CN102271126A - 包容式金钥认证方法 - Google Patents
包容式金钥认证方法 Download PDFInfo
- Publication number
- CN102271126A CN102271126A CN2010102005976A CN201010200597A CN102271126A CN 102271126 A CN102271126 A CN 102271126A CN 2010102005976 A CN2010102005976 A CN 2010102005976A CN 201010200597 A CN201010200597 A CN 201010200597A CN 102271126 A CN102271126 A CN 102271126A
- Authority
- CN
- China
- Prior art keywords
- key
- certificate server
- user side
- user
- gold
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明是一种包容式金钥认证方法,包含下列步骤:由用户端实时根据第一特征值产生第一金钥;传送第一金钥至认证服务器进行比对;当认证服务器内储存的数据与第一金钥相符,认证服务器不给予用户端回应,并要求网络服务服务器提供网络服务;当不相符,认证服务器不给予用户端回应;当无数据可供比对,认证服务器不给予用户端回应,并要求讯息服务器传送金钥重传信号至用户端,以使用户端实时根据第二特征值产生第二金钥,并传送第二金钥至认证服务器储存,认证服务器不给予用户端回应,并要求网络服务服务器提供网络服务。
Description
技术领域
本发明有关一种电子数据认证方法,且特别是有关一种包容式金钥(tolerantkey)认证方法。
背景技术
在现今网络技术发达的年代,以网络做为交易、提供服务的平台与媒介,也成为一项新颖的产业。对提供服务的业者来说,为保障用户的权益,必需设定严密的认证机制,以让真正的用户能够存取其所提供的服务,并避免不当用户入侵、盗用帐号甚或窃取信息的情形发生。
以往的技术,为了执行保护措施,将通过金钥认证的方式来做用户的认证。举例来说,业者可提供以高复杂度运算方式产生金钥的硬件给用户,只有拥有可产生此唯一的金钥的硬件,才能够通过认证。然而,一方面,高复杂度运算方式需要经过耗时的开发过程,以避免为他人所破解。另一方面,不论如何复杂的运算方式,在科技的演进下,仍然有可能被破解。因此,如果所有上述提供服务的业者都使用如此设计的金钥认证方式,将是成本上的一大负担。
因此,如何设计一个新的包容式金钥认证方法,以降低成本,并可以低复杂度的运算方式来实现,这是此一业界亟待解决的问题。
发明内容
本发明的目的是提供一种包容式金钥认证方法,以降低成本,并可以低复杂度的运算方式来实现。
因此,根据本发明提供的一种包容式金钥认证方法,包含下列步骤:由用户端实时根据第一特征值产生第一金钥;传送第一金钥至认证服务器;对认证服务器内储存的数据与第一金钥进行比对;当认证服务器内储存的数据与第一金钥相符,认证服务器不给予用户端回应,并要求网络服务服务器提供网络服务;当认证服务器内储存的数据与第一金钥不相符,认证服务器不给予用户端回应;以及当认证服务器内无数据可供比对,认证服务器不给予用户端回应,并要求讯息服务器传送金钥重传信号至用户端,其中讯息服务器与认证服务器可为相同的服务器,亦可为相异的服务器,以使用户端实时根据第二特征值产生第二金钥,并传送第二金钥至认证服务器储存,认证服务器不给予用户端回应,并要求网络服务服务器提供网络服务。
依据本发明一实施例,其中第一特征值及第二特征值包含用户帐号。第一特征值包含第一随机数值,第二特征值包含第二随机数值。
依据本发明另一实施例,第一特征值及第二特征值包含用户端外部特征值。用户端外部特征值为第一金钥及该第二金钥产生时的日期信息、时间信息、地理区域信息、国别信息、网络相关信息或天气信息。
依据本发明又一实施例,第一特征值及第二特征值包含用户端内部特征值。用户端内部特征值是用户端的媒体存取控制(Media Access Control;MAC)地址、储存装置序号、计算机识别编号或储存目录信息。
依据本发明再一实施例,其中网络服务为网络电视、网络电台、电子阅读数据库或电子新闻数据库。
