TWI536197B - 匿名性身分識別方法與系統 - Google Patents

匿名性身分識別方法與系統 Download PDF

Info

Publication number
TWI536197B
TWI536197B TW104128347A TW104128347A TWI536197B TW I536197 B TWI536197 B TW I536197B TW 104128347 A TW104128347 A TW 104128347A TW 104128347 A TW104128347 A TW 104128347A TW I536197 B TWI536197 B TW I536197B
Authority
TW
Taiwan
Prior art keywords
identity
key
verification device
ciphertext
dimensions
Prior art date
Application number
TW104128347A
Other languages
English (en)
Other versions
TW201709099A (zh
Inventor
zhi-chao Zhang
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed filed Critical
Priority to TW104128347A priority Critical patent/TWI536197B/zh
Application granted granted Critical
Publication of TWI536197B publication Critical patent/TWI536197B/zh
Priority to US15/245,963 priority patent/US9977891B2/en
Publication of TW201709099A publication Critical patent/TW201709099A/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/47Security arrangements using identity modules using near field communication [NFC] or radio frequency identification [RFID] modules

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Description

匿名性身分識別方法與系統
本發明是有關於一種身分識別方法與系統,特別是指一種匿名性身分識別方法與系統。
由於無線通訊技術的提升與普及,網路資料的取得與傳輸越加快速且容易,使得大家越來越重視個人資料外洩問題,尤其是在利用無線感應式之RFID晶片卡進行交易時,深怕不法人士會在無線感應交易過程中從旁竊取該RFID晶片的身份資料,或者是被非法讀卡機盜取該RFID晶片的身份資料,以致於該RFID晶片之身份資料外流或被盜用。
以eTag系統為例,只要安裝eTag的車輛通過讀卡機,例如停車場的eTag讀卡機,讀卡機就可無線讀取識別該車輛之eTag所提供的身份識別資料。但根據目前eTag系統的設計,任何人都可使用標準讀卡機讀取eTag內容,所以可在不需要向建置eTag系統的所有人詢問的情況下,獲取eTag的身份資訊,造成eTag個資外洩風險增高。有鑑於此,匿名性的身份識別技術已成為目前市場上亟需的技術。
目前已知的匿名性身份識別技術,是將所謂的私密認證系統(private authentication system)應用於RFID晶片的身份辨識與認證方面,使每一個RFID晶片在與讀卡機通訊過程中,不再提供任何身份資訊,而是以其內建之金鑰將要提供給讀卡機的不特定資料進行加密。雖然此加密設計可提高資料安全性,但因為每個RFID晶片會對應一個金鑰,當有1,000,000個RFID晶片時,後端伺服系統就必須以1,000,000個金鑰逐一嘗試解密才能取得正確的金鑰,解密運算次數與時間都會隨著RFID晶片的數量線性成長,致使系統建構成本相當高,且效率不佳。
本發明之目的,在於提供一種具有較佳解密效能與安全性之匿名性身分識別方法與系統。
於是,本發明匿名性身分識別方法,適用於實施在一個驗證裝置,該驗證裝置可經由訊號連接之一個讀卡機識別驗證多個受驗晶片,每一個受驗晶片具有多個金鑰,該匿名性身分識別方法包含以下步驟:(A)該驗證裝置經由該讀卡機傳送一個錨點值給一個要進行身份驗證之受驗晶片;(B)該驗證裝置接收該受驗晶片將其產生之一個擾動值與接收之該錨點值組合並以該等金鑰分別加密產生之多個密文;及(C)該驗證裝置分別解密該等密文,該驗證裝置內建有一個維度數與該受驗晶片之該等金鑰數相等的多維金鑰陣列,每一個維度具有多個索引編號,每一個索引編號設置有一個金鑰,該多維金鑰陣列還具有多個分別 由各個維度的一個索引編號組成的身份座標,該受驗晶片之該等金鑰是分別與其中一個維度對應,該驗證裝置是以該多維金鑰陣列之每一個維度的該等金鑰逐一對各別之維度所對應之密文進行解密,找出各個維度中能夠解碼取得該錨點值的金鑰,並以找出之該等金鑰對應的該等索引編號組成一個身份座標。
