[发明专利]电子验证方法和电子验证系统

说明书

技术领域

本发明涉及用于在执行电子商务交易时在网站验证中保护电子验证以防止窃取密码的非法行为的技术。更具体而言，本发明涉及当诸如在线银行服务和在线股票交易之类的、经由互联网执行交易时用于保护电子验证以防止诸如网络钓鱼(phishing)和信息窃取(skimming)之类的非法行为的电子验证方法及其系统。

背景技术

随着互联网的传播，经由网络而不需要人的居间介入的电子商务交易已经得到不断的发展了。特别地，对于诸如银行或者证券公司的金融交易和电子内容交易之类的、完全在网络中完成的交易而言，电子商务交易的发展是令人惊讶的。在电子商务交易期间的银行或者信用卡交易的个人验证同样在不需要人的中间介入的情况下执行。在这个电子商务交易中，必须如同在实际交易中那样安全且简单地执行个人验证。

图1说明了作为金融交易的示例的、在需要个人验证的在线银行服务和在线股票交易的情况下的示意流程。诸如银行和证券公司之类的金融机构提供了网络银行服务站点140，其允许除了由实际营业所之外、还可以由主机计算机150经由互联网100对在线银行服务进行管理。“A”银行150的用户110通过例如个人计算机(PC)、个人数字助理等的通信终端120，经由互联网100访问“A”银行的网站。这个网络具有有关各种服务的信息，诸如，与像在实际营业所中的交易那样的金融交易等有关的信息。这个网络还显示允许访问用户帐户的登录屏幕130(图2)。为了允许访问“A”银行的用户帐户，用户输入特定的用户信息，诸如帐号(帐户号)、密码(对应于当前申请中的静态密码(S-PWD))等。

图2说明了在登录屏幕130上的输入项的示例。诸如用户的帐号(帐户号)和密码之类的输入信息经由网站140发送到“A”银行的系统(例如，主机计算机150)用于进行个人验证。“A”银行的系统150需要根据所接收的用户信息(帐号和密码)验证该用户是否为该帐户的合法用户。在其数据库中具有客户信息的系统150搜索并参考该客户信息，以检查密码(S-PWD)是否正确。当检查出用户110输入的密码是正确的时，系统150验证用户信息，并且将该验证的通知提供给用户110。与验证同时地，通过访问在“A”银行的系统150中的用户帐户(完成登录)来允许执行期望的交易。

在诸如在线银行服务、在线股票交易、在线拍卖等之类的电子商务交易中，资金转移是必需的。例如，在执行个人验证时，在某个公司的网站140上，在图2的输入屏幕中输入诸如密码之类的个人信息以便执行交易。在这种情况下，如果诸如密码之类的个人信息被泄漏给其它人，则这将会允许其它人使用该密码执行交易。特别地，诸如通过欺骗服务提供公司来窃取用户密码的网络钓鱼或者窃取卡信息的信息窃取之类的、违反公德的非法行为近来已经变为一个主要的威胁。

图3(a)和(b)中说明了作为非法行为示例的网络钓鱼欺诈的示例。它表示通过假冒来自金融机构或者金融机构网站的合法电子邮件来利用个人标识号码(PIN)、信用卡号等进行的欺诈。由发送器使用金融机构的出纳窗口等作为地址随机地发送电子邮件，该电子邮件具有怂恿输入个人信息的引导文本以及到网页的链接。当点击该链接时，显示金融机构的合法网站以及用于输入个人信息的弹出窗口。显示在主窗口上的站点是“真的”，但是弹出的页面是“假的”。如果由于找到真实窗口而放心的用户在所显示的输入屏幕130中输入了密码、信用卡号等的话，则信息将被发送给非法人员。在图3中，项a到d如下所述：

a.它说明了其中由非法人员发送的假的电子邮件链接到假的金融机构站点的情况。

b.用户接收了该假的电子邮件。

c.点击了假的链接，该假的链接没有连接到在电子邮件中所指示的合法站点而是连接到假的站点。

d.如“b”所述，因为用户认为信息被发送给合法站点，所以他/她输入诸如帐号和密码之类的个人信息。

近来，已经发生了由使用这个a-d的序列获取了在假网页的登录屏幕中输入的帐号和密码的非法人员进行的欺诈实践。

非专利文献1提供了有关防止信息窃取的措施的技术。它通过卡的所有者根据需要改变卡信息来拒绝非法人员对伪造卡的使用。信息窃取是非法地读取在他人的信用卡或者ATM卡中的磁记录信息以创建和使用“副本(伪造卡)”的行为。使用一个读取卡信息的、被称为“信息窃取器(skimmer)”的设备来复制信息。