专利名称:身份认证方法、装置及系统的制作方法
技术领域:
本发明涉及一种认证方法,特别是涉及一种由一服务器对一使用者端进行身份认 证的方法,借以让使用者取得该服务器或另一系统的使用权限或进行网络交易。
背景技术:
传统密码由于简单,一直是电脑使用上最基本的身份认证方式,不过也因为传统 密码简单,因此容易被窥视、猜测或以木马程序、网络钓鱼等手法破解。所以针对上述问题,公知提出各种不同的身份安全技术,例如H(I、OTP等身份认 证方法来进一步确保使用者与系统的安全性。这些公知的认证方法皆有其优点与特色,但 仍存有两项主要的缺点1.用户端须使用额外的电子装置,例如芯片卡与读卡机、密码产 生器等才能进行身份认证,使用门槛较高且操作不方便,不利于普及;2.部分认证技术在 安全上仍有漏洞,例如OTP无法防止网络钓鱼。因此公知的身份认证方法仍不能完全防止 各种网络攻击。有鉴于此,提供一种创新的身份认证方法,以简单且低成本的方式解决网络认证 的安全问题,确实有其必要。
发明内容
因此,本发明的目的,即在提供一种简单、低成本、易于操作,且能解决系统及使用 者网络身份安全问题的身份认证方法及其装置,从而更加适于实用。本发明的目的及解决其技术问题是采用以下技术方案来实现的。为达到上述目的,本发明的身份认证方法可应用在一第一电子装置需要对一第二 电子装置进行身份认证的情况,该方法令该第一电子装置产生一译码表,并将该译码表提 供给该第二电子装置,该译码表由m行xn列个第一种符号组成,其中m行由m个相异的第 二种符号标示,η列由η个相异的第三种符号标示;当该第二电子装置向该认证端请求认证 时,该第一电子装置由m个第二种符号及η个第三种符号中挑选并组成ρ组询问码送至该 第二电子装置,其中每组询问码包含至少一组由一第二种符号及一第三种符号组成的符号 码,且根据该译码表,各组符号码对应于这种第一种符号其中之一;该第二电子装置由收到 的该P组询问码中选取q组询问码,并根据该译码表,回传对应于该q组询问码的q组回答 码给该第一电子装置;该第一电子装置判断收到的该q组回答码是否存在于该P组询问码 所对应的P组第一种符号中,若是,则判定该第二电子装置通过认证,其中m、η其中之一大 于等于1,m、η其中另一大于等于2且ρ大于2,q大于1。此外,本发明实现上述方法的一种身份认证装置,用以与一使用者端通信以对使 用者端进行身份认证,该身份认证装置包括一通信单元、一译码表管理单元及一身份认证 单元。该通信单元与该使用者端进行通信,该译码表管理单元根据该使用者端的申请,提供 一译码表给该使用者端,该译码表由m行χ η列个第一种符号组成,且m行由m个相异的第 二种符号标示,η列由η个相异的第三种符号标示。该身份认证单元在收到该使用者端传来一身份认证请求时,由该m个第二种符号及该η个第三种符号中挑选并组成ρ组询问码,通 过该通信单元送至该使用者端,其中每组询问码包含至少一组由一第二种符号及一第三种 符号组成的符号码,且根据该译码表,各组符号码对应于一第一种符号;该身份认证单元并 判断该使用者端回传的q组回答码是否存在于该P组询问码所对应的P组第一种符号中, 若是,则判定该使用者端通过认证,其中m、n其中之一大于等于l,m、n其中另一大于等于2 且ρ大于2,q大于1。本发明的目的及解决其技术问题还可采用以下技术措施进一步实现。优选地,该第一种符号是英文字母,且该第二种符号及第三种符号是阿拉伯数字。本发明的目的及解决其技术问题还采用以下技术方案来实现。