於是,本發明匿名性身分識別方法,適用於實施在一個驗證裝置,該驗證裝置可經由訊號連接之一個讀卡機識別驗證多個受驗晶片,每一個受驗晶片儲存有一個第一金鑰與一個第二金鑰,該匿名性身分識別方法包含以下步驟:(A)該驗證裝置經由該讀卡機傳送一個錨點值給一個預定進行驗證之受驗晶片;(B)該驗證裝置經由該讀卡機接收該受驗晶片將該錨點值與其產生之一個擾動值組合並以該第一金鑰加密構成的一個第一密文,以及將該擾動值與該錨點值組合並以該第二金鑰加密構成的一個第二密文;及(C)該驗證裝置解密該第一密文與該第二密文,該驗證裝置包括一個具有兩個第二維度的二維金鑰陣列,及一個與該二維金鑰陣列的其中一個第二維度對應的一維金鑰陣列,該二維金鑰陣列之每一個第二維度具有多個第二索引編號,該二維金鑰陣列還具有多個分別由該等第二維度的一個第二索引編號組合構成的第一身份座標,且每一個第一身份座標設置有一個第二金鑰,該一維金鑰陣列具有多個分別設置有一個第一金鑰的第一索引編號,且該等第一索引編號是分別與對應之第二維度的該等第二索引編號對 應,該驗證裝置是自該一維金鑰陣列找出可解密該第一密文以取得該錨點值的第一金鑰,並根據該第一金鑰之該第一索引編號,自該二維金鑰陣列之對應的第二維度中比對出對應的第二索引編號,並自該二維金鑰陣列找出具有該第二索引編號,且可解密該第二密文以取得該錨點值之第二金鑰,而得到一個第一身份座標。
於是,本發明匿名性身分識別方法,適用於實施架構在一個驗證裝置、多個受驗晶片,及一個在該驗證裝置與該等受驗晶片間傳輸資料的讀卡機間,每一個受驗晶片儲存有多個金鑰,該身分識別方法包含以下步驟(A)該驗證裝置經由該讀卡機傳送一個錨點值給預定識別驗證的其中一個受驗晶片;(B)接收該錨點值之該受驗晶片對應產生一個擾動值,並以該等金鑰分別對該擾動值與該錨點值的組合進行加密演算,以產生多個密文,並經由該讀卡機將該等密文回傳給該驗證裝置;及(C)該驗證裝置解密該等密文,該驗證裝置包括一個維度數與該受驗晶片之該等金鑰數相等的多維金鑰陣列,每一個維度具有多個索引編號,每一個索引編號設置有一個金鑰,該多維金鑰陣列還具有多個分別由各個維度的一個索引編號組成的身份座標,該受驗晶片之該等金鑰是分別與其中一個維度對應,該驗證裝置是以該多維金鑰陣列之每一個維度的該等金鑰逐一對各別之維度所對應之密文進行解密,找出各個維度中能夠解碼取得該錨點值的金鑰,並以找出之該等金鑰對應的該等索引編號比對出一個身份座標。
於是,本發明匿名性身分識別方法,適用於實施架構在一個驗證裝置、多個受驗晶片,及一個可在該驗證裝置與該等受驗晶片間傳輸資料的讀卡機間,每一個受驗晶片儲存有一個第一金鑰與一個第二金鑰,該匿名性身分識別方法包含以下步驟:(A)使該驗證裝置經由該讀卡機傳送一個錨點值給預定識別驗證的其中一個受驗晶片;(B)使收到該錨點值之該受驗晶片產生一個擾動值,並以其儲存之該第一金鑰與該第二金鑰分別對該錨點值與該擾動值的組合進行加密演算,以分別產生一個第一密文與第二密文,並經由該讀卡機將該第一密文與該第二密文回傳給該驗證裝置;及(C)該驗證裝置解密該第一密文與該第二密文,該驗證裝置包括一個具有兩個第二維度的二維金鑰陣列,及一個與該二維金鑰陣列的其中一個第二維度對應的一維金鑰陣列,該二維金鑰陣列之每一個第二維度具有多個第二索引編號,該二維金鑰陣列還具有多個分別由該等第二維度的一個第二索引編號組合構成的第一身份座標,且每一個第一身份座標設置有一個第二金鑰,該一維金鑰陣列具有多個分別設置有一個第一金鑰的第一索引編號,且該等第一索引編號是分別與對應之第二維度的該等第二索引編號對應,該驗證裝置是自該一維金鑰陣列找出可解密該第一密文以取得該錨點值的第一金鑰,並根據該第一金鑰之該第一索引編號,自該二維金鑰陣列之對應的第二維度中比對出對應的第二索引編號,並自該二維金鑰陣列找出具有該第二索引編號,且可解密該第二密文以取得該錨點 值之第二金鑰,而得到一個第一身份座標。
於是,本發明匿名性身分識別系統,包含一個驗證裝置、多個受驗晶片,及一個可在該等受驗晶片與該驗證裝置間傳輸資料的讀卡機,其中:每一個受驗晶片儲存有多個金鑰,並可於收到該驗證裝置經由該讀卡機發送的一個錨點值時對應產生一個擾動值,並以該等金鑰分別對該擾動值與該錨點值之組合進行加密演算以產生多個密文,並經由該讀卡機將該等密文回傳給該驗證裝置;該驗證裝置包括一個可產生該錨點值的錨點產生模組、一個具有多個維度的多維金鑰陣列,及一個解密運算模組,該多維金鑰陣列的維度數量是與每一個受驗晶片之該等金鑰數相等,且分別與該受驗晶片之該等金鑰對應,每一個維度具有多個索引編號,且每一個索引編號設置有一個金鑰,該多維金鑰陣列還具有多個分別由各個維度之一個索引編號組合構成的身份座標,該解密運算模組可以該多維金鑰陣列之每一個維度的該等金鑰逐一對各別之維度所對應之密文進行解密,找出各個維度中能夠解碼取得該錨點值的金鑰,並以找出之該等金鑰對應的該等索引編號比對出一個對應的身份座標。
於是,本發明匿名性身分識別系統,包含一個驗證裝置、多個受驗晶片,及一個可在該等受驗晶片與該驗證裝置間傳輸資料的讀卡機,其中:每一個受驗晶片儲存有一個第一金鑰與一個第二金鑰,並可於收到該驗證裝置經由該讀卡機發送的一個錨點值時對應產生一個擾動值 ,並以該第一金鑰與該第二金鑰分別對該擾動值與該錨點值之組合進行加密演算,以分別產生一個第一密文與一個第二密文,並經由該讀卡機將該第一密文與該第二密文回傳給該驗證裝置;該驗證裝置包括一個用以產生該錨點值的錨點產生單元、一個二維金鑰陣列、一個一維金鑰陣列,及一個解密運算模組,該二維金鑰陣列具有兩個第二維度,每一個第二維度具有多個第二索引編號,該二維金鑰陣列還具有多個分別由該等第二維度的一個第二索引編號構成的第一身份座標,且每一個身份座標設置有一個第二金鑰,該一維金鑰陣列是與其中一個第二維度對應,並具有多個分別被設定有一個第一金鑰的第一索引編號,該等第一索引編號是分別與相對應之第二維度的該等第二索引編號對應,該解密運算模組可自該一維金鑰陣列找出可解密該第一密文以取得該錨點值的第一金鑰,並根據該第一金鑰之該第一索引編號,自對應之第二維度中比對出對應的第二索引編號,再自該二維金鑰陣列找出具有該第二索引編號,且可解密該第二密文以取得該錨點值之第二金鑰,而取得一個第一身份座標。
本發明之功效:透過多維度金鑰陣列的金鑰座標結構設計,可方便該驗證裝置透過平行運算技術同時對各個維度的金鑰進行運算,可在相同金鑰數量的情況下,大幅減少解密運算次數與時間,而大幅提高身份識別效率。
3‧‧‧受驗晶片
4‧‧‧讀卡機
5‧‧‧驗證裝置
51‧‧‧身份資料庫
52‧‧‧錨點產生模組
53‧‧‧解密運算模組
54‧‧‧身份比對模組
55‧‧‧多維金鑰陣列
