务名称、服务标志图标、 客户服务中心的指导消息等。
一般来讲, 一次性密码创建算法包括询问-应答法、时间-同步法、事 件-同步法、组合法等,但是也可以使用其他方法。其算法是本领域普通
技术人员所公知的。
一次性密码终端10在包含在概况中的使用一次性密码的金融机构的一次性密码创建模式下创建一次性密码。每个金融机构所指定的概况 都是不同的,并且包含在概况中的每个金融机构的一次性密码创建模式 被传送给一次性密码终端10。加载在一次性密码终端上的程序在创建一 次性密码时应用每个金融机构的一次性密码创建模式,由此可以借助一 个程序来创建具有不同创建模式的所有类型的一次性密码。也就是说, 没有将密码创建模式固定嵌入在加载在一次性密码终端10上的程序中, 而是从一次性密码服务器40接收与使用一次性密码的每家金融机构的一 次性密码创建模式有关的信息,并且该程序在需要时使用该信息。因此, 可以借助一个程序来创建具有不同创建模式的所有类型的一次性密码。
图3示出了在用户注册一次性密码的处理中共享种子的处理。 一次
性密码终端10和一次性密码服务器40使用通过公钥加密来共享密钥的方法。
首先,在步骤S301中, 一次性密码终端IO生成第一临时随机值。 随机值优选地为时变随机数。在步骤S302中,通过公钥加密将第一临时 随机值传送给一次性密码服务器40,并且一次性密码服务器40生成第二 临时随机值(S303),并通过公钥加密将第二临时随机值传送给一次性密 码终端IO (S304)。关于这一点,优选地将第二临时随机值用作序列号。
然后, 一次性密码终端10和一次性密码服务器40分别接收其自身 创建的临时随机值和另一方创建的临时随机值,并且在步骤S305和步骤 S306中通过将这些临时随机值与密钥进行组合而生成种子。因此,优选 地将利用第一临时随机值、第二临时随机值和密钥作为变量进行了扰乱 (hash)的值用作种子。
种子创建H (n)[客户时变随机值l服务器时变随机值l密钥]
图4为示出了一实施方式的图,该实施方式实现了根据本发明的在 一次性密码终端处对一次性密码用户进行注册的处理。如图2所示,用 户在步骤S205中运行一次性密码的虚拟机(VM),并且选择和处理可以 包含在该VM中的机构注册菜单。关于这一点, 一次性密码终端询问是 否要注册新的金融机构,如果用户选择了肯定,则给出可以注册的金融 机构的列表,并且用户选择要注册的金融机构。接下来, 一次性密码终端向一次性密码服务器请求所选金融机构的 概况和序列号,创建一随机值并与该请求一起发送该随机值。接收到随 机值的一次性密码服务器发布序列号和种子值,并将发布的序列号和种 子值发送给一次性密码终端10,将序列号显示在一次性密码终端10上。
此外,能够同时创建初始一次性密码。示例性画面E404是显示了一次性 密码服务器所发布的序列号的画面,而示例性画面E405是显示了加载在 一次性密码终端上的程序根据接收到的金融机构的概况而创建的一次性 密码的画面。用户利用计算机20将序列号和一次性密码传送给认证服务 器30,并且在S210中完成用户注册。
图5为示例性视图,示出了利用一次性密码终端IO创建一次性密码 并通过注册机构对该一次性密码进行认证的处理。如果一次性密码终端 10运行,则显示已注册的机构。如果用户选择了有意的机构,则一次性 密码终端创建一次性密码。用户可以利用所创建的一次性密码来获得对 于期望的金融交易的用户认证(网上银行认证或者ATM机认证)。已经 参照图l描述了其细节。
如上所述,根据本发明,在用于创建一次性密码的程序中提供了通 过一个程序在多家金融机构所提供的多种模式下创建一次性密码的效果。
也就是说,可以利用加载有一个程序的一次性密码终端来创建和注 册使用不同一次性密码创建模式的金融机构的所有类型的密码。因此, 不会给在多家金融机构拥有账户的用户带来不便,也就是不必携带多个 一次性密码终端,或者在蜂窝电话等中安装由多家金融机构提供并从这 多家金融机构下载的多个一次性密码创建程序。
1权利要求
1、一种在包括加载有用于在多种模式下创建一次性密码的程序的一次性密码终端、用于对一次性密码用户的真实性进行认证的认证服务器、一次性密码服务器和用于存储与一次性密码用户有关的信息的一次性密码数据库服务器的环境下,利用该一次性密码终端在该一次性密码终端中对该一次性密码用户进行注册的方法,该方法包括以下步骤第一步骤,允许该一次性密码终端向该一次性密码服务器请求要使用相应的一次性密码的机构的概况和用于创建该一次性密码的程序的序列号这两者;第二步骤,允许该一次性密码终端从该一次性密码服务器接收由该一次性密码服务器发布的序列号和概况;和第三步骤,允许该一次性密码终端在该一次性密码终端中对所述概况和所述密码进行注册,并且生成种子值,其中,在第二步骤中接收到的序列号被用户传送给并且注册在该认证服务器中,所述概况是与相应的一次性密码创建模式有关的信息和与所述机构有关的信息,并且所述一次性密码是由该一次性密码终端在由所述概况确定的一次性密码创建模式下创建的。
