[发明专利]以通信装置识别码作为网络身份验证

说明书

本件申请是依据在2013年7月5日提出申请号为61/843,102的有效美国临时专利申请案。

技术领域

本发明提供一种以通信装置识别码及网络操作密码作为网络身份验证的方法，特别是针对一种可以解决目前在网络所动态密码验证的缺失，而能有效抵抗钓鱼网站与中间人攻击的方法。

背景技术

现代人使用因特网络来进行各种网络购物、网络线上游戏、网络金融交易及其他电子商务等活动，已是日常生活中不可或缺又极为普遍的现象，但伴随而来的各种网络骇客的破坏行为也愈来愈多，其大致上可归纳如下。

1.特洛伊木马程式的恶意危害：特洛伊木马或特洛伊木马程式是具有执行电脑使用者所想要的功能，但却也导致其能进入到未被授权的使用者电脑系统内，在电脑科学领域中，该特洛伊木马程式看来好像是合法的程式，但却被用来做为只有破坏性的结果，例如：其可以被用来窃取网络密码讯息，使未被授权进入者对电脑系统造成更多的损坏，或者可以简易地摧毁电脑硬盘内的各种程式或资料，当特洛伊木马程式被植入攻击对象的电脑系统后，电脑骇客便可以进入该电脑来进行删除及执行各种不同的操作。

2.网络钓鱼（Phishing）骗取客户密码的危害：根据反网络钓鱼工作小组（APWG）的定义，网络钓鱼是利用伪造电子邮件与网站作为诱饵，愚弄使用者泄漏如使用者名字、银行帐户密码及信用卡号码等个人机密资料。

3.互动式假网站（Man-in-the-Middle）窜改交易内容攻击的危害：在密码学领域，该互动式假网站是由骇客躲藏在银行与网络用户端之间，以伪装的银行网站，一边与用户连线互动窃取资料，一边产生假的交易资料，传送至银行真实网站进行交易，使得网络用户端发生的金钱损失。

缘是，为防止上述各种网络的危害发生，目前己因应发展出以OTP动态密码作为验证的方法，并由一些“OTP动态密码验证单位”的营利事业法人推广中，其主要是使用随机乱数产生的密码，依据网络使用者每次进行其所需的网络活动时，而每次产生不同的密码，也就是一次性密码（One-TimePassword，简称OTP）亦称为动态密码，骇客即使拦截到该次的动态密码时，也无法应用到下一次的登入（Login）来危害网络使用者，因此，该动态密码的不可预测性、不会重复性和一次有效性被认为是当前最能够最有效解决使用者的安全身份验证方式之一，其可有效防范木马程式、网络钓鱼、间谍程式、假网站等多种网络骇客攻击问题。

至于而该习知动态密码验证的方法如第1图所示，其步骤包含，并取得其帐号与密码：

A.由网络使用者先申请注册成为“动态密码验证单位”的会员；

B.以上网装置进入与“动态密码验证单位”有合作的其中一线上网站，并点选该线上网站的“动态密码验证网页”；

C.将注册会员时所指定的“帐号”及“密码”完成输入至该动态密码验证网页中的“帐号”及“密码”栏位内；

D.“动态密码验证单位”收到“帐号”及“密码”后，会产生一组“动态密码”，并以电信简讯将该“动态密码”拨打传送至网络使用者指定的行动电话中，来告知网络使用者当次的“动态密码”；

E.网络使用者将阅读自其行动电话所接收电信简讯中的“动态密码”，再输入至该线上网络的“动态密码验证网页”中的“动态密码验证栏位”内；

F.该线上网站即会将该动态密码传送至“动态密码验证单位”，并经“动态密码验证单位”的电脑验证系统，比对所接收的“动态密码”与透过电话简讯传送告知网络使用者的“动态密码”相符合时，即在该线上网站的“动态密码验证网页”中出现“登入成功”；反之，则出现“登入失败”。

前述习知动态密码验证的方法自从被推广后，虽已获得某些金融银行、线上游戏及网络购物等公司法人采用，但从2007年以来却遇上了瓶颈而无法快速增长，其原因如下：

1.由于行动电话的普及并具有上网的功能，使得行动电话历史上的第1只病毒“Cabir”与第2只病毒“CommWarrior”分别在2004年6月及2005年1月诞生，其中，该“Cabir”病毒的主要特征是自动搜寻四周有蓝牙功能的智慧型行动电话，不断向搜寻到的行动电话发送讯号，受感染的行动电话萤幕上会出现“Caribe”文字，电池待机时间也会因而缩短；而该“CommWarrior”则会利用多媒体简讯将病毒传给行动电话中的所有联络人，且不断发送简讯造成行动电话的费用损失；2007年7月西班牙警方逮捕撰写这2只手机病毒的28岁骇客，他所制造的变种病毒已使得11.5万支智慧型行动电话受到感染。