具安全性保护的自动转址及网络身份验证方法

摘要

一种具安全性保护的自动转址及网络身份验证方法，应用于一内容提供服务器、一身份验证服务器、一使用终端及一下载中心，该方法包括下述步骤：日常使用时，使用终端浏览内容提供服务器的网站，内容提供服务器的网站提供一脚本给使用终端，该脚本内含内容提供者委托帮其做身份认证的身份验证服务器的网页位址，该脚本受该使用终端触发后，使用终端的扫描程序便和该身份验证服务器相连，要求身份验证服务器下传前述经下载中心的私钥签过名的该身份验证服务器的网页位址，并用使用终端内存的下载中心的公钥来辨别其是否真正来自下载中心，若是，终端扫描程序便扫描使用终端产生一硬件扫描资料并上传该身份验证服务器储存以供后续使用者的身份比对。

说明书

技术领域

本发明涉及一种网络身份验证方法，特别是涉及一种经由第三方下载中心提供给内容提供者(Internet Content Provider，以下简称ICP）及身份验证提供者（Identity Provider，以下简称IDP)使用的安全、有弹性及让使用者方便的身份认证方式，亦让内容提供者可自由选择所信赖的身份验证提供者来确认使用者身份的具安全性保护的自动转址及网络身份验证方法。

背景技术

蓬勃的各种网络服务，尤其是云端服务将带来各种今天仍没见到的新网络加值服务，但安全的身份验证而且能被普遍使用是使这些未来的便利的服务能成为事实的先决条件。

然而，现有的各种硬件身份验证产品，如：装有PKI证书的USB装置、IC电子卡，或动态密码电子令牌(token)等身份验证硬件产品，但是整体的成本太高。另外，现有的网络身份验证，仍然是各网络服务商各自有自己的用户名和密码库及相对的身份验证产品，对于各网络业者而言，造成了重复投资的问题；而对于使用者而言，使用者得同时记住各种不同用户名密码及需要购买各种不同身份验证硬件产品，降低使用意愿。

发明内容

目前的网络身份验证因市场已经往专业的独立第三方验证的身份验证提供者的系统发展，这样可避免各内容提供者的系统管理使用者身份验证资料的成本支出，使用者也免去记忆不同ID及密码的麻烦及购买各种不同身份验证硬件产品。

因此，本发明是在提供一种具有前述优点的具安全性保护的自动转址及网络身份验证方法。

本发明具安全性保护的自动转址及网路身份验证方法是应用于一内容提供者服务器、一身份验证提供者服务器、一使用终端及一下载中心，该方法包括下述步骤：(a)该身份验证提供者服务器取得该下载中心事先用一非对称私钥签过名的该身份验证提供者服务器的网页位址，且该使用终端已从该下载中心下载内含有该下载中心的一非对称公钥及一扫描程序；(b)该使用终端浏览该内容提供者服务器的网站，该内容提供者服务器的网站提供一脚本给使用终端，该脚本内含该内容提供者服务器的业者委托进行身份认证的该身份验证提供者服务器的网页位址；(c)该脚本受该使用终端触发后，该使用终端的扫描程序和该身份验证提供者服务器相连并要求身份验证提供者服务器下传前述经该下载中心的私钥签过名的该身份验证提供者服务器的网页位址，并用该使用终端内存该下载中心的公钥来辨别其是否真正来自该下载中心，若结果是真实，该扫描程序便扫描该使用终端且产生一硬件扫描资料并上传给该身份验证提供者服务器储存以供后续使用者的身份比对。

较佳的，该使用终端可随时直接和该下载中心相连，并请求该下载中心辨识取得的签过名的身份验证提供者服务器的网页位址是否真实，或下载其他新的公钥以防止黑客攻击或非签约的身份验证提供者服务器非法使用其技术及服务。

较佳的，该扫描程序是扫描包括该使用终端的一中央处理单元、一基本输入输出系统单元、一储存装置、一网络界面、一主机板的识别码及一有线或无线近距离连接的外接装置的其中至少二硬件元件的识别码组合。

较佳的，该扫描程序还可取得对于所扫描的这些硬件元件的地理位置进行定位，并在该身份验证提供服务器查验身份时，判断当时扫描的这些硬件元件是否处于相同的地理位置以决定使用者身份。

较佳的，该内容提供者服务器可提供数个不同的身份验证提供者让使用者选择，且提供给该使用终端的脚本内含该使用者所选择的身份验证提供者服务器的网页位址以进行身份登录及验证

本发明具安全性保护的自动转址及网络身份验证方法的功效在于：内容提供者服务器、身份验证提供者服务器及使用终端可利用同一下载中心及同一扫描程序来做身份认证，免去重复投资，且内容提供者服务器及使用者都可自由选择身份验证提供者服务器，避免远端的网络黑客盗用身份资料，以及配合多重身份验证方式加强确认使用者本人的真实身份，因此，可加强验证使用者身份安全的保障，并且无需额外的身份识别硬件成本及维护，可增加业者及使用者的意愿。