依据本发明还具有的一实施例,其中储存装置为通用串行总线(Universal SerialBus;USB)硬盘。
依据本发明另一实施例,其中当认证服务器检测到用户异常状况,是清除认证服务器内储存对应用户端的数据。
依据本发明又一实施例,其中认证服务器每隔一固定时间清除认证服务器内储存的数据。
本发明的有益技术效果是:本发明的包容式金钥认证方法,可包容不当用户在窃取认证数据后,于短时间内可登入。而其损失,仅是在此相当短时间内为窃取者收看或收听上述的服务内容。认证服务器或是真正的用户在察觉帐号被盗用后,可迅速清除数据以供真正的用户登入以获得新的金钥,以简单而有效的方式达到保护真正的用户的功效,故该包容式的金钥认证方法可实现低成本、低复杂度的运算。并且,上述在不当的用户窃取认证数据后收收看或收听上述服务内容的期间,亦可视为提供其一免费的试用时间,在不当的用户由于本发明的机制而被排除在外无法登入后,如果觉得此网络服务值得花钱,亦可能选择循正常渠道付费使用稳定的网络服务,而达到极佳的广告效果。
附图说明
为让本发明的上述和其它目的、特征、优点能更明显易懂,以下将结合附图对本发明的较佳实施例进行说明,其中:
图1为本发明的一实施例中,一个网络认证系统的示意图;以及
图2为本发明的一实施例中,一个包容式金钥认证方法的流程图。
具体实施方式
请参照图1。图1为本发明的一实施例中,一个网络系统1的示意图。网络系统1包含用户端10、认证服务器12、网络服务服务器14以及讯息服务器16。
认证服务器12包含许多分别对应到一个用户的数据(未绘示),以在用户端10提供认证的数据时,可以进行检查,并于相符时使此用户端10通过认证,并由网络服务服务器14提供真正的网络服务。于本实施例中,网络服务可为提供影音串流的网络电视、提供实时电台音讯的网络电台、提供电子书、电子文件的电子阅读数据库或是提供实时线上新闻的电子新闻数据库。
对提供这些网络服务的业者来说,为保障用户的权益,必需设定严密的认证机制,以让真正的用户能够存取其所提供的服务,并避免骇客入侵、盗用帐号甚或窃取信息的情形发生。
以往的技术,为了执行严密的保护,将通过金钥认证的方式来进行用户的认证。举例来说,业者可提供以高复杂度运算方式产生金钥的硬件给用户,只有拥有可产生此唯一的金钥的硬件,才能够通过认证。然而,一方面,高复杂度运算方式需要经过耗时的开发过程,以避免为他人所破解。另一方面,不论如何复杂的运算方式,在科技的演进下,仍然有可能被破解。因此,如果所有业者都使用这样的金钥认证方式,在开发及维护系统的安全性上,将是成本上的一大负担。对于上述提供网络电视、网络电台、电子阅读数据库或电子新闻数据库等的业者来说,如果用户的认证数据短暂地被窃取,其损失仅是在相当短时间内为窃取者收看或收听上述的服务内容,因此,如果能提供一种包容式的金钥认证方法,以在低成本、低复杂度的运算下,即能有效地提供安全性高的认证机制,将是十分有利的。
请参照图2。图2为本发明的一实施例中,一个包容式金钥(密钥)认证方法的流程图。包容式金钥认证方法可应用于如图1所绘示的网络系统1。包容式金钥认证方法包括下列步骤(应了解到,在本实施方式中所提及的步骤,除特别叙明其顺序者外,均可依实际需要调整其前后顺序,甚至可同时或部分同时执行)。
于步骤201,由用户端10实时根据第一特征值产生第一金钥11,并传送第一金钥11至认证服务器12。
第一特征值于一实施例中可包含用户帐号以及第一随机数值。其中,用户帐号即为提供服务的业者所给予用户的帐号。第一随机数值则可由用户端10的随机数产生器(未绘示)来进行产生。于每次用户欲进行登入且未有异常的情形时,用户帐号及第一随机数值是固定不变的,并可储存于用户端10内的储存装置(未绘示)如硬盘或是通用串行总线硬盘中,以于欲产生第一金钥11时取出。
第一特征值还可包含用户端外部特征值。用户端外部特征值可为上述的第一金钥11产生时,可独立于用户端10的主机的任何信息,如日期信息、时间信息、地理区域信息、国别信息、网络相关信息或天气信息。举例来说,日期信息可为产生第一金钥11时的日期,如将2010年4月6日的数字部份撷取出,做为产生第一金钥11的依据。时间信息可为产生第一金钥11时的时间,如将15时37分35秒的数字部份撷取出,做为产生第一金钥11的依据。地理区域信息或国别信息可由用户端10的网络相关信息如网络通讯协议地址(Internet Protocol address;IP address)来判别,或是用户端10所通过的路由器地址、用户端10所使用的网络服务业者(Internet Service Provider;ISP)的信息来进行判别。而天气信息则可依据天气的型态进行编号,并要求用户于产生第一金钥11时输入,以做为产生第一金钥11的依据。