551‧‧‧身份座標
56‧‧‧一維金鑰陣列
561‧‧‧第一金鑰
57‧‧‧二維金鑰陣列
571‧‧‧第二金鑰
58‧‧‧三維金鑰陣列
581‧‧‧第三金鑰
700‧‧‧車輛
800‧‧‧卡片
900‧‧‧行動裝置
本發明之其他的特徵及功效,將於參照圖式的實施方式中清楚地呈現,其中:圖1是本發明匿名性身分識別系統的一個第一實施例的架構示意圖;圖2是該第一實施例之功能方塊圖;圖3該第一實施例的一個多維金鑰陣列的架構示意圖;圖4是本發明匿名性身份識別方法的步驟流程圖;圖5是本發明匿名性身分識別系統的一個第二實施例之一個一維金鑰陣列、一個二維金鑰陣列與一個三維金鑰陣列的架構示意圖;及圖6是該第二實施例的功能方塊圖。
在本發明被詳細描述之前,應當注意在以下的說明內容中,類似的元件是以相同的編號來表示。
如圖1、2、3所示,本發明匿名性身分識別系統的第一實施例,包含一個驗證裝置5、一個訊號連接於該驗證裝置5之讀卡機4,及多個受驗晶片3。
該等受驗晶片3為RFID晶片,每一個受驗晶片3儲存有多個金鑰,可經由該讀卡機4接收該驗證裝置5提供的一個錨點值,且可被該錨點值觸發而對應產生一個擾動值,並可將該錨點值與該擾動值組合後,再以其本身儲存之該等金鑰分別對該錨點值與該擾動值組合進行加密演算,以分別產生一個密文,並將該等密文發送給讀卡機4 ,由該讀卡機4回傳給該驗證裝置5。該等受驗晶片3可以為應用於識別車輛700的eTag型式、或者是應用於晶片會員卡、悠遊卡與信用卡等卡片800、或者是手機、平板電腦智慧手錶、智慧眼鏡等行動裝置900,且不以上述應用類型為限。
該讀卡機4可於感應到一個受驗晶片3時,對應產生一個驗證要求至該驗證裝置5。該讀卡機4可以是設置在停車場之門禁系統的讀卡機4、設置於道路上而用以監控車輛是否通過之過路費收費系統的讀卡機4、設置於一個收銀機的讀卡機4,或者是訊號連接於一個電腦之讀卡機4。該讀卡機4可透過無線感應方式或者是透過直接電連接接觸方式,將該錨點值傳送給該受驗晶片3,以及讀取該受驗晶片3發送之該等密文,並將該等密文傳送至該驗證裝置5。但實施時,該讀卡機4可配合該等受驗晶片3之應用場合與應用型式對應設置,不以上述應用類型為限,此外,由於該讀卡機4為習知構件,且與該驗證裝置5間可採用有線通訊方式及/或無線通訊方式,通訊技術眾多且非本發明之改良重點,因此對於該讀卡機4不再詳述。
該驗證裝置5可經由該讀卡機4將前述錨點值傳送給該等受驗晶片3,以及經由該讀卡機4接收該等受驗晶片3發送之該等密文。實施時,該驗證裝置5可透過網際網路、無線網路及/或行動通訊網路來與該讀卡機4訊號連接,或者是透過訊號線直接與該讀卡機4訊號連接,實施時,亦可將該驗證裝置5與該讀卡機4整合成一體。
該驗證裝置5包含一個身份資料庫51、一個多維金鑰陣列55、一個錨點產生模組52、一個解密運算模組53,及一個身份比對模組54。該身份資料庫51儲存有多筆分別代表該等受驗晶片3之使用者的身份資料,且該等身份資料分別設定有一個身份座標551。
該多維金鑰陣列55具有多個維度,在本實施例中,是以具有兩個維度之二維座標結構為例進行說明,例如x、y兩維度,但實施時,該多維金鑰陣列55也可以採用具有三個維度之三維座標結構,例如x、y、z三個維度,或者是更多維度。該等受驗晶片3之金鑰數量是與該多維金鑰陣列55之維度數量相等,也就是說,當該多維金鑰陣列55為二維座標結構時,該等受驗晶片3會儲存有兩個金鑰。
該多維金鑰陣列55之每一個維度都具有多個索引編號,分別為1個與m個,且每一個索引編號對應設定有一個金鑰,所以該多維金鑰陣列55具有1×m個金鑰。該多維金鑰陣列55還具有多個分別由各個維度之一個索引編號組合構成的身份座標551,例如(i,j)。每一個受驗晶片3之該等金鑰即分別為各個維度的其中一金鑰,以致於該等金鑰運算產生之該等密文也會分別與該等維度對應。
該錨點產生模組52可被該讀卡機4之驗證要求觸發而產生一個錨點值,並經由該讀卡機4將該錨點值發送給該受驗晶片3。在本實施例中,該錨點值與該擾動值都為隨機產生之一組亂數,但實施時不以此為限。
該解密運算模組53可於收到該讀卡機4回傳之每一個受驗晶片3之該等密文時,根據該等密文分別對應之該多維金鑰陣列55的維度,以該等維度之該等金鑰逐一對各別之密文進行解密運算,藉以找出各個維度中可解密各別之密文而取得該錨點值的正確金鑰,也就是分別找出x維度之正確金鑰與y維度之正確金鑰。因該等密文是分別與各個維度對應,所以各個維度之正確金鑰的解密運算可同步進行,也就是可平行運算而不會互相干擾,藉此設計,可大幅縮短解密運算次數與時間。
該身份比對模組54可於該解密運算模組53解密取得各個維度之正確金鑰後,進一步自該多維金鑰陣列55比對出各個正確金鑰對應的該索引編號,例如i與j,再將各個維度之該索引編號組合以構成一個身份座標551(i,j),然後自該身份資料庫51中比對是否有與該身份座標551對應的身份資料。若有,表示該受驗晶片3已經於該身份資料庫51建檔,所以是一個合法的受驗晶片3,若沒有,表示該受驗晶片3並未記錄在該身份資料庫51中,有可能是偽造之受驗晶片3。在完成前述身份識別後,該身份比對模組54會對應回傳一個身份驗證結果給該讀卡機4,由該讀卡機4輸出以供其使用者瞭解該受驗晶片3的身份是否合法,例如讓停車場業者知道該車輛使用之eTag不合法。
如圖2、3、4所示,以下即就本發明匿名性身份識別系統的匿名性身份識別方法進行說明,為方便說明,以下是以該驗證裝置5驗證一個受驗晶片3為例進行說 明。該匿名性身份識別方法包含以下步驟:
步驟(一)使該驗證裝置5提供一個錨點值給該受驗晶片3。當該驗證裝置5收到該讀卡機4感應到該受驗晶片3之訊息時,會對應產生並發送一個錨點值,並驅使該讀卡機4將該錨點值發送給該受驗晶片3。
步驟(二)使該受驗晶片3對應回傳加密後之密文。使收到該錨點值之該受驗晶片3對應產生一個擾動值,並以其儲存之該等金鑰分別對該錨點值與該擾動值之組合進行加密演算,而分別產生一個密文,並將該等密文回傳給該讀卡機4,由該讀卡機4回傳給該驗證裝置5。