附图说明

图1是说明本发明具安全性保护的自动转址及网络身份验证方法的相关应用装置的系统方块图；

图2是说明本发明具安全性保护的自动转址及网络身份验证方法的较佳实施例中，下载中心1对应不同身份验证提供者服务器提供用其非对称私钥签过名的IDP网页位址以及提供不同使用终端来下载共用的扫描程序及相对的公钥的流程图；

图3是说明本发明具安全性保护的自动转址及网络身份验证方法的较佳实施例中的身份登录过程的流程图；

图4是说明本发明具安全性保护的自动转址及网络身份验证方法的较佳实施例中的身份验证过程的流程图；

图5是说明本发明具安全性保护的自动转址及网络身份验证方法的较佳实施例中，提供多种不同身份验证提供者的选项供使用终端选择以进行身份登录过程的流程图；

图6是说明本发明具安全性保护的自动转址及网络身份验证方法的较佳实施例中，提供多种不同身份验证提供者的选项供使用终端选择以进行身份验证过程的流程图。

具体实施方式

下面结合附图及实施例对本发明进行详细说明。在本发明被详细描述之前，要注意的是，在以下的数个较佳实施例的详细说明内容中，类似的元件是以相同的编号来表示。

参阅图1，本发明具安全性保护的自动转址及网络身份验证方法的较佳实施例，是应用于一下载中心1、一使用终端2、一内容提供者服务器群集3及一身份验证提供者服务器群集4，各装置分别介绍如下。

内容提供者服务器群集3包括多数个分别属于不同网站服务业者的内容提供者服务器31-3n，例如：网络银行、拍卖网站、线上游戏业者等。身份验证提供者服务器群集4包括多数个分别属于不同ID管理业者的身份验证提供者服务器41-4n，也就是提供第三方网络身份验证服务的如Google、Yahoo、Facebook等系统。

内容提供者服务器31-3n、身份验证提供者服务器41-4n、下载中心1及使用终端2以通信网络彼此连接及传递资料。

使用终端2安装有一浏览器软件21及一扫描程序22，浏览器软件21是供使用者浏览内容提供者服务器31-3n的网站，扫描程序22是用于扫描使用终端2的多个硬件元件成识别码记录成一硬件扫描清单，扫描程序22是由下载中心1下载。

较佳的，扫描程序22是扫描包括使用终端2的一中央处理单元、一基本输入输出系统单元、一储存装置、一网络界面、一主机板的识别码及一有线或无线近距离连接的外接装置的其中至少二硬件元件的识别码组合；此外，扫描程序22还可取得对于所扫描的这些硬件元件的地理位置进行定位，并在该身份验证提供者服务器41-4n查验身份时，判断当时扫描的这些硬件元件是否处于相同的地理位置以决定使用者身份。

本发明具安全性保护的自动转址及网络身份验证方法的原理包括下述步骤：使用终端2经一第一管道浏览该内容提供者服务器41的网站，内容提供者服务器41的网站由此第一管道提供一脚本(如：JAVA Script)内含内容提供者委托帮其做身份认证的身份验证提供者服务器41的网页位址(URL)给使用终端2，该脚本受该使用终端2触发后，使用终端2的扫描程序22便经由一不同于该第一管道的第二管道链结至该对应的身份验证提供者，要求该身份验证提供者下传上述经下载中心1私钥签过名的该身份验证提供者服务器41的网页位址，并用其内存下载中心1的公钥来辨别其是否真正来自下载中心1，若结果是真实，扫描程序22便扫描使用终端2，产生一硬件扫描资料，并经由上述第二管道上传给该身份验证提供者服务器41储存以供后续使用者的身份比对。

本发明具安全性保护的自动转址及网络身份验证方法的较佳实施例包括如图2的网页位址签名及公钥分送程序、如图3的身份登录程序及如图4的身份验证程序，以下配合图1的装置将本发明方法的各程序介绍如下。

参阅图2，下载中心1是对应不同的身份验证提供者服务器41、42提供经其非对称私钥签过名的各身份验证提供者服务器41、42的网页位址，在本实施例中，下载中心1首先产生一非对称密钥对，例如：符合非对称公钥技术的一公钥及一私钥，并对每一签过约的身份验证提供者服务器41、42提供经下载中心1私钥签过名的身份验证提供者服务器41、42的网页位址给身份验证提供者服务器41(步骤S201)及身份验证提供者服务器42(步骤S202)以及在使用终端2由下载中心1下载扫描程序22时提供该公钥给该使用终端2(步骤S203及步骤S204)。

