專利名稱:通過多個模式對一次性密碼的用戶進行注冊和驗證的方法以及記錄有執行該方法的程序 ...的制作方法
技術領域:
本發明涉及對一次性密碼的用戶進行注冊的方法以及記錄有用于執 行這種方法的程序的計算機可讀記錄介質,更具體地涉及一種在一次性 密碼終端處以多種模式對一次性密碼的用戶進行注冊的方法以及存儲有 用于執行該方法的程序的計算機可讀記錄介質。
背景技術:
一般來講,普通密碼具有用戶指定的固定值,并且用戶負責管理密 碼不被外泄。然而,在執行網上銀行或者電話銀行交易時,常常發生用 戶輸入的密碼被通信網絡中的第三方盜取或截獲的情況,從而通過非法 密碼對用戶造成無法預料的損害。
一次性密碼(OTP)的出現就是為了防止這種問題,并且因為這種 一次性密碼僅僅有效一次,而在下次創建另一個密碼,所以雖然有人在 中途截取了密碼并且使用該密碼,但是此時該密碼已經失效,由此相對 于維持固定值的常規固定密碼,相對地增強了安全性。
可以利用單獨的終端或者下載到蜂窩電話等中的一次性密碼創建程 序來創建一次性密碼。所創建的一次性密碼可用于自動柜員機(ATM) 或者用于網上銀行業務。
近來,因為一次性密碼的益處已經廣為人知,所以許多金融機構等 競相推薦客戶在銀行交易中使用一次性密碼。然而,金融機構創建一次
性密碼的方法之間存在顯著差異。也就是說,創建一次性密碼的方法的 例子包括使用64位字符串和128位字符串的方法、使用4位數字和8 位數字的方法、僅僅使用數字或者使用數字和字符組合的方法,等等。 一些金融機構不允許用與用戶標識相同的字符串或者包含生日的數字串來創建密碼本身。
因此,由于包含固定密碼創建模式作為算法的程序無法用于創建使 用不同密碼創建模式的另一個機構的密碼,所以給在多家金融機構擁有 賬戶的用戶帶來不便,他們不得不攜帶多個一次性密碼終端,或者在蜂 窩電話等中安裝由多家金融機構提供并從這多家金融機構下載的多個一 次性密碼創建程序。
發明內容
因此,提出本發明來解決以上問題,并且本發明的一個目的是提供 一種對一次性密碼的用戶進行注冊的方法,其中可以通過一個一次性密 碼創建程序來創建使用不同一次性密碼創建模式的多家金融機構所要求 的一次性密碼。此外,本發明的另一個目的是提供一種記錄有用于執行 這種方法的程序的計算機可讀記錄介質。
也就是說,本發明涉及一種通過在一次性密碼終端中安裝一個程序 而創建并注冊符合每家金融機構的一次性密碼創建模式的一次性密碼的 方法。在將與各家金融機構所使用的一次性密碼創建模式有關的信息存 儲在一次性密碼服務器中之后,將與適合于用戶(注冊者)所選金融機 構的一次性密碼創建模式有關的信息發送給一次性密碼終端,并且加載 在該一次性密碼終端上的程序基于所發送的模式來創建一次性密碼。通 過上述配置,可以使用加載了一個程序的一次性密碼終端來創建并注冊 使用不同一次性密碼創建模式的金融機構的所有類型的密碼。
為了實現發明的上述目的,本發明的一方面提供了 一種在包括加載 有用于在多種模式下創建一次性密碼的程序的一次性密碼終端、用于對 一次性密碼用戶的真實性進行認證的認證服務器、 一次性密碼服務器和 用于存儲與一次性密碼用戶有關的信息的一次性密碼數據庫服務器的環 境下,在該一次性密碼終端中對一次性密碼用戶進行注冊的方法,該方 法包括以下步驟第一步驟,允許該一次性密碼終端向該一次性密碼服
務器請求要使用相應的一次性密碼的機構的概況(profile)和用于創建一 次性密碼的程序的序列號這兩者;第二步驟,允許該一次性密碼終端從