步驟(三)該驗證裝置5解密該等密文。當該驗證裝置5經由該讀卡機4收到該受驗晶片3回傳之該等密文時,會根據該等密文對應之維度,以各個維度的該等金鑰分別對各別之密文進行解密,藉以自各個維度中找出可解密對應之密文以取得該錨點值的正確金鑰,且各維度之密文的解密可同步進行。
步驟(四)該驗證裝置5驗證回傳身份驗證結果。當該驗證裝置5找出該等維度之正確金鑰後,會將各個維度之正確金鑰所對應之該索引編號組合以構成該身份座標551,然後比對該身份資料庫51是否有對應該身份座標551的身份資料,以識別驗證該受驗晶片3是否合法。
於識別驗證完成該受驗晶片3之身份的合法性後,會將該身份驗證結果回傳給該讀卡機4,以便讓該讀卡機4使用者瞭解該受驗晶片3的合法性。
藉由上述匿名性身份識別方法設計,可在受驗晶片3不需提供其身份資料的情況下,識別驗證該受驗晶片3的身份與身份合法性。且因該錨點產生模組52每次被觸發產生之該錨點值,以及該受驗晶片3每次對應產生的該擾動值都為亂數且每次都不相同,以致於該受驗晶片3每次以該等金鑰產生並回傳至該驗證裝置5之該等密文內容都不同,即便他人在該讀卡機4與該受驗晶片3無線通訊過程中,從旁竊聽盜取該等密文,亦無法取得該受驗晶片3的身份資料,也無法得知該受驗晶片3的合法性。因此,可完全避免現有RFID晶片卡身份識別驗證時會有身份資料外洩的問題,可大幅提高RFID晶片卡的身份驗證安全性。
此外,透過上述匿名性身分驗證方法設計,該讀卡機4必須將該驗證裝置5提供之錨點值發送給該受驗晶片3後,該受驗晶片3才會被觸發而對應產生並回傳該等密文,所以未與該驗證裝置5訊號連接之讀卡機4並無法用以驅使該受驗晶片3提供任何識別資訊,所以也可防止非連線於該驗證裝置5的讀卡機4讀取該受驗晶片3之資料。
再者,透過該驗證裝置5之該多維金鑰陣列55的設計,以及該受驗晶片3產生之該等密文是分別與該多維金鑰陣列55之該等維度對應的設計,使得該驗證裝置5在驗證該等密文時,可透過平行運算技術同時對各個維度的金鑰進行解密運算,所以可大幅縮減運算量。以三個維 度之多維金鑰陣列55之各個維度都具有100個金鑰為例,總共有1,000,000個金鑰組合,該驗證裝置5最多僅需運算100+100+100共300次,就一定可解密取得三個正確金鑰,並取得該受驗晶片3的身份資料,整體運算次數明顯少於現有方法。
在本實施例中,該驗證裝置5產生之該錨點值為一個亂數組,而該受驗晶片3產生之該擾動值也為一個亂數組,該受驗晶片3是將兩個亂數組組合後,再以該等金鑰分別進行加密,也就是說,該等金鑰都是針對同一個錨點值與擾動值的組合進行加密演算。但實施時,該驗證裝置5產生之該錨點值也可設計成包含多個不同之亂數組,且該等亂數組數量是與該多維金鑰陣列55之維度數相等,且分別與該等維度對應,同樣的,該受驗晶片3產生之該擾動值也可包含多個亂數組,且該擾動值之該等亂數組數量也是與該多維金鑰陣列55之維度數相等,且分別與該等維度對應,藉此設計,該受驗晶片3產生該等密文時,是針對每一個金鑰所對應之維度,將該錨點值之對應維度的亂數組與該擾動值之對應維度的亂數組加以組合後,再以該金鑰進行加密演算以產生一個密文,所以該受驗晶片3以每一個金鑰進行加密演算的內容都不同,可大幅提高產生密文的複雜度,而更不容易被破解,但實施時,也可產生一對多的設計,也就是該錨點值僅具有一個亂數組,而該擾動值有多個亂數組,或相反之。
必須特別說明的是,由於網路通訊技術的進步 ,該受驗晶片3與該讀卡機4有可能是設置於國外,也就是於境外實施,所以該驗證裝置5是用以識別在國外實施使用之受驗晶片3的身份,此時,本發明匿名性身份識別系統僅會包含該驗證裝置5,而上述匿名性身份識別方法之步驟(二)會對應設計成:該驗證裝置5接收該受驗晶片3產生之密文。
如圖4、5、6所示,本發明匿名性身份識別系統之第二實施例與該第一實施例差異處在於:該驗證裝置5之金鑰陣列的維度結構設計,以及該等受驗晶片3對應儲存之金鑰。為方便說明,以下僅就本實施例與該第一實施例差異處進行描述。
在本實施例中,每一個受驗晶片3儲存有一個第一金鑰561、一個第二金鑰571與一個第三金鑰581,且會以該第一金鑰561、該第二金鑰571與該第三金鑰581分別對該錨點值與該擾動值之組合進行加密演算,以分別產生一個第一密文、一個第二密文與一個第三密文。
該驗證裝置5除了包括該身份資料庫51、該錨點產生模組52、該解密運算模組53,及該身份比對模組54外,還包括一個三維金鑰陣列58、一個與該三維金鑰陣列58對應的二維金鑰陣列57,及一個與該二維金鑰陣列57對應的一維金鑰陣列56。
該三維金鑰陣列58具有三個第三維度,例如x、y與z維度,每一個第三維度具有多個第三索引編號,例如分別為lmn個,該三維金鑰陣列58還包括多個分 別以各個第三維度之一個第三索引編號組合構成的第二身份座標,例如(i,j,k),且每一個第二身份座標設定有一個第三金鑰581,所以該三維金鑰陣列58具有l×m×n個第三金鑰581數。
該二維金鑰陣列57具有兩個分別與其中兩個第三維度對應之第二維度,例如x維度與y維度,且每一個第二維度具有多個分別與各別之第三維度之該等第三索引編號對應的第二索引編號,例如分別為l個與m個,該二維金鑰陣列57還具有多個分別以各個第二維度的一個第二索引編號組合構成的第一身份座標,例如(i,j),且每一個第一身份座標設定有一個第二金鑰571,所以該二維金鑰陣列57具有l×m個第二金鑰571。
該一維金鑰陣列56為一維座標結構,且是與其中一個第二維度對應,例如x維度,具有多個分別與各別之第二維度的該等第二索引編號對應的第一索引編號,也就是l個,且每一個第一索引編號設定有一個第一金鑰561,所以該一維金鑰陣列56會具有l個第一金鑰561。
整體而言,該驗證裝置5的該等金鑰陣列共設置有(l×m×n)+(l×m)+l個金鑰。
