[发明专利]金融服务验证系统及金融服务验证方法

说明书

本发明提供一种金融服务验证系统及金融服务验证方法，其中该金融服务验证系统包含：用户端资安模块，其储存于用户端，用户端还包含用户端控制模块及生物特征输入模块；其中用户端资安模块耦接用户端控制模块，借由生物特征输入模块输入生物特征，验证用户身份；以及金融服务模块，其储存于近端或远端，该金融服务模块耦接用户端控制模块，以提供金融服务的执行与申请；由本发明所提出的技术方案，能够达到提高金融服务安全性与便利性的效能。

技术领域

本发明涉及一种金融服务的验证系统与方法，更详而言之，为一种借由生物特征值产生加解密密钥，以保障金融服务信息安全的金融服务验证系统及金融服务验证方法。

背景技术

电子商务得益于美国国家科学基金会(National Science Foundation，NSF)在1995年将由冷战时期所发展的原作为军事情报用途的互联网开放予民用后，加速了网络化的应用。自从2000年左右以后，超文本传输安全协议(Hypertext Transfer ProtocolSecure，HTTPS)中，以SSL协议加密HTTP的资安技术发展成熟，电子商务的安全性获得较高的保证后，利用网络商店或网络金融机构等电子货币支付形式，通过互联网完成商品或服务的交易方式蓬勃发展，也直接使当代一些搭上电子商务热潮的公司，因在线交易的便利而迅速崛起。

于以往已知技术中，电子商务针对用户端确认身份的方式是采用一组成对的账号与密码，以登入电子商务的商务系统，并选择所需要进行的商务服务后，商务系统随即通过电子邮件或电话简讯的方式寄送一一次性密码(One Time Password，OTP)以供用户确认该笔商务服务的有效性。所谓的一次性密码顾名思义为一仅在一定交易次数(通常为1次)或一定时间内有作用的密码，在超过所预定的交易次数或时间后即失去效用，以达到即便密码为人所窃取，也不致于使信息泄漏继续扩大的目的。

一次性密码运作的原理为需要进行通讯的双方：例如鲍伯(Bob)与艾丽斯(Alice)，均使用同一份随机生成的一次性加密密钥来加密要传输的通讯文本，接着将加密密钥里的字母与通讯文本的字母按某个规定相互混合。其中一种作法是将字母指定数字(如A＝0；B＝1；C＝2；D＝3；……Z＝25)，然后将加密密钥上的字母所代表的数字和通讯文本上相对应的数字给相加，再除以该语言的字母数后取得其余数即完成加密，例如：通讯文本为：{forinstance}＝{A}＝{5，14，17，8，13，18，19，0，13，2，4}；加密密钥为：{masklnsfldf}＝{B}＝{12，0，18，10，11，13，18，5，11，3，5}，则({A}+{B})mod 26＝{17，14，9，18，24，5，11，5，24，5，9}，即完成后的加密文本为{rogsyflfyfg}，若要解密，逆向操作即可。

上述以一次性密码加密通讯文本的方式，虽然其安全性于1949年已在「Bell LabsTechnical Journal」期刊上为克劳德·爱伍德·山农(Claude Elwood Shannon)所证实，然则要达成其安全性尚有前提要件须满足，即其加密密钥对非通讯双方的第三者马洛里(Mallory)必须非常保密。然则以现有商务系统的运作方式，鲍伯和艾丽斯双方大多在通讯前并未约定过加密文本的产生方法，折中的方式就是商务系统以电子邮件或电话简讯的方式寄送该一次性密码予用户端，而在此过程中电子邮件或电话简讯极容易为马洛里所拦截，而使得一次性密码在电子商务上出现安全性的漏洞，因此在2016年美国国家标准技术研究所(National Institute of Standards and Technology，NIST)即建议把此种验证身份的方式排除在未来身份验证的标准之外。