于另一实施例中,第一特征值可包含用户端内部特征值。用户端内部特征值可为上述的第一金钥11产生时,与用户端10的主机相关的任何信息,如用户端10的媒体存取控制地址、储存装置序号、计算机识别编号或储存目录信息。举例来说,媒体存取控制地址可为用户端10的主机中的网络卡上的信息。储存装置序号可为用以储存用户帐号或是随机数值的储存装置的序号。计算机识别编号可为用户端10所位于的主机的计算机编号或是主机名称。储存目录信息则可为上述储存装置存放用户帐号或是随机数值的目录。
因此,第一金钥11可以依需求对上述的数据排列组合而产生。举例来说,第一金钥11可根据用户帐号、日期信息及时间信息一同产生,亦可根据第一随机数值、用户端10的媒体存取控制地址的储存目录信息产生,还可由当天的天气及用户端10的储存装置序号产生。因此,在第一金钥11的产生上,可具有相当大的弹性,增加此第一金钥11的加密强度。
认证服务器12接收到第一金钥11后,将对认证服务器12内储存的数据与第一金钥11进行比对。首先于步骤202,认证服务器12将检查认证服务器12内是否有数据可供比对。当认证服务器12具有数据可供比对,将执行步骤203,以判断认证服务器内12储存的数据与第一金钥是否相符。
当认证服务器内12储存的数据与第一金钥相符时,执行步骤204,认证服务器12并不给予用户端回应,而要求网络服务服务器14提供网络服务13。
当认证服务器内12储存的数据与第一金钥并不相符时,执行步骤205,认证服务器12并不给予用户端回应。
而当步骤202中,认证服务器12的检查结果为认证服务器12中并无数据可供比对时,将执行步骤206,认证服务器12不给予用户端10回应,并要求讯息服务器14传送金钥重传信号15至用户端10。在用户端10接收到金钥重传信号15后,将执行步骤207,实时根据第二特征值产生第二金钥17,并传送第二金钥17至认证服务器12储存。
于一实施例中,第二特征值如同第一特征值,可包含用户帐号、第二随机数、用户端外部特征值及用户端内部特征值。其中第二随机数在认证服务器12接收金钥重传信号15后,将由随机数产生器重新产生而具有与第一随机数不同的值,因此,第二金钥17可至少因为第二随机数而与第一金钥11互异。更进一步地,认证服务器12可由于第二特征值中,部份用户端外部特征值及/或用户端内部特征值的不同,而增加与第一金钥11的互异性。
接着,认证服务器12于储存所接收的第二金钥17后,执行步骤204,不给予用户端10回应,并要求网络服务服务器14提供网络服务13。
上述的各步骤,于一实施例中,可均由用户端10的主机自动完成金钥的传送、金钥重传信号的接收、金钥的再次传送及认证过程,因此,用户本身可完全不需参与其过程。
需注意的是,于上述实施例中,认证服务器12是以“只进不出”的方式,仅接收来自用户端10的金钥,完全不直接回应,而分别在不同的情况,要求讯息服务器14或是网络服务服务器14对用户端10进行回应。因此,对认证服务器12来说,外部无法通过传送给认证服务器12以得到直接回应来窃取信息,因此认证服务器12的安全性将大幅提高。
于其它实施例中,讯息服务器14与认证服务器12亦可能为相同的服务器,而网络服务服务器14仍是与认证服务器12相独立。
然而,不当用户若无法从认证服务器12窃取信息,则可能由用户端10进行窃取。若不当用户通过一般的文件复制来复制用户端10中的信息,则由于文件产生日期、硬件装置均与用户端10并不相同的原因,其依第一特征值所产生的第一金钥,亦不可能与真正的用户相同,因此将通过步骤201至步骤203再到步骤205,而无法通过认证,并且认证服务器12也并不会因此做出回应。
如果所有的第一特征值、随机数值均被完全复制时,则不当用户将可通过完全相同的金钥循步骤201至步骤204符合认证。此时,业者可通过其它方式将不当用户排除。