参阅图3，本发明方法的登录程序中，使用终端2使用浏览器软件21浏览内容提供者服务器31的网站，且使用终端2是经由一第一管道传递一登录资料(例如，使用者ID及密码)给内容提供者服务器31(步骤S301)，内容提供者服务器31验证登录资料无误后，即提供脚本内含ICP委托帮其做身份认证的身份验证提供者服务器41的网页位址给使用终端2(步骤S302)并同时请求该身份验证提供者服务器41进行用户身份登录工作(步骤303)；该脚本受该使用终端触发后，使用终端2扫描程序22便经由一不同于该第一管道的第二管道链结至该对应身份验证提供者服务器41(步骤S304)，要求该身份验证提供者服务器41下传前述经下载中心1私钥签过名的该身份验证提供者服务器41的网页位址(步骤S305)；并用其内存下载中心1的公钥来辨别其是否真正来自下载中心1(步骤S306)，若结果是真实，扫描程序22便扫描使用终端2产生一硬件扫描资料(步骤S307)，再经由上述第二管道传递硬件扫描资料给身份验证提供者服务器41储存以供后续使用者的身份比对(步骤S308)，身份验证提供者服务器41并同通知内容提供者服务器31登录已经成功(步骤309)。

由于身份验证提供者服务器41留存有对应不同使用者的登录资料相对应的使用终端2的硬件扫描资料，由于使用者利用随身的使用终端2的硬件扫描资料作为身份验证之用，让第三人无法轻易窃取或盗用。此外，使用终端2可随时直接和下载中心1相连，并请求下载中心1辨识取得的签过名的身份验证提供者服务器41的网页位址是否真实，或下载其他新的公钥以防止黑客攻击或非签约的身份验证提供者服务器41非法使用其技术及服务

参阅图4，当使用终端2完成如图3的身份登录程序后，在下一次使用浏览器软件21浏览内容提供者服务器31的网站时，使用终端2经由第一管道传递该登录资料(例如，使用者ID及密码)给内容提供者服务器31(步骤S401)，内容提供者服务器31验证登录资料无误后，即提供脚本内含内容提供者委托帮其做身份认证的身份验证提供者服务器41的网页位址给使用终端2(步骤S402)并同时请求该身份验证提供者服务器41做用户身份认证工作(步骤403)；该脚本受该使用终端2触发后，使用终端2的扫描程序22便经由一不同于该第一管道的第二管道链结至该对应身份验证提供者服务器41(步骤S404)；要求该身份验证提供者服务器41下传前述经下载中心1私钥签过名的该身份验证提供者服务器41的网页位址(步骤S405)；并用其内存下载中心1的公钥来辨别其是否真正来自下载中心1(步骤S406)，若结果是真实，扫描程序22便扫描使用终端2产生一硬件扫描资料(步骤S407)，再经由上述第二管道传递硬件扫描资料给身份验证提供者服务器41(步骤S408)；身份验证提供者服务器41查验使用终端2的硬件扫描资料与该使用终端2预存的硬件扫描资料是否相符(步骤S409)，借此，身份验证提供者服务器41将查验结果回传给内容提供者服务器31(步骤S410)以决定是否允许使用终端2登录内容提供者服务器31。

参阅图5，本发明方法的登录程序还可提供多个身份验证提供者服务器41、42的选项给使用者，其方式为：使用终端2使用浏览器软件21浏览内容提供者服务器31的网站，且使用终端2是经由一第一管道传递一登录资料(例如，使用者I D及密码)给内容提供者服务器31(步骤S501)，内容提供者服务器31验证登录资料无误后，即提供身份验证提供者服务器41、42的选项(步骤S502)，使用终端2即可发送选取身份验证提供者服务器42的指令给内容提供者服务器31(步骤S503)；内容提供者服务器31并同时请求该身份验证提供者服务器42做用户身份登录工作(步骤S504)。

接着，内容提供者服务器31提供一脚本内含身份验证提供者服务器42的网页位址给使用终端2(步骤S505)，使用终端2触发脚本后，使用终端扫描程序22便经由一不同于该第一管道的第二管道链结至该对应身份验证提供者(步骤S506)；要求该身份验证提供者服务器42下传前述经下载中心1私钥签过名的该身份验证提供者服务器42的网页位址(步骤S507)；并用其内存下载中心1的公钥来辨别其是否真正来自下载中心1(步骤S508)，若结果是真实，扫描程序22便扫描使用终端2产生一硬件扫描资料(步骤S509)，再经由上述第二管道传递硬件扫描资料给身份验证提供者服务器42储存以供后续使用者的身份比对(步骤S510)，身份验证提供者服务器42并通知内容提供者服务器31身份登录成功(步骤S511)。

