本件申請是依據在2013年7月5日提出申請號為61/843,102的有效美國臨時專利申請案。

技術領域

本發明提供一種以通信裝置識別碼及網絡操作密碼作為網絡身份驗證的方法，特別是針對一種可以解決目前在網絡所動態密碼驗證的缺失，而能有效抵抗釣魚網站與中間人攻擊的方法。

背景技術

現代人使用因特網絡來進行各種網絡購物、網絡線上游戲、網絡金融交易及其他電子商務等活動，已是日常生活中不可或缺又極為普遍的現象，但伴隨而來的各種網絡駭客的破壞行為也愈來愈多，其大致上可歸納如下。

1.特洛伊木馬程式的惡意危害：特洛伊木馬或特洛伊木馬程式是具有執行電腦使用者所想要的功能，但卻也導致其能進入到未被授權的使用者電腦系統內，在電腦科學領域中，該特洛伊木馬程式看來好像是合法的程式，但卻被用來做為只有破壞性的結果，例如：其可以被用來竊取網絡密碼訊息，使未被授權進入者對電腦系統造成更多的損壞，或者可以簡易地摧毀電腦硬盤內的各種程式或資料，當特洛伊木馬程式被植入攻擊對象的電腦系統后，電腦駭客便可以進入該電腦來進行刪除及執行各種不同的操作。

2.網絡釣魚（Phishing）騙取客戶密碼的危害：根據反網絡釣魚工作小組（APWG）的定義，網絡釣魚是利用偽造電子郵件與網站作為誘餌，愚弄使用者泄漏如使用者名字、銀行帳戶密碼及信用卡號碼等個人機密資料。

3.互動式假網站（Man-in-the-Middle）竄改交易內容攻擊的危害：在密碼學領域，該互動式假網站是由駭客躲藏在銀行與網絡用戶端之間，以偽裝的銀行網站，一邊與用戶連線互動竊取資料，一邊產生假的交易資料，傳送至銀行真實網站進行交易，使得網絡用戶端發生的金錢損失。

緣是，為防止上述各種網絡的危害發生，目前己因應發展出以OTP動態密碼作為驗證的方法，并由一些“OTP動態密碼驗證單位”的營利事業法人推廣中，其主要是使用隨機亂數產生的密碼，依據網絡使用者每次進行其所需的網絡活動時，而每次產生不同的密碼，也就是一次性密碼（One-TimePassword，簡稱OTP）亦稱為動態密碼，駭客即使攔截到該次的動態密碼時，也無法應用到下一次的登入（Login）來危害網絡使用者，因此，該動態密碼的不可預測性、不會重復性和一次有效性被認為是當前最能夠最有效解決使用者的安全身份驗證方式之一，其可有效防范木馬程式、網絡釣魚、間諜程式、假網站等多種網絡駭客攻擊問題。

至于而該習知動態密碼驗證的方法如第1圖所示，其步驟包含，并取得其帳號與密碼：

A.由網絡使用者先申請注冊成為“動態密碼驗證單位”的會員；

B.以上網裝置進入與“動態密碼驗證單位”有合作的其中一線上網站，并點選該線上網站的“動態密碼驗證網頁”；

C.將注冊會員時所指定的“帳號”及“密碼”完成輸入至該動態密碼驗證網頁中的“帳號”及“密碼”欄位內；

D.“動態密碼驗證單位”收到“帳號”及“密碼”后，會產生一組“動態密碼”，并以電信簡訊將該“動態密碼”撥打傳送至網絡使用者指定的行動電話中，來告知網絡使用者當次的“動態密碼”；

E.網絡使用者將閱讀自其行動電話所接收電信簡訊中的“動態密碼”，再輸入至該線上網絡的“動態密碼驗證網頁”中的“動態密碼驗證欄位”內；

F.該線上網站即會將該動態密碼傳送至“動態密碼驗證單位”，并經“動態密碼驗證單位”的電腦驗證系統，比對所接收的“動態密碼”與透過電話簡訊傳送告知網絡使用者的“動態密碼”相符合時，即在該線上網站的“動態密碼驗證網頁”中出現“登入成功”；反之，則出現“登入失敗”。

前述習知動態密碼驗證的方法自從被推廣后，雖已獲得某些金融銀行、線上游戲及網絡購物等公司法人采用，但從2007年以來卻遇上了瓶頸而無法快速增長，其原因如下：

1.由于行動電話的普及并具有上網的功能，使得行動電話歷史上的第1只病毒“Cabir”與第2只病毒“CommWarrior”分別在2004年6月及2005年1月誕生，其中，該“Cabir”病毒的主要特征是自動搜尋四周有藍牙功能的智慧型行動電話，不斷向搜尋到的行動電話發送訊號，受感染的行動電話螢幕上會出現“Caribe”文字，電池待機時間也會因而縮短；而該“CommWarrior”則會利用多媒體簡訊將病毒傳給行動電話中的所有聯絡人，且不斷發送簡訊造成行動電話的費用損失；2007年7月西班牙警方逮捕撰寫這2只手機病毒的28歲駭客，他所制造的變種病毒已使得11.5萬支智慧型行動電話受到感染。