CN112069493A - 认证系统及认证方法 - Google Patents
认证系统及认证方法 Download PDFInfo
- Publication number
- CN112069493A CN112069493A CN202010488875.6A CN202010488875A CN112069493A CN 112069493 A CN112069493 A CN 112069493A CN 202010488875 A CN202010488875 A CN 202010488875A CN 112069493 A CN112069493 A CN 112069493A
- Authority
- CN
- China
- Prior art keywords
- controller
- application
- key
- file
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000003825 pressing Methods 0.000 claims abstract description 9
- 238000003860 storage Methods 0.000 claims description 98
- 238000010295 mobile communication Methods 0.000 claims description 74
- 238000012795 verification Methods 0.000 claims description 21
- 238000012790 confirmation Methods 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 18
- 238000012986 modification Methods 0.000 claims description 5
- 230000004048 modification Effects 0.000 claims description 5
- 101100042610 Arabidopsis thaliana SIGB gene Proteins 0.000 description 8
- 102100033472 Lysosomal-trafficking regulator Human genes 0.000 description 8
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 101100294408 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) MOT2 gene Proteins 0.000 description 5
- 101150117326 sigA gene Proteins 0.000 description 5
- 101001018064 Homo sapiens Lysosomal-trafficking regulator Proteins 0.000 description 4
- 101000667110 Homo sapiens Vacuolar protein sorting-associated protein 13B Proteins 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- JZPGURKWXUBQLP-UHFFFAOYSA-N 2-[[2-(2-methylpropylsulfanyl)-1,3-benzothiazol-6-yl]iminomethyl]phenol Chemical compound CC(C)CSC1=NC2=C(S1)C=C(C=C2)N=CC3=CC=CC=C3O JZPGURKWXUBQLP-UHFFFAOYSA-N 0.000 description 3
- TUMCWFMHZOUPDA-UHFFFAOYSA-N 2-ethylsulfanyl-1,3-benzothiazol-6-amine Chemical compound C1=C(N)C=C2SC(SCC)=NC2=C1 TUMCWFMHZOUPDA-UHFFFAOYSA-N 0.000 description 3
- 101100111638 Arabidopsis thaliana BIR2 gene Proteins 0.000 description 3
