本发明专利技术是有关于一种网路交易用一次性密码产生及应用方法及其执行该方法的系统。该网路交易用一次性密码产生及应用方法,用以针对每一次线上交易行为产生一组专属的一次性密码(One Time Password,OTP);该OTP是利用交易识别资料,如:交易种类、交易日期等所计算得到,并通过异于网际网路的另一管道,如简讯等各种方式将OTP送至用户手中;唯有在该OTP与交易内容相符的情况下才能进行线上交易,借此可以破解因木马程式、网路钓鱼等造成的危机。
【技术实现步骤摘要】
网路交易用 一次性密码产生及应用方法及其执行该方法的系统 技术领城本专利技术涉及一种网路交易安全机制,特别是涉及一种可针对当次的交 易特征产生专属密码且不增加用户使用负担的网路交易用一次性密码产生及应用方法、及其执行i亥方法的系统。技术背景近年来,网路科技发展一日千里,网路购物、线上拍卖等电子商务因 应而生,各家银行亦推出网路银行的服务,用户/客户可选择不出门购物、不 亲临柜台、不排队等待,只需在家里通过电脑登入购物网站或网路银行网 站,即可进行付款、转帐等各种交易.上述线上交易行为的共通点在于,使用者皆必须在电脑输入自身的金 融资料,如信用卡资料、银行帐户、密码、登入帐号、交易资料等,通过 网路传输到该信用卡中心或网路银行网站的伺服器。在使用者享受这便捷 的服务同时,也造就网路骇客侧录或盗取金融资料的大好机会; 一旦骇客 盗获这些私人金融资料,使用者及银行的损失可想而知。依据反网路钓鱼 工作小组(Anti-Phishing Working Group, APWG)统计资料,70%以上的网 路诈欺行为皆是直接锁定网路银行及网路金流服务,目的在于盗取帐号资 料,洗劫网路银行。目前所知的骇客网路诈骗方法,包括1、 网路钓鱼(phishing,与fishing取同音且近似意义) 主要手法是利用伪造电子邮件作为诱饼,并设连结到假网站。例如,伪装成某知名银行或线上服务业者,通知使用者资料过期或无效而需更新,或 基于安全理由需要进行身份验证,要求使用者连结到该电子邮件中所指引 的网站以重新确认银行帐号密码或信用卡号。由于诈骗手法细腻,使用者 难辨真伪, 一旦在该网站中输入帐号密码,也就形同上钩。2、 木马程式或间谍软件木马程式或间谍软件包括键盘側录、画面拦截等程式。骇客将木马程 式或间谍软件加壳包装成有趣或实用的工具程式,并且利用电子邮件或在 网站上播送,当使用者受到吸引而下栽或打开电子邮件的附档,则这些木马 程式或间谍软件便有机会入侵电脑。例如日前在两岸发生的事件一骇客广 发"x月13日黑色星期五,将有43只电脑病毒发作,微软用户快下栽修补 程式"电子邮件,诱骗使用者下栽木马程式伪装的"系统更新程式.exe"或假"解毒程式.exe".这种木马程式不会马上发作或使电脑异常,但只要使 用者开启浏览器、收信软件甚至文字编辑工具,输入任何"帐号"、"密码" 等资料,木马程式即连同对应网站或浏览路径一并记下,因此所有的私人帐号、密码都会被拦截。上述的网路钓鱼的诱辨及木马程式的包装千奇百怪、不断翻新,想全 面拦截甚至一一揪出网路骇客十分困难。在近年网路4艮行不堪其扰的情况 下,为了防止损失持续扩大,中国台湾于2004年间关闭网路银行SSL(Secure Socket Layer, SSL,以下均简称为SSL)非约定转帐功能,并规定必须视交易 风险,单独或合并运用下述各种严密的技术防护措施,才能开放SSL非约 定交易业务1 、 SSL约定帐号交易密码一仅开放约定帐户进行交易,相当于因噎废食 的做法,限制网路银行交易内容,避免盗领亊件发生。2、 4^钥^3Wi更施(Public Key Infrastructure,以下简称P〖I)一是一 种利用公钥技术实现电子商务安全的体系,整体由公开密钥密码技术、数 字证书、证书发放机构(也就是CA),及关闭/公开密钥的安全策略等基本成 分共同组成。然而,在用户所有帐号密码全被側录盗取,及用户4吏用的私 钥保护设备不安全(如磁片)的情况下,此一加密、认证方法并派不上用 场,3、 一次性密码(One Time Password,以下均简称为OTP)—又称动态密 码,是运用动态密码产生器(Key Token)、晶片金融卡或以其他方式,随机 产生限定一次使用的密码,配合晶片卡使用者,该密码产生器必须插入用 户晶片卡,甚至需输入该晶片卡的密码后才能使用,为上述防盗机制添加 多一层的防护。