該解密運算模組53收到該受驗晶片3之該第一密文、該第二密文與該第三密文後,會先自該一維金鑰陣列56找出可解密該第一密文的正確第一金鑰561,並根據該第一金鑰561之該第一索引編號,自該二維金鑰陣列57對應的第二維度中比對出對應的第二索引編號。然後,以 該二維金鑰陣列57中具有該第二索引編號之該等第一身份座標的該第二金鑰571逐一解密該第二密文,藉以找出可正確解密該第二密文之第二金鑰571,而獲得一個正確的第一身份座標,也就是找到該等第二維度的一個正確第二索引編號。緊接著,根據找到之該等第二索引編號,自該三維金鑰陣列58中相對應之該等第三維度中分別比對出對應的第三索引編號,並以該三維金鑰陣列58中具有該等第三索引編號之該等第二身份座標的該第三金鑰581逐一解密該第三密文,藉以找出可解密該第三密文以獲得該錨點值的第三金鑰581,進而獲得一個對應的第二身份座標。
該解密運算模組53解密過程中,最多運算次數為一維金鑰陣列56之第一索引編號數量、該二維金鑰陣列57未與該一維金鑰陣列56對應之另一個第二維度的第二索引編號數量,及該三維金鑰陣列58未與該二維金鑰陣列57對應之另一個第三維度的第三索引編號數量的總和,也就是(l+m+n)次,以lmn各具有100個為例,整個驗證裝置5之總金鑰數等於1010100個,但每次解密卻僅需運算300次,所以同樣可在大量增加金鑰數量而提高加密效果的情況下,大幅減少解密運算次數時間,同時兼具較佳解密效率。
最後,再由該身份比對模組54自該身份資料庫51識別驗證該第二身份座標是否對應一個身份資料,進而確認該受驗晶片3之身份是否合法,並回傳一個身份驗證結果給該讀卡機4。
本發明匿名性身份識別系統之匿名性身份識別方法包含以下步驟:
步驟(一)使該驗證裝置5發送一個錨點值給預定進行身份識別之受驗晶片3。當該驗證裝置5收到該讀卡機4發送之該驗證請求時,會產生該錨點值,並驅使該讀卡機4將該錨點值發送給預定進行身份識別之該受驗晶片3。
步驟(二)使該受驗晶片3對應回傳該等密文。使收到該錨點值之該受驗晶片3對應產生該擾動值,並將該錨點值與該擾動值組合後,分別以該第一金鑰561、該第二金鑰571與該三金鑰進行加密演算,以分別產生該第一密文、該第二密文與該第三密文,並將該第一密文、該第二密文與該第三密文發送給該讀卡機4,由該讀卡機4回傳給該驗證裝置5。
步驟(三)該驗證裝置5解密該等密文。該驗證裝置5收到該受驗晶片3回傳之該第一密文、該第二密文與該第三密文後,會先由該一維金鑰陣列56找出可解密該第一密文以取得該錨點值的正確第一金鑰561,並根據該第一金鑰561之該第一索引編號,自該二維金鑰陣列57中找出對應的第二索引編號,並自具有該第二索引編號之該等第二金鑰571中找出正確的第二金鑰571,而獲得一個第一身份座標。
接著,該驗證裝置5根據該第一身份座標之該等第二索引編號,自對應之該等第三維度分別比對出對應 的第三索引編號,並自該三維金鑰陣列58具有該等第三索引編號之所有第二身份座標中找出可正確解密該第三密文的第三金鑰581,而獲得一個正確的第二身份座標。
步驟(四)驗證回傳該身份驗證結果給該讀卡機4。該驗證裝置5找出該第二身份座標後,會進一步自該身份資料庫51比對該第二身份座標是否存在對應的身份資料,藉以識別驗證該受驗晶片3的身份與身份合法性,然後再根據識別驗證結果,對應回傳該身份驗證結果給該讀卡機4。
透過該一維金鑰陣列56之該第一金鑰561可指引向該二維金鑰陣列57的其中一個第二維度,以及該二維金鑰陣列57的第二金鑰571可指向該三維金鑰陣列58的其中兩個第三維度的三層金鑰座標結構設計,在無法解密取得第一金鑰561的情況下,就很難找出對應的第一身份座標與第二身份座標。
且因該受驗晶片3每次進行身份識別驗證時所產生之該第一密文、該第二密文與該第三密文都不同,即便他人在該讀卡機4與該受驗晶片3之無線通訊過程中竊聽到取得該第一密文、該第二密文與該第三密文,亦無法獲得關於該受驗晶片3的身份資料與身份合法性資料,是一種保密性更佳的匿名性身份識別系統與方法設計。
同樣的,必須特別說明的是,當該讀卡機4與該等受驗晶片3是於國外實施使用時,該匿名性身份識別系統同樣僅包含該驗證裝置5,且該匿名性身份識別方法之 該步驟(二)會對應設計成:使該驗證裝置5接收該受驗晶片3回傳之該第一密文、該第二密文與該第三密文。
在上述實施例中,是透過該一維金鑰陣列56、該二維金鑰陣列57與該三維金鑰陣列58間的索引關係設計,可在維持較佳解密運算效能的前提下,來大幅提高金鑰數量與解密複雜度,而相對提高保密功效。但實施時,不以採用三層金鑰座標結構設計為必要,可不採用該三維金鑰陣列58,而僅採用該一維金鑰陣列56與該二維金鑰陣列57,將金鑰數量降低至(l×m+l)個,並將該身份資料庫51之該等身份資料設計成與該等第一身份座標對應,亦即該驗證裝置5找出該第一身份座標後,即可自該身份資料庫51驗證該受驗晶片3的身份與合法性,然後對應回傳該身份驗證結果給該讀卡機4。透過此雙層金鑰座標結構設計仍然可具有很好的保密功效。
綜上所述,透過多維度金鑰陣列的金鑰座標結構設計,可方便該驗證裝置5透過平行運算技術同時對各個維度的金鑰進行運算,可在相同金鑰數量的情況下,大幅減少解密運算次數與時間,而大幅提高身份識別效率。且在該等受驗晶片3與該讀卡機4的通訊過程中,該受驗晶片3完全不需提供身份資料,即便被從旁盜取資訊,盜取資訊者也僅會得到由該等金鑰加密過的多組密文,很難取得任何與該受驗晶片3有關的身份資料,可確保該等受驗晶片3的身份資料不會外洩,確實可達到匿名性身份識別的目的。
此外,透過二維金鑰陣列57與一維金鑰陣列56所構成之雙層金鑰座標結構設計,以及該三維金鑰陣列58、該二維金鑰陣列57與該一維金鑰陣列56構成的三層金鑰座標結構設計,可在兼具運算效率的情況下,大幅提高金鑰數量與解密複雜度,而更進一步提高資料保密安全性。因此,確實可達到本發明之目的。
惟以上所述者,僅為本發明之較佳實施例而已,當不能以此限定本發明實施之範圍,即大凡依本發明申請專利範圍及專利說明書內容所作之簡單的等效變化與修飾,皆仍屬本發明專利涵蓋之範圍內。
3‧‧‧受驗晶片
4‧‧‧讀卡機
5‧‧‧驗證裝置
51‧‧‧身份資料庫
52‧‧‧錨點產生模組
53‧‧‧解密運算模組
54‧‧‧身份比對模組
55‧‧‧多維金鑰陣列