- 101100421503 Arabidopsis thaliana SIGA gene Proteins 0.000 description 3
- 102100021239 G protein-activated inward rectifier potassium channel 2 Human genes 0.000 description 3
- 101710158550 G protein-activated inward rectifier potassium channel 2 Proteins 0.000 description 3
- 101100473585 Arabidopsis thaliana RPP4 gene Proteins 0.000 description 2
- 101150085479 CHS2 gene Proteins 0.000 description 2
- 101100167214 Emericella nidulans (strain FGSC A4 / ATCC 38163 / CBS 112.46 / NRRL 194 / M139) chsA gene Proteins 0.000 description 2
- 101100377543 Gerbera hybrida 2PS gene Proteins 0.000 description 2
- 101100439693 Ustilago maydis (strain 521 / FGSC 9021) CHS4 gene Proteins 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/107—License processing; Key processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/48—Security arrangements using identity modules using secure binding, e.g. securely binding identity modules to devices, services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/04—Masking or blinding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Health & Medical Sciences (AREA)
- Power Engineering (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Telephonic Communication Services (AREA)
- Storage Device Security (AREA)
- Telephone Function (AREA)
Abstract
本发明提供一种认证系统及认证方法。认证系统的电子装置包括控制器、处理器及按键模块,其中处理器执行应用。于绑定阶段,应用根据密钥因素信息及选取策略产生摘要文件,并将摘要文件存储在电子装置的摘要表格中。于查验阶段,应用根据摘要文件以及密钥因素信息判断控制器是否对应绑定装置。若控制器对应至绑定装置,则于认证阶段,控制器反应于按键模块的按压而根据绑定装置对应的摘要文件与服务器装置进行通用第二因素服务的认证运作。
Description
技术领域
本发明涉及一种认证系统及认证方法,尤其涉及一种基于FIDO(Fast IdentityOnline Alliance)联盟所制订的通用第二因素(Universal 2nd Factor,U2F)协议而开发的认证系统及认证方法。
背景技术
随着网络技术快速的发展,许多的重要信息的传送、商业交易或是金融交易多仰赖网络来提供服务。为了提高网络使用上的安全性,许多网站开始支持通用第二因素(Universal 2nd Factor,U2F)协议的验证方式。然而,使用者必须额外购买一个特地针对通用第二因素协议所设计制造的实体密钥装置,方能通过计算机使用服务器网站所支持的通用第二因素协议的验证服务。如此一来,将会增加使用者的成本,从而降低使用者的使用意愿。
发明内容
有鉴于此,本发明提供一种认证系统及认证方法,不仅可让使用者使用网站所支持的通用第二因素协议的验证服务,更可降低使用者的使用成本,从而提高使用者的使用意愿。