上述密码产生器是由该用户专门持有且可与网路4艮行连线,其针对每 次交易乱码产生一组OTP密码,该密码产生方式可能;^依当时时段产生,或 逐次递增计算产生,或综合前述两种条件产生。用户在网路银行进行交易 的过程中,可能需逐次或在预定时间(例如20秒)内输入由密码产生器所产 生的OTP密码,若用户未在这段时间内输入则该密码失效,需再次操作该 密码产生器。虽然上述0TP机制中,0TP密码每次都不同,且原则上仅有持 有该产生器的用户能得知,安全性应较一般以固定密码签入者高,但实际 上,这种产生OTP密码的方法,并无法防止网路钓鱼或第三人介入交易(Man in the Middle)而窣改交易的事件发生,原因在于该OTP密码只是由密码 产生器自行递增或乱数或与时间有关地产生密码,该密码与交易内容、使用 者身份、晶片卡的序号或卡片密码皆无关联,且产生器也不限定插入晶片 卡,也就是说该OTP密码不会因为交易内容、使用者资讯被更改而失效.因 此,存在以下问题(l)以网路钓鱼来说,用户若在假网站上输入帐号、OTP密码,骇客可据此马上到真正网站上从事盗领等不法交易,用户却浑然不知;(2)以第三人介入交易来说,只要在用户输入其OTP密码后,任何第三 人都可能介入窜改交易。综合上述,为了防止发生网路交易帐号密码被窃取、盗领、盗刷的情 况,增加的防护措施往往为用户增添不便;且尽管目前发展出各式各样的网 路加密、认证、防护机制,但是面对层出不穷的网路犯罪手法或潜藏在身 边的危机,仍有百密一疏的风险。因此,有必要为网路金融交易发展一更 能有效防堵盗取且不增加用户使用负担的方法。有鉴于此,本专利技术人基于从事此类产品设计制造多年丰富的实务经验 及专业知识,并配合学理的运用,积极加以研究创新,以期创设一种新的 网路交易用 一次性密码产生及应用方法及其执行该方法的系统,使其更具 有实用性。经过不断的研究、设计,并经反复试作及改进后,终于创设出确 具实用价值的本专利技术.
技术实现思路
本专利技术的目的在于,提供一种可针对当次的交易特征产生专属密码且 不增加用户使用负担的一次性密码产生及应用方法,及其执行该方法的系 统,从而更加适于实用。本专利技术的目的及解决其技术问题是采用以下技术方案来实现的。依据 本专利技术提出的一种网路交易用一次性密码产生及应用方法,针对一用户的 一线上交易行为产生一专有的一次性密码,该用户使用相异的一第一使用 者介面及一第二使用者介面;其包含以下步骤(A)、接收来自用户输入的 交易资料;(B)、依据该交易资料及系统提供资料,逻辑运算产生一组专属 对应的一次性密码,该一次性密码包括一笔交易代码,以及一笔交易验证 码;(C)、通过相异管道使该交易代码、交易验证码分别传输并显示于该第 一使用者介面、第二使用者介面;(D)、接收来自该用户通过该第一使用者 介面回传的交易验证码;以及(E)、核对该回传的交易验证码是否正确。本专利技术的目的及解决其技术问题还可采用以下技术措施进一步实现。前述的网路交易用一次性密码产生及应用方法,其中所述的步骤(C)是 使交易代码通过网际网路传输到该第一使用者介面,交易验证码通过行动 通讯网路传输到该第二使用者介面。前述的网路交易用一次性密码产生及应用方法,其中所述的交易验证 码是通过简讯、GPRS、 MMS、传真、语音、电子本文档来自技高网...
【技术保护点】
一种网路交易用一次性密码产生及应用方法,针对一用户的一线上交易行为产生一专有的一次性密码,该用户使用相异的一第一使用者介面及一第二使用者介面;其特征在于其包含以下步骤: (A)、接收来自用户输入的交易资料; (B)、依据该交易资料及一系统提供资料,逻辑运算产生一组专属对应的一次性密码,该一次性密码包括一笔交易代码,及一笔交易验证码; (C)、通过相异管道使该交易代码、交易验证码分别传输并显示于该第一使用者介面、第二使用者介面; (D)、接收来自该用户通过该第一使用者介面回传的交易验证码;以及 (E)、核对该回传的交易验证码是否正确。
【技术特征摘要】
【专利技术属性】
技术研发人员:李嘉铭,
申请(专利权)人:中国信托商业银行股份有限公司,
类型:发明
国别省市:71[]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。