Claims (20)

  1. 一種匿名性身分識別方法,適用於實施在一個驗證裝置,該驗證裝置可經由一個訊號連接之讀卡機識別驗證多個受驗晶片,每一個受驗晶片具有多個金鑰,該匿名性身分識別方法包含以下步驟:(A)該驗證裝置經由該讀卡機傳送一個錨點值給一個要進行身份驗證之受驗晶片;(B)該驗證裝置經由該讀卡機接收該受驗晶片將該錨點值與其產生之一個擾動值組合並以該等金鑰分別加密產生之多個密文;及(C)該驗證裝置分別解密該等密文,該驗證裝置內建有一個維度數與該受驗晶片之該等金鑰數相等的多維金鑰陣列,每一個維度具有多個索引編號,每一個索引編號設置有一個金鑰,該多維金鑰陣列還具有多個分別由各個維度的一個索引編號組成的身份座標,該受驗晶片之該等金鑰是分別與其中一個維度對應,該驗證裝置是以該多維金鑰陣列之每一個維度的該等金鑰逐一對各別之維度所對應之密文進行解密,找出各個維度中能夠解碼取得該錨點值的金鑰,並以找出之該等金鑰對應的該等索引編號組成一個身份座標。
  2. 如請求項1所述的匿名性身分識別方法,還包含一個步驟(D)該驗證裝置自一個身份資料庫比對驗證該身份座標的合法性,並回傳一個身份驗證結果給該讀卡機。
  3. 如請求項1所述的匿名性身分識別方法,其中,步驟( A)之該錨點值與步驟(B)之該擾動值為亂數。
  4. 如請求項1所述的匿名性身分識別方法,其中,步驟(C)是以平行運算方式同時對各個維度對應之該密文進行解密。
  5. 一種匿名性身分識別方法,適用於實施在一個驗證裝置,該驗證裝置可經由一個訊號連接之讀卡機識別驗證多個受驗晶片,每一個受驗晶片儲存有一個第一金鑰與一個第二金鑰,該匿名性身分識別方法包含以下步驟:(A)該驗證裝置經由該讀卡機傳送一個錨點值給一個預定進行驗證之受驗晶片;(B)該驗證裝置經由該讀卡機接收該受驗晶片將該錨點值與其產生之一個擾動值組合並以該第一金鑰加密構成的一個第一密文,以及將該擾動值與該錨點值組合並以該第二金鑰加密構成的一個第二密文;及(C)該驗證裝置解密該第一密文與該第二密文,該驗證裝置包括一個具有兩個第二維度的二維金鑰陣列,及一個與該二維金鑰陣列的其中一個第二維度對應的一維金鑰陣列,該二維金鑰陣列之每一個第二維度具有多個第二索引編號,該二維金鑰陣列還具有多個分別由該等第二維度的一個第二索引編號組合構成的第一身份座標,且每一個第一身份座標設置有一個第二金鑰,該一維金鑰陣列具有多個分別設置有一個第一金鑰的第一索引編號,且該等第一索引編號是分別與對應之第二維度的該等第二索引編號對應,該驗證裝置是自該一 維金鑰陣列找出可解密該第一密文以取得該錨點值的第一金鑰,並根據該第一金鑰之該第一索引編號,自該二維金鑰陣列之對應的第二維度中比對出對應的第二索引編號,並自該二維金鑰陣列找出具有該第二索引編號,且可解密該第二密文以取得該錨點值之第二金鑰,而得到一個第一身份座標。
  6. 如請求項5所述的匿名性身分識別方法,該等受驗晶片還分別具有一個第三金鑰,其中,於步驟(B)該驗證裝置還會經由該讀卡機接收該受驗晶片以該第三金鑰對該錨點值與該擾動值之組合加密演算產生的一個第三密文,該步驟(C)該驗證裝置還進一步解密該第三密文,該驗證裝置還包括一個具有三個第三維度之三維金鑰陣列,每一個第三維度具有多個第三索引編號,該三維金鑰陣列還具有多個分別由該等第三維度的一個第三索引編號組合構成的第二身份座標,且每一個第二身份座標設置有一個第三金鑰,該等第二維度是分別與其中一個第三維度對應,且各個第二維度之該等第二索引編號是分別與各別之第三維度之該等第三索引編號對應,該驗證裝置會根據該第一身份座標之該等第二索引編號,自對應之該等第三維度中分別比對出對應的第三索引編號,並自該三維金鑰陣列找出具有該等第三索引編號,且可解密該第三密文以取得該錨點值之第三金鑰,而獲得一個第二身份座標。
  7. 如請求項6所述的匿名性身分識別方法,還包含一個步 驟(D)該驗證裝置自一個身份資料庫比對驗證該第二身份座標的合法性,並回傳一個身份驗證結果給該讀卡機。
  8. 如請求項5、6或7所述的匿名性身分識別方法,其中,步驟(A)之該錨點值及步驟(B)之該擾動值為亂數。
  9. 一種匿名性身分識別方法,適用於實施架構在一個驗證裝置、多個受驗晶片,及一個在該驗證裝置與該等受驗晶片間傳輸資料的讀卡機間,每一個受驗晶片儲存有多個金鑰,該身分識別方法包含以下步驟:(A)該驗證裝置經由該讀卡機傳送一個錨點值給預定識別驗證的其中一個受驗晶片;(B)接收該錨點值之該受驗晶片對應產生一個擾動值,並以該等金鑰分別對該擾動值與該錨點值的組合進行加密演算,以產生多個密文,並經由該讀卡機將該等密文回傳改該驗證裝置;及(C)該驗證裝置解密該等密文,該驗證裝置包括一個維度數與該受驗晶片之該等金鑰數相等的多維金鑰陣列,該多維金鑰陣列之每一個維度具有多個索引編號,每一個索引編號設置有一個金鑰,該多維金鑰陣列還具有多個分別由各個維度的一個索引編號組成的身份座標,該受驗晶片之該等金鑰是分別與其中一個維度對應,該驗證裝置是以該多維金鑰陣列之每一個維度的該等金鑰逐一對各別之維度所對應之密文進行解密,找 出各個維度中能夠解碼取得該錨點值的金鑰,並以找出之該等金鑰對應的該等索引編號比對出一個身份座標。
  10. 一種匿名性身分識別方法,適用於實施架構在一個驗證裝置、多個受驗晶片,及一個可在該驗證裝置與該等受驗晶片間傳輸資料的讀卡機間,每一個受驗晶片儲存有一個第一金鑰與一個第二金鑰,該匿名性身分識別方法包含以下步驟:(A)使該驗證裝置經由該讀卡機傳送一個錨點值給預定識別驗證的其中一個受驗晶片;(B)使收到該錨點值之該受驗晶片產生一個擾動值,並以其儲存之該第一金鑰與該第二金鑰分別對該錨點值與該擾動值的組合進行加密演算,以分別產生一個第一密文與第二密文,並經由該讀卡機將該第一密文與該第二密文回傳給該驗證裝置;及(C)該驗證裝置解密該第一密文與該第二密文,該驗證裝置包括一個具有兩個第二維度的二維金鑰陣列,及一個與該二維金鑰陣列的其中一個第二維度對應的一維金鑰陣列,該二維金鑰陣列之每一個第二維度具有多個第二索引編號,該二維金鑰陣列還具有多個分別由該等第二維度的一個第二索引編號組合構成的第一身份座標,且每一個第一身份座標設置有一個第二金鑰,該一維金鑰陣列具有多個分別設置有一個第一金鑰的第一索引編號,且該等第一索引編號是分別與對應之第二維度的該等第二索引編號對應,該驗證裝置是自該一 維金鑰陣列找出可解密該第一密文以取得該錨點值的第一金鑰,並根據該第一金鑰之該第一索引編號,自該二維金鑰陣列之對應的第二維度中比對出對應的第二索引編號,並自該二維金鑰陣列找出具有該第二索引編號,且可解密該第二密文以取得該錨點值之第二金鑰,而得到一個第一身份座標。