依据本发明提出的一种网络服务器,用以对一使用者端进行身份认证以提供网络 资源,该网络服务器包括一网络系统及一身份认证装置,该网络系统与该使用者端连线, 以接受该使用者端发出的一身份认证请求;该身份认证装置与该网络系统连结,并提供一 译码表给该使用者端,该译码表由m行xn列个第一种符号组成,其中m行由m个相异的第 二种符号标示,η列由η个相异的第三种符号标示;其中该身份认证装置并于收到该网络系 统传来的该身份认证请求时,由m个第二种符号及η个第三种符号中挑选并组成ρ组询问 码通过该网络系统送至该使用者端,其中每组询问码包含至少一组由一第二种符号及一第 三种符号组成的符号码,且根据该译码表,各组符号码对应于这种第一种符号其中之一,其 中m、η其中之一大于等于1,m、η其中另一大于等于2且ρ大于2 ;且该网络系统将该使用 者端回传的q组回答码传给该身份认证装置,使判断该q组回答码是否存在于该P组询问 码所对应的P组第一种符号中,若是,则判定该使用者端通过认证,其中q大于1。依据本发明提出的一种身份认证系统,包括一使用者端及一服务器,该使用者端 可发出一身份认证请求;该服务器通过一通信网络与该使用者端连结,并提供一译码表给 该使用者端,该译码表由m行xn列个第一种符号组成,其中m行由m个相异的第二种符号 标示,η列由η个相异的第三种符号标示;其中,该服务器并于收到该身份认证请求时,由m 个第二种符号及η个第三种符号中挑选并组成ρ组询问码送至该使用者端,其中每组询问 码包含至少一组由一第二种符号及一第三种符号组成的符号码,且根据该译码表,各组符 号码对应于这种第一种符号其中之一,且m、n其中之一大于等于l,m、n其中另一大于等于 2且ρ大于2 ;该使用者端于收到该ρ组询问码时,根据该译码表,回传该P组询问码中的q 组询问码所对应的q组回答码给该服务器,且q大于1 ;该服务器判断该q组回答码是否存 在于该P组询问码所对应的P组第一种符号中,若是,则判定该使用者端通过认证。本发明的目的及解决其技术问题还可采用以下技术措施进一步实现。优选地,该使用者端包括一显示单元;一通信单元,其与该服务器通信以收送这 种询问码及回答码;及一处理单元,用以将这种询问码送至该显示单元显示,并令该通信单 元送出这种回答码。优选地,该使用者端还包括一输入单元,用以供使用者输入这种回答码给该处理 单元。优选地,该译码表储存于该处理单元中,且该处理单元根据该译码表,将该ρ组询 问码中的q组询问码转换成对应的q组回答码后,通过该通信单元回传给该服务器。优选地,该第一种符号可以是英文字母或数字其中之一,且该第二种符号及第三种符号可以是英文字母或数字其中之一。优选地,上述m、η大于等于5,ρ大于等于10,且q大于等于2。本发明借由预先提供译码表给使用者端,并于每次使用者进行身份认证时,即由 服务器产生当次使用的多组询问码传送给使用者端,让使用者端回传从中选取的数个询 问码根据译码表所转换成的回答码,再由服务器对回传的回答码进行验证,借此,达到低成 本、易于操作并解决系统及使用者网络身份安全的效果。
下面结合附图及实施例对本发明的一个优选实施例进行详细说明图1是本发明身份认证装置的一优选实施例的电路方块图;图2是本发明身份认证方法的一优选实施例的流程图;图3是本实施例的译码表示意图;图4是本实施例的译码表文件内容示意图;图5是本实施例根据译码表转换询问码为回答码的说明例;图6是本实施例的服务器所编辑产生的多组询问码示意图;图7是本实施例的使用者端产生的回答码输入画面示意图。
具体实施例方式有关本发明的前述及其他技术内容、特点与效果,在以下配合参考图式的一个优 选实施例的详细说明中,将可清楚地呈现。参阅图1及图2,是本发明身份认证方法的一优选实施例,本实施例的方法应用在 一通过一通信网络(本实施例是以互联网300为例)与一使用者端200连线的服务器500, 该服务器500可对身份认证装置100使用者端200进行身份认证,让使用者在通过身份认 证后可以取得服务器500的网络资源的使用权限或与服务器500进行网络交易等。本实施 例的服务器500包括一连接互联网300的网络系统400及一连接在网络系统400后端的身 份认证装置100。