2、 根据权利要求1所述的方法,其中所述一次性密码创建模式有几 种,就重复第一到第四步骤几次。
3、 根据权利要求1所述的方法,其中所述概况包括以下信息中的任 意一个或更多个与指定了再次创建所述一次性密码的时间间隔的一次 性密码创建间隔有关的信息、与一次性密码创建算法有关的信息、所述 一次性密码的尺寸、与所创建的一次性密码的最后一位是否被用作校验 和有关的信息、与是否在所述一次性密码终端运行时设定所述一次性密 码有关的信息、服务名称、服务标志图标、客户服务中心的指导消息。
4、 一种用于在包括加载有用于在多种模式下创建一次性密码的程序 的一次性密码终端、用于对一次性密码用户的真实性进行认证的认证服 务器、 一次性密码服务器和用于存储与一次性密码用户有关的信息的一次性密码数据库服务器的环境下,利用该一次性密码终端在该一次性密 码终端中对该一次性密码用户进行注册的程序,该程序记录在计算机可 读记录介质中,该程序包括以下步骤第一步骤,允许该一次性密码终端向该一次性密码服务器请求要使 用相应的一次性密码的机构的概况和用于创建该一次性密码的程序的序 列号这两者;第二步骤,允许该一次性密码终端从该一次性密码服务器接收由该 一次性密码服务器发布的序列号和概况;和第三步骤,允许该一次性密码终端在该一次性密码终端中对所述概 况和所述密码进行注册,并且生成种子值,其中,在第二步骤中接收到的序列号被用户传送给并且注册在该认 证服务器中,所述概况是与相应的一次性密码创建模式有关的信息和与 所述机构有关的信息,并且所述一次性密码是由该一次性密码终端在由 所述概况确定的一次性密码创建模式下创建的。
5、 一种允许一次性密码服务器在包括加载有用于在多种模式下创建 一次性密码的程序的一次性密码终端、用于对一次性密码用户的真实性 进行认证的认证服务器、该一次性密码服务器和用于存储与一次性密码 用户有关的信息的一次性密码数据库服务器的环境下认证用户所输入的 第一一次性密码的方法,该方法包括以下步骤-第一步骤,允许该一次性密码服务器从该认证服务器接收用户信息 和第一一次性密码;第二步骤,允许该一次性密码服务器基于所述用户信息来询问该一次性密码数据库服务器并从它接收种子值;第三步骤,允许该一次性密码服务器基于所述种子值来创建第二一次性密码;和第四步骤,允许该一次性密码服务器将第一一次性密码与第二一次 性密码进行比较,并将比较结果传送给该认证服务器,其中,第一一次性密码是由该用户利用该一次性密码终端而创建并 传送给该认证服务器的。
6、 一种允许一次性密码用户在包括加载有用于在多种模式下创建一 次性密码的程序的一次性密码终端、用于对一次性密码用户的真实性进 行认证的认证服务器、该一次性密码服务器和用于存储与一次性密码用 户有关的信息的一次性密码数据库服务器的环境下认证用户所输入的第 一一次性密码的程序,该程序记录在计算机可读记录介质中,该程序包 括以下步骤第一步骤,允许该一次性密码服务器从该认证服务器接收用户信息 和第一一次性密码;第二步骤,允许该一次性密码服务器基于所述用户信息来询问该一 次性密码数据库服务器并从它接收种子值;第三步骤,允许该一次性密码服务器基于所述种子值来创建第二一 次性密码;和第四步骤,允许该一次性密码服务器将第一一次性密码与第二一次 性密码进行比较,并将比较结果传送给该认证服务器,其中,第一一次性密码是由该用户利用该一次性密码终端而创建并 传送给该认证服务器的。
全文摘要
本发明涉及一种在包括加载有用于在多种模式下创建一次性密码的程序的一次性密码终端、用于对一次性密码用户的真实性进行认证的认证服务器、一次性密码服务器和用于存储与一次性密码用户有关的信息的一次性密码数据库服务器的环境下,利用该一次性密码终端在该一次性密码终端中对该一次性密码用户进行注册的方法。
文档编号G06F17/00GK101517562SQ200780033812
公开日2009年8月26日 申请日期2007年4月18日 优先权日2006年9月15日
发明者李昌熙 申请人:因尼科技株式会社