参阅图6，当使用终端2完成如图5的身份登录程序后，在下一次使用浏览器软件21浏览内容提供者服务器31的网站时，使用终端2经由第一管道传递该登录资料(例如，使用者ID及密码)给内容提供者服务器31(步骤S601)，内容提供者服务器31验证登录资料无误后，即提供身份验证提供者服务器41、42的选项(步骤S602)，使用终端2即可发送选取身份验证提供者服务器42的指令给内容提供者服务器31(步骤S603)。

然后，内容提供者服务器31即提供一脚本内含身份验证提供者服务器42的网页位址给使用终端2(步骤S604)并同时请求该身份验证提供者做用户身份认证工作(步骤S605)，该脚本受使用终端2触发后，使用扫描程序22便经由一不同于该第一管道的第二管道链结至该对应身份验证提供者服务器42(步骤S606)；要求该身份验证提供者服务器42下传前述经下载中心1私钥签过名的该身份验证提供者服务器的网页位址(步骤S607)；并用其内存下载中心1的公钥来辨别其是否真正来自下载中心1(步骤S608)，若结果是真实，扫描程序22便扫描使用终端2产生一硬件扫描资料(步骤S609)，再经由上述第二管道传递硬件扫描资料给身份验证提供者服务器42(步骤S610)；身份验证提供者服务器42查验使用终端2的硬件扫描资料与该使用终端2预存的硬件扫描资料是否相符(步骤S611)，借此，身份验证提供者服务器42将查验结果回传给内容提供者服务器31(步骤S612)以决定是否允许使用终端2登录内容提供者服务器31，如此一来，即提供使用终端2更为多元的身份验证提供者服务器41-4n的不同选择来进行身份验证。

从长远来看，本发明可改变网络身份认证产业生态，提供一个各身份验证提供者在相同条件下自由竞争，提供各有特色及不同价值的安全认证服务，使用者有选择权，且随时可更换身份验证提供者业者，内容提供者可以专注于其核心业务，把身份认证交给第三方身份验证提供者及让其使用者选择自己信任的身份验证提供者，本发明真正用到互联网这样一个开放环境且符合其精神可以自由竞争，自由选择的安全身份认证。

综合以上所述，本发明具安全性保护的自动转址及网络身份验证方法的有益效果在于：

1.本发明是借由使用终端2的扫描程序22来扫描使用终端2的硬件资料进行身份认证，不用另外购买各种不同身份验证硬件产品。

2.本发明连接使用终端2和内容提供者服务器31-3n的管道和连接使用终端和身份验证提供者服务器41-4n的管道并不一样，是一个双管道的认证架构，黑客不容易攻击。

3.使用者只需从下载中心1下载一扫描程序22，各个内容提供者服务器31-3n及身份验证提供者服务器41-4n皆可使用同一扫描程序22来做身份认证。

4.内容提供者服务器31-3n可选择不同身份验证提供者服务器41-4n的业者帮其做身份认证，亦可随时更换身份验证提供者服务器41-4n的业者，不用考虑更换身份验证提供者服务器41-4n时所需的各种费用，时间及给使用者带来的麻烦。

5.身份验证提供者服务器41-4n的业者可利用同一架构及技术对不同客户(内容提供者服务器31-3n)提供不同附加价值，不同价格及特色的认证服务。

6.下载中心1是独立于内容提供者的业者及身份验证提供者的业者以外的第三方，可以事先大量的推出扫描程序22给使用者，大量节省客服成本。

7.同一内容提供者服务器31-3n可同时提供不同身份验证提供者服务器41-4n让使用者选择，使用者可以在不同内容提供者服务器31-3n选用同一身份验证提供者服务器41-4n，这样好的身份验证提供者服务器41-4n就可胜出，淘汰不好的身份验证提供者服务器41-4n。

8.不同的内容提供者服务器31-3n的业者及不同的身份验证提供者服务器41-4n的业者可与下载中心1的业者合作，由第三方的业者提供下载中心1及扫描程序22，如此一来，使用者以使用终端2可自由选择所信赖的身份验证提供者服务器41-4n来确认使用者身份。

9.当任一内容提供者服务器31-3n导向任一身份验证提供者服务器41-4n时，由于各内容提供者服务器31-3n及各身份验证提供者服务器41-4n之间的传输通道已被加密，可避免有心人士拦截及窜改网页位址的方式盗用个人资料。

10.除了内容提供者服务器31-3n使用传统的ID及密码的登录资料，再利用多重的硬件扫描资料及地理位置的查验，可加强确认使用者本人的真实身份，避免被远端的黑客盗用身份资料，故确实能达到本发明的目的。

惟以上所述的内容，只为本发明的较佳实施例而已，应当不能以此限定本发明实施的范围，即凡依本发明申请专利范围及发明说明内容所作的简单的等效变化与修饰，皆仍属本发明专利涵盖的范围内。