本实施例的网络系统400可以是任何服务提供者、信息提供者、游戏平台、网络商 店等通过互联网300提供资源或服务的装置或系统,且身份认证装置100与网络系统400 可以是各自独立且相互连结的两个装置,也可以身份认证装置100整合在一起。使用者端 200通常是一个人电脑或者是其它可以连上互联网的任何公知电子装置,例如具有移动上 网功能的PDA或移动电话等。当然身份认证装置100也不一定要设在网络系统400的后端或是与网络系统400 整合在一起,身份认证装置100也可以是一单独连接至互联网300的认证平台,网络系统 400可以借由与身份认证装置100事先的协议,在使用者端200向网络系统400发出身份认 证请求时,通过互联网300要求身份认证装置100对连上网络系统400的使用者端200进 行身份认证。为了实现身份认证的功能,本实施例的身份认证装置100主要包括一应用程序介 面(API) 11,一译码表管理单元12及一身份认证单元13。应用程序介面(API) 11是一软件模块,用以与网络系统400沟通,以与网络系统
7400之间进行认证信息的传输,因此应用程序介面会在网络系统400端产生一输出/入介面 (图中未示出),以作为身份认证装置100与网络系统400之间的沟通介面。当使用者连上 网络系统400时,该输出/入介面可供使用者输入数据或指令给身份认证装置100。另外,网络系统400除具备必要的功能外,其中还设有一处理单元40与一通信单 元41,处理单元40执行应用程序介面11提供的应用程序,以在网络系统400端产生该输 出/入介面。通信单元41与处理单元40连接,它是一网络通信介面,主要用以连上互联网 300以与使用者端200进行通信。因此,使用者端200当然也会设有一连接互联网300的通 信单元21。如图2的步骤Sl所示,译码表管理单元12主要用以提供如图3所示的给不同使 用者端200使用的多个不同且唯一的译码表30,并管理各译码表30的使用状态。因此,为 满足数据存取及管理的需要,每一唯一的译码表30分别对应到如图4所示的一译码表文 件,该文件内容至少包括以下栏位译码表的“名称”、每一译码表的唯一“序号”、译码表的 大小、使用“状态”及变更“日期”等。且如图2的步骤S2所示,当使用者为了存取网络系统400而向网络系统400要求 提供身份认证的方法时,网络系统400会通过处理单元40向身份认证装置100要求提供一 进行认证用的译码表30给使用者端200。如图3所示,在本实施例中,每一译码表30具有由10行XlO列分隔出的100个格 位,每一格位中填入一第一种符号,第一种符号可以是英文大、小写字母、阿拉伯数字或其 它连续但不重复的符号等。在本实施例中,第一种符号是以小写英文字母为例的,并由26 个小写英文字母中任取20个相异的字母,以每个字母填入5次的方式,依序且随机地将这 20个字母填入译码表30的100个格位中。且表格的横向(列)格位由10个不同的第二种 符号标示,表格的纵向格位(行)由10个不同的第三种符号标示,且第二种符号及第三种 符号在本实施例中可以是英文大、小写字母、阿拉伯数字或其它连续但不重复的符号等,在 本实施例中,第二种符号及第三种符号皆以阿拉伯数字0 9为例,且被依序标示在译码表 30的各行及各列中。因此,译码表30的某一列与某一行的交集会对应到译码表30的某一 格位的英文字母。虽然本实施例的译码表30是以一个二维的表格为例的,但实际上译码表也可以 采用一维的表格(亦即1行多列个格位或者多行1列个格位)来实现本发明。大量的译码表30可被译码表管理单元12预先产生,此时未被申请的译码表30的 译码表文件中的“状态”栏位被填入数字“1”,以表示初始状态。且为方便使用及避免数据 外泄,使用者端200的使用者需事先申请译码表30,且为方便使用,本实施例通常将译码表 30印制于一如信用卡大小的卡片上,并以不透明的涂料覆盖,当使用者要启用时再予以刮 除。