[发明专利]电子芯片的单次性密码设定及认证方法

说明书

技术领域

本发明涉及一种密码的认证方法，特别是涉及一次性密码的认证方法。

背景技术

现今科技发展的脚步快速，电子产品早已充斥于一般大众的生活之中，甚至许多与使用者自身机密相关的数据，也渐渐改以电子产品来储存与实现。

琳琅满目的电子产品中，近来最受到重视的，即是各种可以代表持有者身份的电子式芯片，因此种电子芯片的延伸使用，例如金融卡、行动电话的用户识别模块(Subscriber Identity Module，以下简称SIM卡)及门禁卡等，更可直接代表使用者进行身份的确认，着实省下使用者诸多的不便。

上述的电子芯片金融卡，即是最具代表性的一种电子芯片的产品，该芯片金融卡发明后即逐渐汰换掉用存款簿与提款单至银行柜台领款的传统方式。只要使用者持有该芯片金融卡，并拥有得以通过该芯片金融卡认证的个人识别码(Personal identification number，以下简称PIN码)，即使于银行的下班时间，亦可在提供提款功能的提款机提取固定账户中的金钱，着实替使用者增加使用上的便利性。

又例如上述行动电话的SIM卡，只要使用者持有得以代表发话者身份的SIM卡，且知道通过该SIM卡认证的PIN码，即可将该SIM卡插接于任何行动电话中，与外界进行通话。而任何接收通话的一方，皆可因该SIM卡所发出的一独一无二的电话号码，确认发话方的身份。

惟，虽然上述芯片卡可代表持有者的身份，并各自具有一持有者才可得知的PIN码加以保护该芯片卡，提高安全性。但近年来因特网发展快速，计算机黑客与计算机病毒当道，致使许多计算机使用者储存于个人计算机中的机密档案，包括各种电子芯片的PIN码等信息被窃取。使得使用者的电子芯片有被盗用的风险，造成使用者极大的不安，个人权益也受到极大的威胁。再者，电子芯片内部的PIN码虽可变更，但碍于便利，或不具高度的信息安全观念，使用者常以同一组熟稔的密码，设定大部份需要PIN码才可使用的电子芯片，并未定期更新。如此一来，一旦发生上述资料被盗用的情事，常令被盗用者损失惨重。

由于上述输入固定PIN码进行认证的方式，安全性较低，且PIN码具有被窃取与盗用的风险，因此后来发展出一种单次性密码(One time password，以下简称OTP)的身份验证方式。

如图1所示，为OTP验证方法的方块图。主要由一OTP用户端11及一OTP服务端13所共同实现。该用户端11欲使用OTP验证服务前，需先向该服务端13进行注册。因此该服务端13的一后端数据库131中储存有该用户端11的资料夹133。而该用户端11的资料夹133中，除了基本个人数据之外，还包括一套由该OTP服务端13与该用户端11所共同协议的演算法(11a，13a)及一组相同的密钥(secret key)(11c，13c)。

续请参阅图2的OTP验证方法的流程图。当该用户端11欲进行身份验证时，需使用该用户端11的一数据库111中的该演算法11a及该公钥11c，经运算后产生一组OTP(步骤S20)，并将该OTP及该用户端11的基本数据传送至该OTP服务端13进行身份验证的申请(步骤S22)。当该OTP服务端13接收到该用户端11的申请要求时，先检查该OTP服务端13的该后端数据库131中，是否储存有该用户端11的资料夹133，即，该用户端11是否有向该服务端13注册的记录(S24)。若该用户端11已注册，且该后端数据库131中也储存有该用户端11的资料夹133，即取出该用户端11储存的该演算法13a及该公钥13c，并依该演算法13a、该公钥13c及申请时的条件运算出一OTP(步骤S26)。

最后，该服务端13依运算出的该OTP，比对该用户端11传送过来的OTP是否符合(步骤S28)，若该二OTP互相符合，该用户端的身份即通过验证。最后再将验证的结果回传至该提出申请的用户端11(步骤S2a)。

惟，此种验证方法仅能对使用者进行身份的确认，无法当作个人识别密码运用于多样性的电子产品上，因此虽然安全性较高，但使用范围较为狭小，市场上实需提供一套作法，能将此种验证方法更为广大的运用。

发明内容

本发明所要解决的技术问题在于提供一种电子芯片的单次性密码设定及认证方法，可使用OTP服务提供者所授权的OTP来代替电子芯片认证所需的PIN码，不但可每次皆以不同的OTP来进行认证，亦可对OTP做使用上的条件限定。

为了实现上述目的，本发明提供了一种电子芯片的单次性密码设定及认证方法，于进行认证之前，先向一单次性密码服务端进行注册的动作，其特征在于，包括：