本发明的认证系统包括电子装置。电子装置包括控制器、处理器及按键模块。控制器具有摘要表格。处理器耦接控制器,且用以执行应用。按键模块耦接控制器,且受控于控制器。于绑定阶段,应用根据密钥因素信息产生摘要文件,并将摘要文件存储在电子装置的摘要表格中。于查验阶段,应用根据摘要文件以及密钥因素信息判断控制器是否对应绑定装置。若控制器对应绑定装置,则于认证阶段,控制器反应于按键模块的按压而根据绑定装置对应的摘要文件而与服务器装置进行通用第二因素服务的认证运作。
本发明的认证方法包括以下步骤。于绑定阶段,通过电子装置的处理器所执行的应用根据密钥因素信息及选取策略产生摘要文件,并将摘要文件存储在电子装置的控制器的摘要表格中。于查验阶段,通过电子装置的应用根据摘要文件以及密钥因素信息判断控制器是否对应绑定装置。若控制器对应绑定装置,则于认证阶段,通过控制器反应于电子装置的按键模块的按压而根据绑定装置对应的摘要文件而与服务器装置进行通用第二因素服务的认证运作。
基于上述,本发明所提出的认证系统及认证方法,可让用户使用服务器装置所支持的通用第二因素协议的验证,以提高使用服务器装置服务的安全性。此外,本发明所提出的认证系统中的移动存储装置/移动通信装置可以是现有的任何类型的可携式存储装置/可携式通信装置,且认证方法可由电子装置执行,因此用户无须额外购买一个特地针对通用第二因素协议所设计制造的实体密钥装置。如此一来,可有效降低使用通用第二因素协议的验证的成本,从而提高使用者的使用意愿。
为让本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合所附附图作详细说明如下。
附图说明
下面的所附附图是本发明的说明书的一部分,示出了本发明的示例实施例,所附附图与说明书的描述一起说明本发明的原理。
图1是依照本发明一实施例所示出的认证系统的方块及应用示意图;
图2是依照本发明一实施例所示出的认证方法的步骤流程图;
图3是依照本发明一实施例所示出的电子装置的方块示意图;
图4是依照本发明一实施例所示出的图2的步骤S210的细节步骤流程图;
图5是依照本发明一实施例所示出的图2的步骤S220的细节步骤流程图;
图6是依照本发明另一实施例所示出的图2的步骤S210的细节步骤流程图;
图7是依照本发明另一实施例所示出的图2的步骤S220的细节步骤流程图;
图8是依照本发明一实施例的应用认证移动通信装置的细节步骤流程图;
图9是依照本发明一实施例的控制器认证应用的细节步骤流程图;
图10是依照本发明一实施例所示出的图2的步骤S240的细节步骤流程图;
图11是依照本发明一实施例所示出的图2的步骤S250的细节步骤流程图。
具体实施方式
现将详细地参考本发明的示范性实施例,示范性实施例的实例说明于附图中。只要有可能,相同元件符号在附图和描述中用来表示相同或相似部分。
为了使本发明的内容可以被更容易明了,以下特举实施例作为本发明确实能够据以实施的范例。另外,凡可能之处,在附图及实施方式中使用相同标号的组件/构件,系代表相同或类似部件。
图1是依照本发明一实施例所示出的认证系统的方块及应用示意图。请参照图1,认证系统100至少包括电子装置140,但在其他实施例中,认证系统100可以还包括移动存储装置120及移动通信装置130的其中之一。
移动存储装置120用以存储密钥识别文件KDF以作为实体密钥装置。电子装置140可用以与移动存储装置120相插接。电子装置140可根据移动存储装置120所存储的密钥识别文件KDF执行通用第二因素的相关运算,并且可反应于电子装置140的按键模块的按压启用服务器装置900所支持的通用第二因素协议的验证服务,以让电子装置140的用户可使用服务器装置900所支持的通用第二因素协议的验证服务。
移动通信装置130用以传送生物识别确认结果BIR,其中生物识别确认结果BIR例如脸部识别结果或指纹识别结果,但本发明实施例不以此为限。电子装置140用以与移动通信装置130以有线方式或无线方式相连接。电子装置140可根据移动通信装置130所提供的生物识别确认结果BIR执行通用第二因素的相关运算,并且可反应于电子装置140的按键模块的按压启用服务器装置900所支持的通用第二因素协议的验证服务,以让电子装置140的用户可使用服务器装置900所支持的通用第二因素协议的验证服务。
并且,在电子装置140未与外部电子装置(例如移动存储装置120及移动通信装置130)相连接的情况下,电子装置140可依据自身的信息执行通用第二因素的相关运算,并且可反应于电子装置140的按键模块的按压启用服务器装置900所支持的通用第二因素协议的验证服务,以让电子装置140的用户可使用服务器装置900所支持的通用第二因素协议的验证服务。