于一实施例中,认证服务器12可检测用户异常状况,来清除对应用户端的数据。举例来说,如果窃取金钥者将复制的第一金钥转卖给许多人使用,则认证服务器12将可能检测到许多来自不同网络地址的同一用户帐号循上述的步骤201至步骤204登入,而判断此用户帐号已遭盗用,并进行清除。在进行清除后,第一个登入的第一金钥拥有者,不论是真正的用户或是购买复制的第一金钥的用户,都将由于认证服务器12未拥有其对应的信息,而被强制重新传送与第一金钥迥异的第二金钥。因此,此第一个登入的用户,将通过步骤206、步骤207及步骤205通过认证。在认证服务器12储存第二金钥后,唯有上述第一个登入的用户可以再次依据第二金钥(此时第二金钥已转换为第一金钥的角色)登入,而其它拥有原先的第一金钥者都将被排除在外。若此第一个登入的用户并非真正拥有此帐号的用户时,真正的用户亦将被排除在外。真正的用户在察觉无法登入时,即可通知业者,以使业者再次清除认证服务器12后,由真正的用户立即登入,并以再次新产生的第二金钥做为日后登入的第一金钥,则其它的不当用户则无法再行登入。
于另一实施例中,认证服务器12每隔一固定时间,如三周、三个月或是半年,即清除一次数据。如未受到帐号窃取,则真正的用户,在登入并重传第二金钥后,仍可通过认证,而并不受影响。如遭到帐号窃取,则不当用户即使如上所述,由于在数据清除后第一个登入而取得新的金钥,也将由于真正的用户与业者联系并产生新的金钥后而被排除在外。
上述产生金钥的特征值,可依需求而增减特征值及调整为不同种类特征值的排列组合。于一实施例中,用户端10亦可在每次产生新的金钥时,以不同种类的特征值来产生,增加金钥的安全性。并且,通过地理区域信息或国别信息等特征值,业者可限定特定区域的用户接收特定的服务,或是通过时间信息限定用户接收服务的时间,甚或通过天气信息或是其它可能的信息限定用户在限定的条件下才能接收服务等等,可提供对于用户服务上,一个有效的管理方式。
本实施例所述的包容式金钥认证方法,可包容不当用户在窃取认证数据后,于短时间内可登入,故名包容式。而其损失,仅是在此相当短时间内为窃取者收看或收听上述的服务内容。认证服务器或是真正的用户在察觉帐号被盗用后,可迅速清除数据以供真正的用户登入以获得新的金钥,以简单而有效的方式达到保护真正的用户的功效,故为具有低成本、低复杂度的运算的一包容式的金钥认证方法。并且,上述在不当的用户窃取认证数据后收收看或收听上述服务内容的期间,亦可视为提供其一免费的试用时间,在不当的用户由于本发明的机制而被排除在外无法登入后,如果觉得此网络服务值得花钱,亦可能选择循正常渠道付费使用稳定的网络服务,而达到极佳的广告效果。
虽然本发明已以实施方式揭露如上,然而其并非用以限定本发明,任何熟悉此技术者,在不脱离本发明的精神和范围内,当可作出各种等同的改变或替换,因此本发明的保护范围当视后附的本申请权利要求范围所界定的为准。
Claims (10)
1.一种包容式金钥认证方法,其特征在于,包含下列步骤:
由一用户端实时根据多个第一特征值产生一第一金钥;
传送该第一金钥至一认证服务器;
对该认证服务器内储存的数据与该第一金钥进行比对;
当该认证服务器内储存的数据与该第一金钥相符,该认证服务器不给予该用户端回应,并要求一网络服务服务器提供一网络服务;
当该认证服务器内储存的数据与该第一金钥不相符,该认证服务器不给予该用户端回应;以及
当该认证服务器内无数据可供比对,该认证服务器不给予该用户端回应,并要求一讯息服务器传送一金钥重传信号至该用户端,其中该讯息服务器与该认证服务器可为相同的服务器,亦可为相异的服务器,以使用户端实时根据多个第二特征值产生一第二金钥,并传送该第二金钥至该认证服务器储存,该认证服务器不给予该用户端回应,并要求该网络服务服务器提供该网络服务。
2.根据权利要求1所述的包容式金钥认证方法,其特征在于,所述这些第一特征值及所述这些第二特征值包含一用户端外部特征值。
3.根据权利要求2所述的包容式金钥认证方法,其特征在于,该用户端外部特征值是该第一金钥及该第二金钥产生时的一日期信息、一时间信息、一地理区域信息、一国别信息、一网络相关信息或一天气信息。
4.根据权利要求1所述的包容式金钥认证方法,其特征在于,所述这些第一特征值及所述这些第二特征值包含一用户端内部特征值。
5.根据权利要求4所述的包容式金钥认证方法,其特征在于,该用户端内部特征值是该用户端的一媒体存取控制地址、一储存装置序号、一计算机识别编号或一储存目录信息。
6.根据权利要求1所述的包容式金钥认证方法,其特征在于,所述这些第一特征值及所述这些第二特征值包含一用户帐号。