当身份认证装置100根据使用者端200申请,以邮寄或其它方式提供译码表卡片给使 用者端200的使用者时,身份认证装置100的译码表管理单元12会对应更新该译码表文件 中的状态栏位为数字“1”(表示已被使用者申请)。当然译码表30也可以由译码表管理单元12根据使用者端200的申请而即时产生。使用者拿到译码表卡片后需连上网络系统400,并通过身份认证装置100的应用 程序介面11提供的输出/入介面,进入身份认证装置100的一登录画面(图中未示出),将译码表30上的序号输入身份认证装置100,使更改对应的译码表文件中的状态栏位为数字 “ 2 ”(表示已被启用),以于译码表完成启用登录后,才能正常使用。借此,可以确保在使用 译码表卡片之前,若发现卡片数据已外泄(例如覆盖的涂料已被刮除),可申请将该张译码 表卡片作废,并将对应的译码表文件中的状态栏位更改为数字“4” (表示作废),以保障认 证安全。当然,除了上述印制译码表卡片给使用者的方式之外,亦可以通过安全的加密方 法,将译码表加密后通过应用程序介面11及网络系统400的处理单元40和通信单元41直 接传送给使用者端200。身份认证单元13通过应用程序介面31与网络系统400连接,用以对连上网络系 统400的使用者端200进行身份认证。如图2的步骤S3所示,当身份认证装置100收到由网络系统400传来的使用者 端200发出的一身份认证请求时,身份认证单元13进行步骤S4,由代表译码表30的横向 (列)格位的0 9数字及代表纵向(行)格位的0 9数字中分别挑选出数字以产生ρ 组(P > 2)询问码,且每一组询问码包含一组或一组以上的符号码。在本实施例中,是以每 组询问码包含两组符号码为例的,每一组符号码包含两个数字,其中一个数字是由代表译 码表的横向(列)格位的0 9数字中挑选出的,另一个数字是由代表译码表的纵向(行) 格位的0 9数字中挑选出的。例如询问码2791包含(27)及(91)两组符号码,(27)这组符号码中的“2”是指 译码表中的第2列,“7”是指译码表中的第7行,(91)同理;因此,根据图5译码表的对应 关系,每组询问码可以被转换成所对应的一组回答码,即两个小写英文字母,例如根据译码 表,询问码07) (91)可被对应转换成“pc”这组回答码。且由于询问码的数量越多,认证的安全性会相对增加,因此,本实施例的身份认证 单元产生20组询问码给使用者端200,其内容例如图6所示,并暂存在身份认证单元13中。如步骤S5,身份认证单元13随后将该20组询问码通过应用程序介面11及网络系 统400的通信单元41传送给使用者端200。当使用者端200的通信单元21收到这20组询 问码时,会传给处理单元22,使将20组询问码送至显示单元23显示。同时如步骤S6及图7所示,处理单元22产生一回答码输入画面70,要求使用者 通过使用者端200的一输入单元M由该20组询问码中挑选q组(q > 2,本实施例以q = 4为例)询问码,例如使用者选择2791、7728、5105及8643四组询问码,使用者并根据译码 表30,通过输入单元M在回答码输入画面70中输入对应的回答码后,如步骤S7,处理单元 22将该4组回答码经由通信单元21及互联网300回传给网络系统400,之后网络系统400 将收到的4组回答码通过输出/入介面及应用程序介面31传给身份认证装置100的身份 认证单元13。当然,上述选择询问码的作业亦可由使用者端200的处理单元22中预先载入的一 应用程序来执行,该应用程序可根据预设的挑选数量(例如q = 4),由20组询问码中随机 挑选4组询问码,并自动对照预存的译码表30,将该4组询问码转换成4组回答码后自动回 传给身份认证装置100,以完全免除人为的操作,而更易于被使用者接受及使用。