6該一次性密碼服務器接收由該一次性密碼服務器發布的序列號和概況; 和第三步驟,允許該一次性密碼終端將概況和密碼注冊在該一次性密碼 終端中,并且生成種子值,其中在第二步驟中接收到的序列號被用戶傳 送給并且注冊在該認證服務器中,所述概況是與相應的一次性密碼創建 模式有關的信息和與該機構有關的信息,并且一次性密碼是由該一次性 密碼終端在由所述概況確定的一次性密碼創建模式下創建的。
發明的另一方面提供了一種方法,該方法允許一次性密碼服務器在 包括加載有用于在多種模式下創建一次性密碼的程序的一次性密碼終 端、用于對一次性密碼用戶的真實性進行認證的認證服務器、該一次性 密碼服務器和用于存儲與一次性密碼用戶有關的信息的一次性密碼數據 庫服務器的環境下認證用戶所輸入的第一一次性密碼,該方法包括以下 步驟第一步驟,允許該一次性密碼服務器從該認證服務器接收用戶信 息和第一一次性密碼;第二步驟,允許該一次性密碼服務器基于用戶信 息詢問該一次性密碼數據庫服務器并從它接收種子值;第三步驟,允許 該一次性密碼服務器基于種子值來創建第二一次性密碼;和第四步驟, 允許該一次性密碼服務器將第一一次性密碼與第二一次性密碼進行比 較,并將比較結果傳送給該認證服務器,其中第一一次性密碼是由用戶 利用該一次性密碼終端而創建并傳送給該認證服務器的。
根據本發明的上述配置,從一次性密碼服務器傳送金融機構的概況, 并且在通過該概況確定的一次性密碼創建模式下創建一次性密碼。因此, 可以由一個程序在多家金融機構指定的多個一次性密碼創建模式下創建 一次性密碼。顯然,應當由該程序來選擇金融機構。
一次性密碼創建模式有幾種,就重復第一到第四步驟幾次。
根據本發明的計算機可讀記錄介質是一種記錄有用于執行上述步驟 的程序的計算機可讀記錄介質。
本領域的普通技術人員使用術語"OTP"來指代本說明書和附圖中使
用的一次性密碼。
用于執行本發明的環境包括加載有用于創建一次性密碼的程序的一 次性密碼終端IO、用戶計算機20、用于認證一次性密碼用戶的真實性的認證服務器30、 一次性密碼服務器40和用于存儲與一次性密碼用戶有關
的信息的一次性密碼數據庫服務器50。
一次性密碼終端IO是一種用于創建一次性密碼的終端,它可以是專
用終端,也可以是加載有用于創建一次性密碼的程序的蜂窩電話。用戶
計算機20包括連接到通信網絡并且能夠與認證服務器30進行通信的各 種電子設備。
認證服務器30是指在交易中使用一次性密碼的金融機構(例如銀行 等)的服務器,并且認證服務器30存儲有包括與一次性密碼用戶金融賬 戶有關的信息在內的用戶信息。為了將用戶注冊在一次性密碼服務器40 中, 一次性密碼用戶應當通過認證服務器30獲得認證。
根據本發明,在用于創建一次性密碼的程序中提供了借助一個程序 在多家金融機構提供的多種模式下創建一次性密碼的效果。
也就是說,可以利用加載了一個程序的一次性密碼終端來創建并注 冊使用不同一次性密碼創建模式的金融機構的所有種類的密碼。因此, 可以消除在多家金融機構擁有帳戶的用戶的不便性,也就是不必攜帶多 個一次性密碼終端,或者在蜂窩電話等中安裝由多家金融機構提供并且 從這多家金融機構下載的多個一次性密碼創建程序。
結合附圖來閱讀以下詳細說明可以更全面地理解發明的其他目的和 優點,圖中-
圖1為示出了在根據本發明的對用戶進行注冊的方法中對用戶進行
認證的方法的圖2為示出了根據本發明的對用戶進行注冊的方法的圖3為示出了根據本發明的在對用戶進行注冊的過程中共享密鑰的
處理的圖4為示出了一實施方式的圖,該實施方式實現了根據本發明的在 一次性密碼終端處對一次性密碼用戶進行注冊的處理;而
圖5為示出了一實施方式的圖,該實施方式實現了利用一次性密碼終端來創建一次性密碼并且通過注冊機構來認證該一次性密碼的處理。
具體實施例方式
下面將參照附圖來詳細描述本發明的優選實施方式。