7.根据权利要求1所述的包容式金钥认证方法,其特征在于,所述这些第一特征值包含一第一随机数值,所述这些第二特征值包含一第二随机数值,是由一随机数产生器产生,且该随机数产生器于产生该第一金钥时,是使该第一随机数值维持于一定值,于产生该第二金钥时,使该第二随机数值异于该第一随机数值。
8.根据权利要求1所述的包容式金钥认证方法,其特征在于,该网络服务为一网络电视、一网络电台、一电子阅读数据库或一电子新闻数据库。
9.根据权利要求1所述的包容式金钥认证方法,其特征在于,当该认证服务器检测到一用户异常状况时,清除该认证服务器内储存对应该用户端的数据。
10.根据权利要求1所述的包容式金钥认证方法,其特征在于,该认证服务器是每隔一固定时间清除该认证服务器内储存的数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010200597.6A CN102271126B (zh) | 2010-06-03 | 2010-06-03 | 包容式金钥认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010200597.6A CN102271126B (zh) | 2010-06-03 | 2010-06-03 | 包容式金钥认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102271126A true CN102271126A (zh) | 2011-12-07 |
| CN102271126B CN102271126B (zh) | 2014-02-26 |
Family
ID=45053291
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010200597.6A Expired - Fee Related CN102271126B (zh) | 2010-06-03 | 2010-06-03 | 包容式金钥认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102271126B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1859101A (zh) * | 2006-05-29 | 2006-11-08 | 中国移动通信集团公司 | 触发用户密钥生成的方法 |
| CN1976278A (zh) * | 2005-11-29 | 2007-06-06 | 台湾积体电路制造股份有限公司 | 密码更新系统及方法 |
| JP2007156675A (ja) * | 2005-12-02 | 2007-06-21 | Fuji Xerox Co Ltd | ユーザ認証制御のためのプログラム、方法及びコンピュータシステム |
| CN101414905A (zh) * | 2007-10-17 | 2009-04-22 | 谢丹 | 多种选择性密码安全认证系统及其方法 |
| US20090147951A1 (en) * | 2007-12-05 | 2009-06-11 | Richard Lee-Chee Kuo | Method of handling security key change and related communication device |
| CN101512961A (zh) * | 2006-08-22 | 2009-08-19 | 诺基亚西门子通信有限责任两合公司 | 用于进行认证的方法 |
-
2010
- 2010-06-03 CN CN201010200597.6A patent/CN102271126B/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1976278A (zh) * | 2005-11-29 | 2007-06-06 | 台湾积体电路制造股份有限公司 | 密码更新系统及方法 |
| JP2007156675A (ja) * | 2005-12-02 | 2007-06-21 | Fuji Xerox Co Ltd | ユーザ認証制御のためのプログラム、方法及びコンピュータシステム |