  11. 如請求項10所述的匿名性身分識別方法,該等受驗晶片還分別具有一個第三金鑰,其中,於步驟(B)該驗證裝置還會經由該讀卡機接收該受驗晶片以該第三金鑰對該錨點值與該擾動值之組合加密演算產生的一個第三密文,該步驟(C)該驗證裝置還進一步解密該第三密文,該驗證裝置還包括一個具有三個第三維度之三維金鑰陣列,每一個第三維度具有多個第三索引編號,該三維金鑰陣列還具有多個分別由該等第三維度的一個第三索引編號組合構成的第二身份座標,且每一個第二身份座標設置有一個第三金鑰,該等第二維度是分別與其中一個第三維度對應,且各個第二維度之該等第二索引編號是分別與各別之第三維度之該等第三索引編號對應,該驗證裝置會根據該第一身份座標之該等第二索引編號,自對應之該等第三維度中分別比對出對應的第三索引編號,並自該三維金鑰陣列找出具有該等第三索引編號,且可解密該第三密文以取得該錨點值之第三金鑰,而獲得一個第二身份座標。
  12. 如請求項11所述的匿名性身分識別方法,還包含一個步 驟(D)該驗證裝置自一個身份資料庫比對驗證該第二身份座標的合法性,並回傳一個身份驗證結果給該讀卡機。
  13. 如請求項10、11或12所述的匿名性身分識別方法,其中,步驟(A)之該錨點值及步驟(B)之該擾動值為亂數。
  14. 一種匿名性身分識別驗證系統,包含一個驗證裝置、多個受驗晶片,及一個可在該等受驗晶片與該驗證裝置間傳輸資料的讀卡機,其中:每一個受驗晶片儲存有多個金鑰,並可於收到該驗證裝置經由該讀卡機發送的一個錨點值時對應產生一個擾動值,並以該等金鑰分別對該擾動值與該錨點值之組合進行加密演算以產生多個密文,並經由該讀卡機將該等密文回傳給該驗證裝置;該驗證裝置包括一個可產生該錨點值的錨點產生模組、一個具有多個維度的多維金鑰陣列,及一個解密運算模組,該多維金鑰陣列的維度數量是與每一個受驗晶片之該等金鑰數相等,且分別與該受驗晶片之該等金鑰對應,每一個維度具有多個索引編號,且每一個索引編號設置有一個金鑰,該多維金鑰陣列還具有多個分別由各個維度之一個索引編號組合構成的身份座標,該解密運算模組可以該多維金鑰陣列之每一個維度的該等金鑰逐一對各別之維度所對應之密文進行解密,找出各個維度中能夠解碼取得該錨點值的金鑰,並以找出之該 等金鑰對應的該等索引編號比對出一個對應的身份座標。
  15. 如請求項14所述的匿名性身分識別驗證系統,其中,該錨點值及該擾動值為亂數。
  16. 如請求項14所述的匿名性身分識別驗證系統,其中,該驗證裝置還包括一個身份資料庫與一個身份比對模組,該身份資料庫內建有多個分別與一個身份座標對應的身份資料,該身份比對模組可以該解密運算模組取得之該身份座標比對該身份資料庫是否存在對應的身份資料,並對應回傳一個身份驗證結果給該讀卡機。
  17. 一種匿名性身分識別驗證系統,包含一個驗證裝置、多個受驗晶片,及一個可在該等受驗晶片與該驗證裝置間傳輸資料的讀卡機,其中:每一個受驗晶片儲存有一個第一金鑰與一個第二金鑰,並可於收到該驗證裝置經由該讀卡機發送的一個錨點值時對應產生一個擾動值,並以該第一金鑰與該第二金鑰分別對該擾動值與該錨點值之組合進行加密演算,以分別產生一個第一密文與一個第二密文,並經由該讀卡機將該第一密文與該第二密文回傳給該驗證裝置;該驗證裝置包括一個用以產生該錨點值的錨點產生單元、一個二維金鑰陣列、一個一維金鑰陣列,及一個解密運算模組,該二維金鑰陣列具有兩個第二維度,每一個第二維度具有多個第二索引編號,該二維金鑰陣 列還具有多個分別由該等第二維度的一個第二索引編號構成的第一身份座標,且每一個身份座標設置有一個第二金鑰,該一維金鑰陣列是與其中一個第二維度對應,並具有多個分別被設定有一個第一金鑰的第一索引編號,該等第一索引編號是分別與相對應之第二維度的該等第二索引編號對應,該解密運算模組可自該一維金鑰陣列找出可解密該第一密文以取得該錨點值的第一金鑰,並根據該第一金鑰之該第一索引編號,自對應之第二維度中比對出對應的第二索引編號,再自該二維金鑰陣列找出具有該第二索引編號,且可解密該第二密文以取得該錨點值之第二金鑰,而取得一個第一身份座標。
  18. 如請求項17所述的匿名性身分識別驗證系統,其中,該驗證裝置還包括一個身份資料庫與一個身份比對模組,該身份資料庫內建有多個分別與一個第一身份座標對應的身份資料,該身份比對模組可以該解密運算模組取得之該第一身份座標比對該身份資料庫是否存在對應的身份資料,並對應回傳一個身份驗證結果給該讀卡機。
  19. 如請求項17所述之匿名性的身分識別驗證系統,其中,該等受驗晶片還分別具有一個第三金鑰,且收到該錨點值之該受驗晶片還會以該第三金鑰對該錨點值與該擾動值之組合加密演算以產生一個第三密文,並經由該讀卡機將該第三密文回傳給該驗證裝置,該驗證裝置還包括一個具有三個第三維度之三維金鑰陣列,每一個第三 維度具有多個第三索引編號,該三維金鑰陣列還具有多個分別由該等第三維度的一個第三索引編號組合構成的第二身份座標,且每一個第二身份座標設置有一個第三金鑰,該等第二維度是與其中兩個第三維度分別對應,且各個第二維度之該等第二索引編號是分別與各別之第三維度之該等第三索引編號對應,該解密演算模組還會根據該第一身份座標之該等第二索引編號,自對應之該等第三維度中分別比對出對應的第三索引編號,並自該三維金鑰陣列找出具有該等第三索引編號,且可解密該第三密文以取得該錨點值之第三金鑰,而獲得一個第二身份座標。
  20. 如請求項19所述之匿名性的身分識別驗證系統,其中,該驗證裝置還包括一個身份資料庫與一個身份比對模組,該身份資料庫內建有多個分別與一個第二身份座標對應的身份資料,該身份比對模組可以該解密運算模組取得之該第二身份座標搜尋比對該身份資料庫是否存在對應的身份資料,並對應回傳一個身份驗證結果給該讀卡機。
TW104128347A 2015-08-28 2015-08-28 匿名性身分識別方法與系統 TWI536197B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW104128347A TWI536197B (zh) 2015-08-28 2015-08-28 匿名性身分識別方法與系統
US15/245,963 US9977891B2 (en) 2015-08-28 2016-08-24 Anonymous authentification method and authentification system using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW104128347A TWI536197B (zh) 2015-08-28 2015-08-28 匿名性身分識別方法與系統