首先,圖1示出了一個流程圖,該流程圖例示了根據本發明的對用 戶進行認證的方法和用于執行該用戶認證方法的環境的組成部分。在圖1 所示的處理中,假定通過電子設備(如計算機)來執行銀行交易。
用戶連接到該用戶擁有賬戶的金融機構的網站,以便通過電子設備 (如計算機等)來執行金融交易(如網上銀行業務)。在此情況下,需要 一次性密碼來執行網上銀行業務等。
在步驟S101中, 一次性密碼終端10創建第一一次性密碼。優選地 基于種子值來創建第一一次性密碼,該種子值是在圖2所示的對一次性
密碼用戶注冊的步驟S209中創建、加密并存儲的。
如果將所創建的第一一次性密碼輸入到計算機20中,則計算機20 通過通信網絡將用戶的標識(ID)和第一一次性密碼傳送給認證服務器 30 (S103)o
在此,用戶ID可以是包括與用戶在金融機構所擁有的賬戶等有關的
信息的個人信息,該金融機構在金融交易中使用一次性密碼。
在步驟S104中,接收到用戶ID和第一一次性密碼的認證服務器30 確認該用戶是否被授權。這是要確認該用戶是否在圖2所示的注冊一次 性密碼用戶的步驟S210中被注冊為認證服務器30中的一次性密碼用戶。 如果確認用戶為授權用戶,則在步驟S105中將用戶信息和第一一次性密 碼值傳送給一次性密碼服務器40。用戶信息優選地為使用第一一次性密 碼的機構的機構代碼、用戶ID等。 一次性密碼服務器40基于所傳送的 信息向 一次性密碼數據庫服務器50詢問該對應用戶針對使用第一一次性 密碼的機構的種子值,并且接收返回值(S106)。種子值優選地為在圖2 所示的注冊一次性密碼用戶的步驟S208中傳送給一次性密碼服務器50 的值。
在步驟S107中,接收到種子值的一次性密碼服務器40基于在步驟
9S106中接收到的種子值來創建第二一次性密碼。然后, 一次性密碼服務 器將創建的第二一次性密碼與第一一次性密碼進行比較(S108)。在步驟
S109中, 一次性密碼服務器將比較結果傳送給認證服務器30,并且認證 服務器30結合現有的認證服務器來進行認證,并允許連接(SllO)。
如果用戶在多家金融機構擁有賬戶,則該用戶應當執行用戶注冊, 以便利用一次性密碼終端10上的一個程序在多種模式下創建一次性密 碼,并且圖2示出了這種用戶注冊的處理。
首先,用戶利用計算機20登錄認證服務器30 (S201)。認證服務器 30在步驟S202中要求用戶的計算機20使用一次性密碼,并在步驟S203 中將使用了該一次性密碼的機構的機構代碼以及用戶ID傳送給一次性密 碼服務器40。機構代碼是指可以將使用該一次性密碼的機構與其他機構 區別開的唯--識別符,而用戶ID可以是包括與該用戶在使用該一次性密 碼的金融機構所擁有的賬戶等有關的信息在內的個人信息。
一次性密碼服務器40將機構代碼和用戶ID傳送給一次性密碼數據 庫服務器, 一次性密碼數據庫服務器基于所傳送的機構代碼和用戶ID對 用戶ID進行注冊(S204)。
另一方面,用戶在步驟S205中運行一次性密碼終端10的虛擬機 (VM),并且選擇和處理可以包含在VM中的機構注冊菜單。在此,VM 是本領域普通技術人員所使用的術語,指的是充當編譯后的二進制代碼 與實際上執行程序指令的微處理器之間的接口的軟件。
VM通過機構注冊菜單來生成某個隨機值。該隨機值優選地為出于 穩定目的的時變隨機數(nonce)。與一般的隨機值不同,如果連續生成 了相同的值,則時變隨機數丟棄后一個值,并且重新生成不同的隨機值。 一次性密碼終端10可以將通過VM生成的隨機值傳送給一次性密碼服務 器40,或者可以不進行傳送而僅保存所生成的隨機值。此外, 一次性密 碼終端向一次性密碼服務器請求使用一次性密碼的機構的概況和序列號