由于本实施例的20组询问码中,只有4个会被挑选并转换成回答码,因此可以产 生H20,4) = 116,280种回答码,这些回答码就像“烟幕弹”,对被回传的4个回答码产生遮蔽的效果。因此,假设黑客截取每次认证程序的询问码与回答码,亦很难借由分析这种数 据,反推求出使用者的译码表,最多仅能取得译码表内的20个英文字母。再者,由于本实施例的回答码是由两个小写英文字母组成,对一般人而言,其样本 数为= 676个;对黑客而言,其样本数则为20x20 = 400个。因此,假设在(1)本实 施例的20个询问码经译码表译码后皆不相同,且( 黑客取得译码表内的20个英文字母, 而且⑶由使用者端回传的4个回答码皆不相同的情况下,则
权利要求
1.一种身份认证方法,供一认证端对一使用者端进行身份认证,其特征在于所述方法包括(A)令所述认证端产生一译码表,所述译码表由m行xn列个第一种符号组成,其中m行 由m个相异的第二种符号标示,η列由η个相异的第三种符号标示;(B)提供所述译码表给所述使用者端;(C)当所述使用者端向所述认证端请求认证时,所述认证端由m个第二种符号及η个第 三种符号中挑选并组成P组询问码送至所述使用者端,其中每组询问码包含至少一组由一 第二种符号及一第三种符号组成的符号码,且根据所述译码表,各组符号码对应于所述这 些第一种符号其中之一,其中m、n其中之一大于等于l,m、n其中另一大于2,且ρ大于2;(D)所述使用者端由所述P组询问码中选取q组询问码,并根据所述译码表,回传对应 于所述q组询问码的q组回答码给所述认证端,其中q大于1 ;以及(E)所述认证端判断所述q组回答码是否存在于所述P组询问码所对应的P组第一种 符号中,若是,则判定所述使用者端通过认证。
2.如权利要求1所述的身份认证方法,其特征在于所述第一种符号可以是英文字母 或数字其中之一。
3.如权利要求1所述的身份认证方法,其特征在于所述第二种符号及第三种符号可 以是英文字母或数字其中之一。
4.如权利要求1所述的身份认证方法,其特征在于m、η大于等于5。
5.如权利要求1所述的身份认证方法,其特征在于ρ大于等于10,且q大于等于2。
6.一种身份认证装置,用以对一使用者端进行身份认证,其特征在于所述身份认证装置包括一应用程序介面,作为所述身份认证装置与所述使用者端之间的一沟通介面;一译码表管理单元,根据所述使用者端的申请,提供一译码表给所述使用者端,所述译 码表由m行xn列个第一种符号组成,且m行由m个相异的第二种符号标示,η列由η个相 异的第三种符号标示,其中m、n其中之一大于等于l,m、η其中另一大于2;以及一身份认证单元,当收到经由所述应用程序介面传来所述使用者端的一身份认证请求 时,由所述m个第二种符号及所述η个第三种符号中挑选并组成ρ组询问码,通过所述通信 单元送至所述使用者端,其中每组询问码包含至少一组由一第二种符号及一第三种符号组 成的符号码,且根据所述译码表,各组符号码对应于一第一种符号,其中P大于2 ;所述身份认证单元并判断经由所述应用程序介面传回的所述使用者端回传的q组回 答码是否存在于所述P组询问码所对应的P组第一种符号中,若是,则判定所述使用者端通 过认证,其中q大于1。
7.如权利要求6所述的身份认证装置,其特征在于所述第一种符号可以是英文字母 或数字其中之一。
8.如权利要求6所述的身份认证装置,其特征在于所述第二种符号及第三种符号可 以是英文字母或数字其中之一。
9.如权利要求6所述的身份认证装置,其特征在于m、η大于等于5。
10.如权利要求6所述的身份认证装置,其特征在于ρ大于等于10,且q大于等于2。