| CN1859101A (zh) * | 2006-05-29 | 2006-11-08 | 中国移动通信集团公司 | 触发用户密钥生成的方法 |
| CN101512961A (zh) * | 2006-08-22 | 2009-08-19 | 诺基亚西门子通信有限责任两合公司 | 用于进行认证的方法 |
| CN101414905A (zh) * | 2007-10-17 | 2009-04-22 | 谢丹 | 多种选择性密码安全认证系统及其方法 |
| US20090147951A1 (en) * | 2007-12-05 | 2009-06-11 | Richard Lee-Chee Kuo | Method of handling security key change and related communication device |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102271126B (zh) | 2014-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101873331B (zh) | 一种安全认证方法和系统 | |
| CN101345743B (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
| CN104869102B (zh) | 基于xAuth协议的授权方法、装置和系统 | |
| WO2001031470A1 (en) | Efficient member authentication and authorization for a tree-based reliable multicast data distribution setup | |
| CN111031365B (zh) | 一种适用于云端广播电视网的用户认证系统 | |
| CN103414709A (zh) | 用户身份绑定、协助绑定的方法及装置 | |
| CN108881309A (zh) | 大数据平台的访问方法、装置、电子设备及可读存储介质 | |
| CN112613006B (zh) | 一种电力数据共享方法、装置、电子设备及存储介质 | |
| CN101715009A (zh) | 一种安全的地址分配方法、检测装置、设备和系统 | |
| CN113079000B (zh) | 一种基于可验证量子随机数的共识方法 | |
| CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
| CN108769029A (zh) | 一种对应用系统鉴权认证装置、方法及系统 | |
| CN107786515A (zh) | 一种证书认证的方法和设备 | |
| CN102377573A (zh) | 一种口令可安全更新的双因子身份认证方法 | |
| CN110321730A (zh) | 一种操作数据处理的方法、区块链节点及存储介质 | |
| WO2012126286A1 (zh) | 一种aaa服务器服务状态检测方法及系统 | |
| CN109818943A (zh) | 一种适用于低轨卫星物联网的认证方法 | |
| TWI422206B (zh) | 包容式金鑰認證方法 | |
| CN102685117A (zh) | 一种组播安全管理方法及装置 | |
| CN103532979A (zh) | CGI web界面下的多会话验证码的产生及验证方法 | |
| CN103179564B (zh) | 基于移动终端认证的网络应用登录方法 | |
| CN109067749A (zh) | 一种信息处理方法、设备及计算机可读存储介质 | |
| CN113194069B (zh) | 一种基于区块链的通讯溯源方法、通讯溯源装置及介质 | |
| CN102271126B (zh) | 包容式金钥认证方法 | |
| CN110035089A (zh) | 一种分布式系统的网络安全验证方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140226 Termination date: 20150603 |
|
| EXPY | Termination of patent right or utility model |