(5206) 。
作為對該請求的應答, 一次性密碼服務器40發布序列號和種子值
(5207) 。序列號是指加載在一次性密碼終端上的程序的唯一號碼。序列號和種子值優選地為彼此之間沒有功能關聯的情況下獨立生成的值,并 且優選地將種子值確定為映射到序列號上的唯一信息。
一次性密碼服務器40將步驟S206中所請求的使用一次性密碼的機 構的概況和步驟S207中發布的序列號傳送給一次性密碼終端10(S208), 并且將步驟S207中發布的種子值傳送給一次性密碼數據庫服務器50 (S208)。存儲在一次性密碼數據庫服務器50中的種子值被用于在圖1 所示的用戶認證處理中的步驟S106中確認種子值是否匹配。
一次性密碼終端IO注冊所傳送的概況和序列號,并且生成單獨的種 子值(S209)。也就是說,在使用種子值的方法中對傳送的信息進行加密 和處理。
用戶通過計算機20輸入在步驟S209中接收到的序列號,并且計算 機20將輸入的序列號傳送給認證服務器30,從而完成用戶注冊處理 (S210)。關于這一點優選的是 一起輸入初始一次性密碼值,并且將步 驟S209中生成的種子值存儲為基于該初始一次性密碼而加密的狀態。
客戶擁有賬戶的金融機構的數量有多少,就可以重復這些步驟多少 次。也就是說,用戶選擇使用一次性密碼的金融機構,并且重復圖2所 示的步驟達到與有意的金融機構的數量相同的次數,因此共享了相應金 融機構的概況和相應金融機構對于相應用戶的種子值。
概況包括與使用一次性密碼的金融機構的一次性密碼創建模式有關 的信息和與金融機構本身有關的信息。優選的是,概況可以包括與指定 了再次創建一次性密碼的時間間隔的一次性密碼創建間隔有關的信息、 與一次性密碼創建算法有關的信息、 一次性密碼的尺寸、與所創建的一 次性密碼的最后一位是否被作為校驗和有關的信息、與是否在一次性密 碼終端運行時設定一次性密碼有關的信息、服務名稱、服務標志圖標、 客戶服務中心的指導消息等。
一般來講, 一次性密碼創建算法包括詢問-應答法、時間-同步法、事 件-同步法、組合法等,但是也可以使用其他方法。其算法是本領域普通
技術人員所公知的。
一次性密碼終端10在包含在概況中的使用一次性密碼的金融機構的一次性密碼創建模式下創建一次性密碼。每個金融機構所指定的概況 都是不同的,并且包含在概況中的每個金融機構的一次性密碼創建模式 被傳送給一次性密碼終端10。加載在一次性密碼終端上的程序在創建一 次性密碼時應用每個金融機構的一次性密碼創建模式,由此可以借助一 個程序來創建具有不同創建模式的所有類型的一次性密碼。也就是說, 沒有將密碼創建模式固定嵌入在加載在一次性密碼終端10上的程序中, 而是從一次性密碼服務器40接收與使用一次性密碼的每家金融機構的一 次性密碼創建模式有關的信息,并且該程序在需要時使用該信息。因此, 可以借助一個程序來創建具有不同創建模式的所有類型的一次性密碼。
圖3示出了在用戶注冊一次性密碼的處理中共享種子的處理。 一次
性密碼終端10和一次性密碼服務器40使用通過公鑰加密來共享密鑰的方法。
首先,在步驟S301中, 一次性密碼終端IO生成第一臨時隨機值。 隨機值優選地為時變隨機數。在步驟S302中,通過公鑰加密將第一臨時 隨機值傳送給一次性密碼服務器40,并且一次性密碼服務器40生成第二 臨時隨機值(S303),并通過公鑰加密將第二臨時隨機值傳送給一次性密 碼終端IO (S304)。關于這一點,優選地將第二臨時隨機值用作序列號。