因此,即使用户于服务器装置900的登入账号及密码被他人取得,只要被绑定的接口实体装置(例如电子装置140)未被他人所取得,或者对应的认证实体装置(例如移动存储装置120及移动通信装置130)未被他人所取得,他人所输入的登入账号及密码便无法通过服务器装置900的通用第二因素协议的验证,故而无法登入此使用者的账号。
在本发明的一实施例中,移动存储装置120可例如是通用串行总线(USB)U盘或是USB卡片阅读机与存储卡的组合,移动通信装置130可例如是移动电话或平板计算机,但本发明不限于此。事实上,移动存储装置120可以是现有的任何类型的可携式存储装置,移动通信装置130可以是现有的任何类型的可携式通信装置,故而可降低使用者的使用成本。
在本发明的一实施例中,电子装置140可例如是笔记本计算机(notebookcomputer),但本发明不限于此。
在本发明的一实施例中,电子装置140可通过有线通信或无线通信的方式与服务器装置900进行通信。
在本发明的一实施例中,认证系统100的认证流程可包括绑定阶段、查验阶段以及认证阶段,但不限于此。于绑定阶段,可绑定用来执行的通用第二因素协议的验证的电子装置140,更可将移动存储装置120及移动通信装置130的其中之一与电子装置140绑定。当电子装置140与移动存储装置120相插接时,于绑定阶段,电子装置140可根据电子装置140的密钥因素信息KFI0产生密钥识别文件KDF,并将密钥识别文件KDF传送至移动存储装置120。此外,于绑定阶段,电子装置140可根据密钥识别文件KDF的文件状态及移动存储装置120的密钥因素信息KFI0产生摘要文件DGF,并将摘要文件DGF存储在电子装置140的控制器(稍后说明)中,其中控制器存储有摘要表格。如此一来,移动存储装置120与电子装置140通过密钥识别文件KDF以及摘要文件DGF而彼此绑定。
当电子装置140与移动通信装置130相连接时,于绑定阶段,移动通信装置130会提供第一公钥UK1及密钥因素信息KFI2至电子装置140,密钥因素信息KFI2例如移动通信装置130目前登入的账号(例如电子邮件地址(e-mail address))、移动通信装置130的国际移动装置识别(IMEI)码、目前用户身分模块(sim)卡的电话号码、以及移动通信装置130中的应用于绑定当下随机产生的信息码。此外,于绑定阶段,电子装置140可根据移动通信装置130的密钥因素信息KFI2及移动存储装置120的密钥因素信息KFI0产生摘要文件DGF,并将摘要文件DGF存储在电子装置140的摘要表格中。如此一来,移动通信装置130与电子装置140通过第一公钥UK1及摘要文件DGF而彼此绑定。
当电子装置140未与外部电子装置相连接时,于绑定阶段,电子装置140可根据其密钥因素信息KFI0产生摘要文件DGF,并将摘要文件DGF存储在电子装置140的摘要表格中,以假装与虚拟装置绑定。
另外,当电子装置140与移动存储装置120相插接时,于查验阶段,电子装置140可查验移动存储装置120与电子装置140是否彼此绑定。详细来说,电子装置140可自移动存储装置120读取密钥识别文件KDF,且根据摘要文件DGF以及电子装置140的密钥因素信息KFI0查验移动存储装置120中的密钥识别文件KDF是否有效。若电子装置140查验密钥识别文件KDF为有效,表示移动存储装置120与电子装置140已彼此绑定,亦即判定电子装置140是对应至绑定装置(亦即移动存储装置120),则于认证阶段,电子装置140可根据对应于密钥识别文件KDF的摘要文件DGF而与服务器装置900进行通用第二因素服务的认证运作。
当电子装置140与移动通信装置130相连接时,于查验阶段,电子装置140可验证移动通信装置130与电子装置140是否彼此绑定。详细来说,移动通信装置130可自电子装置140接收第一认证询问CHS1,且根据第一认证询问CHS1回传第一签章SIG1至电子装置140,电子装置140确认第一签章SIG1是否与第一公钥UK1对应而确认移动通信装置130是否为绑定装置。若移动通信装置130为绑定装置,电子装置140可根据对应于移动通信装置130的摘要文件DGF而与服务器装置900进行通用第二因素服务的认证运作。