11.一种网络服务器,用以对一使用者端进行身份认证以提供网络资源,其特征在于所述网络服务器包括一网络系统,与所述使用者端连线,以接受所述使用者端发出的一身份认证请求;以及 一身份认证装置,与所述网络系统连结,并提供一译码表给所述使用者端,所述译码表 由m行xn列个第一种符号组成,其中m行由m个相异的第二种符号标示,η列由η个相异 的第三种符号标示;其中所述身份认证装置并于收到所述网络系统传来的所述身份认证请 求时,由m个第二种符号及η个第三种符号中挑选并组成ρ组询问码通过所述网络系统送 至所述使用者端,其中每组询问码包含至少一组由一第二种符号及一第三种符号组成的符 号码,且根据所述译码表,各组符号码对应于所述这些第一种符号其中之一,其中m、η其中 之一大于等于1,m、η其中另一大于2且ρ大于2 ;且所述网络系统将所述使用者端回传的q组回答码传给所述身份认证装置,使判断所 述q组回答码是否存在于所述P组询问码所对应的P组第一种符号中,若是,则判定所述使 用者端通过认证,其中q> 1。
12.—种身份认证系统,其特征在于 所述身份认证系统包括一使用者端,可发出一身份认证请求;以及一服务器,通过一通信网络与所述使用者端连结,并提供一译码表给所述使用者端,所 述译码表由m行xn列个第一种符号组成,其中m行由m个相异的第二种符号标示,η列由η 个相异的第三种符号标示;其中所述服务器并于收到所述身份认证请求时,由m个第二种符号及η个第三种符号中挑 选并组成P组询问码送至所述使用者端,其中每组询问码包含至少一组由一第二种符号及 一第三种符号组成的符号码,且根据所述译码表,各组符号码对应于所述这些第一种符号 其中之一,其中m、n其中之一大于等于1,m、n其中另一大于2且ρ大于2 ;所述使用者端于收到所述P组询问码时,根据所述译码表,回传所述P组询问码中的q 组询问码所对应的q组回答码给所述服务器,其中q大于1 ;所述服务器判断所述q组回答码是否存在于所述P组询问码所对应的P组第一种符号 中,若是,则判定所述使用者端通过认证。
13.如权利要求12所述的身份认证系统,其特征在于所述使用者端包括 一显示单元;一通信单元,其与所述服务器通信以收送所述这些询问码及回答码;及 一处理单元,用以将所述这些询问码送至所述显示单元显示,并令所述通信单元送出 所述这些回答码。
14.如权利要求13所述的身份认证系统,其特征在于所述使用者端还包括一输入单 元,用以供使用者输入所述这些回答码给所述处理单元。
15.如权利要求13所述的身份认证系统,其特征在于所述译码表储存于所述处理单 元中,且所述处理单元根据所述译码表,将所述P组询问码中的q组询问码转换成对应的q 组回答码后,通过所述通信单元回传给所述服务器。
16.如权利要求12所述的身份认证系统,其特征在于所述第一种符号可以是英文字 母或数字其中之一。
17.如权利要求12所述的身份认证系统,其特征在于所述第二种符号及第三种符号可以是英文字母或数字其中之一。
18.如权利要求12所述的身份认证系统,其特征在于m、n大于等于5。
19.如权利要求12所述的身份认证系统,其特征在于Φ大于等于10,且q大于等于2。
全文摘要
一种身份认证方法,由一认证端提供一译码表给一使用者端,该译码表由m行x n列个第一种符号组成,其中m行由m个不同的第二种符号标示,n列由n个不同的第三种符号标示;使用者端向认证端请求认证时,认证端由m个第二种符号及n个第三种符号中组成p组询问码送给使用者端,且根据译码表,每组询问码对应于这种第一种符号至少其中之一,使用者端根据译码表回传p组询问码中的q组询问码所对应的q组回答码给认证端;认证端判断q组回答码存在于p组询问码所对应的p组第一种符号中,则判定使用者端通过认证,其中m、n、p>2,q>1。
文档编号H04L9/32GK102082779SQ20091024679
公开日2011年6月1日 申请日期2009年12月1日 优先权日2009年12月1日
发明者杨凯涵 申请人:杨凯涵