然后, 一次性密碼終端10和一次性密碼服務器40分別接收其自身 創建的臨時隨機值和另一方創建的臨時隨機值,并且在步驟S305和步驟 S306中通過將這些臨時隨機值與密鑰進行組合而生成種子。因此,優選 地將利用第一臨時隨機值、第二臨時隨機值和密鑰作為變量進行了擾亂 (hash)的值用作種子。
種子創建H (n)[客戶時變隨機值l服務器時變隨機值l密鑰]
圖4為示出了一實施方式的圖,該實施方式實現了根據本發明的在 一次性密碼終端處對一次性密碼用戶進行注冊的處理。如圖2所示,用 戶在步驟S205中運行一次性密碼的虛擬機(VM),并且選擇和處理可以 包含在該VM中的機構注冊菜單。關于這一點, 一次性密碼終端詢問是 否要注冊新的金融機構,如果用戶選擇了肯定,則給出可以注冊的金融 機構的列表,并且用戶選擇要注冊的金融機構。接下來, 一次性密碼終端向一次性密碼服務器請求所選金融機構的 概況和序列號,創建一隨機值并與該請求一起發送該隨機值。接收到隨 機值的一次性密碼服務器發布序列號和種子值,并將發布的序列號和種 子值發送給一次性密碼終端10,將序列號顯示在一次性密碼終端10上。
此外,能夠同時創建初始一次性密碼。示例性畫面E404是顯示了一次性 密碼服務器所發布的序列號的畫面,而示例性畫面E405是顯示了加載在 一次性密碼終端上的程序根據接收到的金融機構的概況而創建的一次性 密碼的畫面。用戶利用計算機20將序列號和一次性密碼傳送給認證服務 器30,并且在S210中完成用戶注冊。
圖5為示例性視圖,示出了利用一次性密碼終端IO創建一次性密碼 并通過注冊機構對該一次性密碼進行認證的處理。如果一次性密碼終端 10運行,則顯示已注冊的機構。如果用戶選擇了有意的機構,則一次性 密碼終端創建一次性密碼。用戶可以利用所創建的一次性密碼來獲得對 于期望的金融交易的用戶認證(網上銀行認證或者ATM機認證)。已經 參照圖l描述了其細節。
如上所述,根據本發明,在用于創建一次性密碼的程序中提供了通 過一個程序在多家金融機構所提供的多種模式下創建一次性密碼的效果。
也就是說,可以利用加載有一個程序的一次性密碼終端來創建和注 冊使用不同一次性密碼創建模式的金融機構的所有類型的密碼。因此, 不會給在多家金融機構擁有賬戶的用戶帶來不便,也就是不必攜帶多個 一次性密碼終端,或者在蜂窩電話等中安裝由多家金融機構提供并從這 多家金融機構下載的多個一次性密碼創建程序。
1權利要求
1、一種在包括加載有用于在多種模式下創建一次性密碼的程序的一次性密碼終端、用于對一次性密碼用戶的真實性進行認證的認證服務器、一次性密碼服務器和用于存儲與一次性密碼用戶有關的信息的一次性密碼數據庫服務器的環境下,利用該一次性密碼終端在該一次性密碼終端中對該一次性密碼用戶進行注冊的方法,該方法包括以下步驟第一步驟,允許該一次性密碼終端向該一次性密碼服務器請求要使用相應的一次性密碼的機構的概況和用于創建該一次性密碼的程序的序列號這兩者;第二步驟,允許該一次性密碼終端從該一次性密碼服務器接收由該一次性密碼服務器發布的序列號和概況;和第三步驟,允許該一次性密碼終端在該一次性密碼終端中對所述概況和所述密碼進行注冊,并且生成種子值,其中,在第二步驟中接收到的序列號被用戶傳送給并且注冊在該認證服務器中,所述概況是與相應的一次性密碼創建模式有關的信息和與所述機構有關的信息,并且所述一次性密碼是由該一次性密碼終端在由所述概況確定的一次性密碼創建模式下創建的。
2、 根據權利要求1所述的方法,其中所述一次性密碼創建模式有幾 種,就重復第一到第四步驟幾次。
3、 根據權利要求1所述的方法,其中所述概況包括以下信息中的任 意一個或更多個與指定了再次創建所述一次性密碼的時間間隔的一次 性密碼創建間隔有關的信息、與一次性密碼創建算法有關的信息、所述 一次性密碼的尺寸、與所創建的一次性密碼的最后一位是否被用作校驗 和有關的信息、與是否在所述一次性密碼終端運行時設定所述一次性密 碼有關的信息、服務名稱、服務標志圖標、客戶服務中心的指導消息。