当电子装置140未与外部电子装置相连接时,于查验阶段,电子装置140可根据密钥因素信息KFI0确认电子装置140是否对应至绑定装置(在此为虚拟装置)。一般而言,电子装置140会被确认为与绑定装置对应,接着电子装置140可根据摘要文件DGF而与服务器装置900进行通用第二因素服务的认证运作。
在本发明的一实施例中,认证系统100的认证流程还可包括注册阶段。详细来说,若电子装置140确认为与绑定装置对应,则于注册阶段,电子装置140可根据对应的摘要文件DGF向服务器装置900作通用第二因素服务的注册。只要电子装置140根据摘要文件DGF完成向服务器装置900作通用第二因素服务的注册,则于认证阶段,电子装置140根据对应的摘要文件DGF向服务器装置900进行通用第二因素服务的认证即可通过。
图2是依照本发明一实施例所示出的认证方法的步骤流程图。请合并参照图1及图2,本范例实施例的认证方法包括如下步骤。首先,不论移动存储装置120是否被插接至电子装置140或移动通信装置130是否与电子装置140连接,用户都可决定是否要让电子装置140是否与外部装置(如移动存储装置120或移动通信装置130)或虚拟设备彼此绑定,如步骤S200所示。若步骤S200的决定结果为是,则执行步骤S210,否则执行步骤S220。在步骤S210所示的绑定阶段,通过电子装置140的应用根据密钥因素信息KFI0(或者更与密钥因素信息KFI1及KFI2的其中之一)及选取策略SEP产生摘要文件DGF,并将摘要文件DGF及选取策略SEP存储在电子装置140的控制器中的摘要表格。
另外,于步骤S220所示的查验阶段,通过电子装置140的应用根据摘要文件DGF以及密钥因素信息KFI0、KFI1及KFI2的其中之一判断电子装置140的控制器是否对应绑定装置。若电子装置140的控制器对应至绑定装置,则决定是否向服务器装置900作通用第二因素服务的注册,如步骤S230所示。若步骤S230的决定结果为是,则于步骤S240所示的注册阶段,通过电子装置140根据摘要文件DGF向服务器装置900作通用第二因素服务的注册。若步骤S230的决定结果为否,则于步骤S250所示的认证阶段,通过电子装置140的控制器反应于电子装置140的按键模块的按压而根据绑定装置的摘要文件DGF而与服务器装置900进行通用第二因素服务的认证运作。
图3是依照本发明一实施例所示出的电子装置的方块示意图。请参照图3,电子装置140可包括控制器141、处理器142以及按键模块144,但本发明不限于此。控制器141可包括存储件143且具有标识符SN。按键模块144耦接控制器141,且受控于控制器141。处理器142耦接控制器141。处理器142可执行应用AP,并且通过应用AP执行图2的步骤S210及S220,且控制器141可通过其固件执行图2的步骤S240及S250。
在本发明的一实施例中,处理器142可例如是中央处理单元(Central ProcessUnit,CPU),但本发明不限于此。
在本发明的一实施例中,控制器141可例如是微控制器(microcontroller),但本发明不限于此。
在本发明的一实施例中,存储件143可例如是串行外设接口(Serial PeripheralInterface,SPI)闪存存储器(Flash memory),但本发明不限于此。
在本发明的一实施例中,电子装置140还可包括通信模块。通信模块耦接控制器141。控制器141可通过通信模块与服务器装置900进行通信。
图4是依照本发明一实施例所示出的图2的步骤S210(即绑定阶段)的细节步骤流程图。请合并参照图1、图3及图4,其中电子装置140的密钥因素信息KFI0可包括控制器141的标识符SN、上述应用的标识符AP以及电子装置140的登入账号LID,但本发明不限于此。如图4所示,步骤S210可包括细节步骤S2100、S2102、S2104、S2106、S2108。首先,于步骤S2100中,处理器142的应用AP可根据控制器141的标识符SN、应用AP的标识符SAP以及电子装置140的登入账号LID进行哈希(Hashing)运算以产生密钥识别文件KDF。接着,于步骤S2102中,处理器142的应用AP可将密钥识别文件KDF传送至移动存储装置120。
在本发明的一实施例中,控制器141的标识符SN可例如是控制器141的制造编号,其乃是只读的且是唯一的,用以识别控制器141,但本发明不限于此。在本发明的一实施例中,上述应用AP的标识符SAP可例如是全局唯一识别元(Globally Unique Identifier,GUID),但本发明不限于此。在本发明的一实施例中,电子装置140的登入账号LID可例如是电子装置140的操作系统的登入账号,但本发明不限于此。