Publications (2)

Publication Number Publication Date
TWI536197B true TWI536197B (zh) 2016-06-01
TW201709099A TW201709099A (zh) 2017-03-01

Family

ID=56755772

Family Applications (1)

Application Number Title Priority Date Filing Date
TW104128347A TWI536197B (zh) 2015-08-28 2015-08-28 匿名性身分識別方法與系統

Country Status (2)

Country Link
US (1) US9977891B2 (zh)
TW (1) TWI536197B (zh)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9137012B2 (en) * 2006-02-03 2015-09-15 Emc Corporation Wireless authentication methods and apparatus
CN1983924A (zh) * 2006-05-30 2007-06-20 华为技术有限公司 一种解密密码切换方法、解密装置及终端设备
US8516268B2 (en) * 2010-08-23 2013-08-20 Raytheon Company Secure field-programmable gate array (FPGA) architecture
US9022286B2 (en) * 2013-03-15 2015-05-05 Virtual Electric, Inc. Multi-functional credit card type portable electronic device
US10460314B2 (en) * 2013-07-10 2019-10-29 Ca, Inc. Pre-generation of session keys for electronic transactions and devices that pre-generate session keys for electronic transactions
CN105359154B (zh) * 2014-05-14 2018-06-26 华为技术有限公司 一种终端配对方法及配对终端
IL235729A (en) * 2014-11-17 2017-06-29 Kaluzhny Uri A device and method for securely storing information

Also Published As

Publication number Publication date
TW201709099A (zh) 2017-03-01
US9977891B2 (en) 2018-05-22
US20170063804A1 (en) 2017-03-02

Similar Documents

Publication Publication Date Title
US8447991B2 (en) Card authentication system
KR102004829B1 (ko) 유비쿼터스 환경에서 인증
CN102422296B (zh) 对由测试装置对安全芯片的访问进行认证的方法
KR100876003B1 (ko) 생체정보를 이용하는 사용자 인증방법
KR100720328B1 (ko) 생체 인증 장치 및 단말
KR101800737B1 (ko) 사용자 인증을 위한 스마트기기의 제어방법, 이를 수행하기 위한 기록매체
CN103413159B (zh) 一种基于cpk的rfid电子凭证离线鉴真防伪实现方法及系统
US20140093144A1 (en) More-Secure Hardware Token
CN104915584B (zh) 基于指纹特征的智能移动终端随机加解密系统
US20120191615A1 (en) Secure Credit Transactions
JP2012074011A5 (zh)
CN103152174B (zh) 应用于停车场的数据处理方法、装置及停车场管理系统
WO2013091532A1 (zh) 图像传感器以及支付认证方法
TWI591553B (zh) Systems and methods for mobile devices to trade financial documents
CN110290134A (zh) 一种身份认证方法、装置、存储介质及处理器
CN102123027A (zh) 信息安全处理方法和移动终端
Hosseini et al. Enhancement of security with the help of real time authentication and one time password in e-commerce transactions
CN106682905B (zh) 一种应用解锁方法
US20160358137A1 (en) Payment system, payment device, transaction terminal, payment management method and program
CN101883357A (zh) 一种终端与智能卡之间的相互认证方法、装置及系统
TWI536197B (zh) 匿名性身分識別方法與系統
KR102348823B1 (ko) 사용자가 소지한 금융 카드 기반 본인 인증 시스템 및 방법
KR102122555B1 (ko) 사용자가 소지한 금융 카드 기반 본인 인증 시스템 및 방법
US20220386118A1 (en) Method for proximity communication between terminals and apparatus thereof
US20090037744A1 (en) Biometric pin block