4、 一種用于在包括加載有用于在多種模式下創建一次性密碼的程序 的一次性密碼終端、用于對一次性密碼用戶的真實性進行認證的認證服 務器、 一次性密碼服務器和用于存儲與一次性密碼用戶有關的信息的一次性密碼數據庫服務器的環境下,利用該一次性密碼終端在該一次性密 碼終端中對該一次性密碼用戶進行注冊的程序,該程序記錄在計算機可 讀記錄介質中,該程序包括以下步驟第一步驟,允許該一次性密碼終端向該一次性密碼服務器請求要使 用相應的一次性密碼的機構的概況和用于創建該一次性密碼的程序的序 列號這兩者;第二步驟,允許該一次性密碼終端從該一次性密碼服務器接收由該 一次性密碼服務器發布的序列號和概況;和第三步驟,允許該一次性密碼終端在該一次性密碼終端中對所述概 況和所述密碼進行注冊,并且生成種子值,其中,在第二步驟中接收到的序列號被用戶傳送給并且注冊在該認 證服務器中,所述概況是與相應的一次性密碼創建模式有關的信息和與 所述機構有關的信息,并且所述一次性密碼是由該一次性密碼終端在由 所述概況確定的一次性密碼創建模式下創建的。
5、 一種允許一次性密碼服務器在包括加載有用于在多種模式下創建 一次性密碼的程序的一次性密碼終端、用于對一次性密碼用戶的真實性 進行認證的認證服務器、該一次性密碼服務器和用于存儲與一次性密碼 用戶有關的信息的一次性密碼數據庫服務器的環境下認證用戶所輸入的 第一一次性密碼的方法,該方法包括以下步驟-第一步驟,允許該一次性密碼服務器從該認證服務器接收用戶信息 和第一一次性密碼;第二步驟,允許該一次性密碼服務器基于所述用戶信息來詢問該一次性密碼數據庫服務器并從它接收種子值;第三步驟,允許該一次性密碼服務器基于所述種子值來創建第二一次性密碼;和第四步驟,允許該一次性密碼服務器將第一一次性密碼與第二一次 性密碼進行比較,并將比較結果傳送給該認證服務器,其中,第一一次性密碼是由該用戶利用該一次性密碼終端而創建并 傳送給該認證服務器的。
6、 一種允許一次性密碼用戶在包括加載有用于在多種模式下創建一 次性密碼的程序的一次性密碼終端、用于對一次性密碼用戶的真實性進 行認證的認證服務器、該一次性密碼服務器和用于存儲與一次性密碼用 戶有關的信息的一次性密碼數據庫服務器的環境下認證用戶所輸入的第 一一次性密碼的程序,該程序記錄在計算機可讀記錄介質中,該程序包 括以下步驟第一步驟,允許該一次性密碼服務器從該認證服務器接收用戶信息 和第一一次性密碼;第二步驟,允許該一次性密碼服務器基于所述用戶信息來詢問該一 次性密碼數據庫服務器并從它接收種子值;第三步驟,允許該一次性密碼服務器基于所述種子值來創建第二一 次性密碼;和第四步驟,允許該一次性密碼服務器將第一一次性密碼與第二一次 性密碼進行比較,并將比較結果傳送給該認證服務器,其中,第一一次性密碼是由該用戶利用該一次性密碼終端而創建并 傳送給該認證服務器的。
全文摘要
本發明涉及一種在包括加載有用于在多種模式下創建一次性密碼的程序的一次性密碼終端、用于對一次性密碼用戶的真實性進行認證的認證服務器、一次性密碼服務器和用于存儲與一次性密碼用戶有關的信息的一次性密碼數據庫服務器的環境下,利用該一次性密碼終端在該一次性密碼終端中對該一次性密碼用戶進行注冊的方法。
文檔編號G06F17/00GK101517562SQ200780033812
公開日2009年8月26日 申請日期2007年4月18日 優先權日2006年9月15日
發明者李昌熙 申請人:因尼科技株式會社