由于移动存储装置120中的密钥识别文件KDF与控制器141的标识符SN、应用AP的标识符SAP以及电子装置140的登入账号LID有关,因此即使移动存储装置120被窃取,移动存储装置120中的密钥识别文件KDF也无法在其他电子装置上使用。这是因为其他电子装置的控制器标识符及应用的标识符与原先电子装置140的控制器标识符SN及应用AP的标识符SAP并不相同,且其他电子装置的登入账号与原先的电子装置140的登入账号LID也可能不同,因此移动存储装置120中的密钥识别文件KDF在其他电子装置会被认定为无效。如此一来,可提升认证系统100的安全性。
另外,于步骤S2104中,处理器142的应用AP可随机产生选取策略SEP。接着,于步骤S2106中,处理器142的应用AP可根据选取策略SEP选择密钥识别文件KDF的文件状态以及移动存储装置120的密钥因素信息KFI1至少其中之一进行哈希运算以产生摘要文件DGF。之后,于步骤S2108中,处理器142可将摘要文件DGF以及对应的选取策略SEP存储在存储件143的加密存储区1432中的摘要表格。
更进一步来说,密钥识别文件KDF的文件状态可包括该密钥识别文件KDF的建立日期、修改日期、存取日期、文件群集(cluster)的起始位置以及文件群集的个数至少其中之一。另外,移动存储装置120的密钥因素信息KFI1可包括移动存储装置120的供货商标识符、移动存储装置120的产品标识符以及移动存储装置120的剩余存储空间大小至少其中之一。
举例来说,若处理器142的应用AP随机产生的选取策略SEP为密钥识别文件KDF的建立日期、移动存储装置120的剩余存储空间大小以及密钥识别文件KDF的文件群集的个数,则处理器142的应用AP将选取密钥识别文件KDF的建立日期、移动存储装置120的剩余存储空间大小以及密钥识别文件KDF的文件群集的个数进行哈希运算以产生摘要文件DGF,并将摘要文件DGF以及对应的选取策略SEP存储在存储件143的加密存储区1432。
可以理解的是,由于用以产生摘要文件DGF的选取策略SEP是由处理器142的应用AP所随机产生,且处理器142所产生的摘要文件DGF及摘要文件DGF的选取策略SEP被存储在加密存储区1432,因此他人并无法得知对应于密钥识别文件KDF的摘要文件DGF的内容为何,亦无法得知摘要文件DGF是如何产生的(因无法得知摘要文件DGF的选取策略SEP),故而可防止摘要文件DGF被他人复制。另外,即使密钥识别文件KDF被窃取并复制至另一移动存储装置,但复制后的密钥识别文件与原先的密钥识别文件的建立日期、修改日期、存取日期及文件群集的起始位置皆不相同,且另一移动存储装置与原先的移动存储装置的供货商标识符、产品标识符以及剩余存储空间大小也不可能完全相同,因此在查验阶段,处理器142的应用AP可根据摘要文件DGF及选取策略SEP而查验出复制后的密钥识别文件为无效。如此一来,可提升认证系统100的安全性。
附带一提的是,移动存储装置120可与多个不同的电子装置绑定,因此,移动存储装置120中可存有一至多个密钥识别文件,其中此些密钥识别文件分别对应于不同的电子装置、或是不同的登入账号、或是不同的电子装置及不同的登入账号。类似地,电子装置140可与多个不同的移动存储装置绑定,因此,加密存储区1432中所存储的摘要文件及其选取策略的组合的数量可为一个或是多个,其中此些摘要文件分别对应于不同的密钥识别文件。
图5是依照本发明一实施例所示出的图2的步骤S220(即查验阶段)的细节步骤流程图。请合并参照图1、图3及图5。如图5所示,当电子装置140与移动存储装置120相插接时,步骤S220包括细节步骤S2201~S2205。首先,于步骤S2201,处理器142的应用AP检查移动存储装置120是否存有密钥识别文件KDF。在本发明的一实施例中,处理器142的应用AP可根据移动存储装置120中所存储的文件的档名或扩展名来判断其是否为密钥识别文件KDF,但本发明不限于此。若步骤S2201的检查结果为否,表示移动存储装置120中并未存有密钥识别文件KDF,则处理器142的应用AP判断查验失败,如步骤S2205所示,并结束查验。若步骤S2201的检查结果为是,表示移动存储装置120中存有密钥识别文件KDF,则执行步骤S2202。
于步骤S2202中,处理器142的应用AP可根据加密存储区1432中的摘要文件DGF的选取策略SEP来检查密钥识别文件KDF是否对应于摘要文件DGF。若步骤S2202的检查结果为否,表示移动存储装置120中的密钥识别文件KDF并非对应于加密存储区1432中的摘要文件DGF,则处理器142判断查验失败,亦即控制器141未对应至绑定装置,如步骤S2205所示,并结束查验。若步骤S2302的检查结果为是,表示移动存储装置120中的密钥识别文件KDF对应于加密存储区1432中的摘要文件DGF,亦即控制器141对应至绑定装置,则执行步骤S2203。
举例来说,假设移动存储装置120中存有密钥识别文件KDF,且加密存储区1432中存有第一摘要文件及其第一选取策略以及第二摘要文件及其第二选取策略。首先,处理器142的应用AP可根据加密存储区1432中的第一选取策略选择密钥识别文件KDF的文件状态以及移动存储装置120的密钥因素信息KFI1至少其中之一进行哈希运算以产生一第一比对文件,并判断第一比对文件与第一摘要文件是否相同。若第一比对文件与第一摘要文件相同,表示移动存储装置120中的密钥识别文件KDF对应于加密存储区1432中的第一摘要文件,则执行步骤S2203。
若第一比对文件与第一摘要文件不同,表示移动存储装置120中的密钥识别文件KDF并非对应于加密存储区1432中的第一摘要文件,则处理器142可再根据加密存储区1432中的第二选取策略选择密钥识别文件KDF的文件状态以及移动存储装置120的密钥因素信息KFI1至少其中之一进行哈希运算以产生一第二比对文件,并判断第二比对文件与第二摘要文件是否相同。
若第二比对文件与第二摘要文件相同,表示移动存储装置120中的密钥识别文件KDF对应于加密存储区1432中的第二摘要文件,则执行步骤S2203。若第二比对文件与第二摘要文件不同,表示移动存储装置120中的密钥识别文件KDF并非对应于加密存储区1432中的第一摘要文件及第二摘要文件,则处理器142的应用AP判断查验失败(即密钥识别文件KDF为无效),如步骤S2205所示,并结束查验。
于步骤S2203中,处理器142的应用AP可根据控制器141的标识符SN、应用AP的标识符SAP以及电子装置140的登入账号LID进行哈希运算以检验密钥识别文件KDF是否正确。若步骤S2203的检验结果为否,则处理器142的应用AP判断查验失败(即密钥识别文件KDF为无效),如步骤S2205所示,并结束查验。若步骤S2203的检验结果为是,则处理器142判断密钥识别文件KDF为有效,如步骤S2204所示,并进入步骤S230。
图6是依照本发明另一实施例所示出的图2的步骤S210的细节步骤流程图。请合并参照图1、图3及图6。如图6所示,当电子装置与移动通信装置130相连接时,步骤S210包括细节步骤S2100a、S2102a,此时电子装置140与移动通信装置130是执行非对称式认证及非对称式加密传输。。首先,于步骤S2100a中,于绑定阶段,处理器142的应用AP等待移动通信装置130的第一生物识别确认结果BIR1。于步骤S2102a中,当第一生物识别确认结果BIR1为通过时,处理器142的应用AP自移动通信装置130接收密钥因素信息KFI2后,将密钥因素信息KFI2传送至控制器141,以产生摘要文件DFG。
图7是依照本发明另一实施例所示出的图2的步骤S220的细节步骤流程图。请合并参照图1、图3及图7。如图7所示,当电子装置140与移动通信装置130相连接时,步骤S220包括细节步骤S2200a、S2202a,此时电子装置140与移动通信装置130是执行非对称式认证及对称式加密传输。首先,于步骤S2200a中,于查验阶段,处理器142的应用AP等待移动通信装置130的第二生物识别确认结果BIR2。于步骤S2202a中,当第二生物识别确认结果BIR2为通过时,处理器142的应用AP自移动通信装置130接收密钥因素信息KFI2后,将密钥因素信息KFI2传送至控制器141,以确认控制器141是否对应绑定装置。
在本发明实施例中,在处理器142的应用AP等待移动通信装置130的第一生物识别确认结果BIR1或第二生物识别确认结果BIR2的时间中,移动通信装置130产生第一公钥UK1及第一私钥IK1,并且处理器142的应用AP向移动通信装置130请求第一公钥UK1、生物识别状态BIS以及密钥因素信息KFI2,其中应用存储第一公钥UK1。在处理器142的应用AP将密钥因素信息KFI2传送至控制器141之前,处理器142的应用产生第二公钥UK2及第二私钥IK2,并且第二公钥传UK2送至控制器141,以使控制器141存储第二公钥UK2。
图8是依照本发明一实施例的应用认证移动通信装置的细节步骤流程图。请合并参照图1、图3及图8。如图8所示,当处理器142的应用AP认证移动通信装置130时,移动通信装置130取得来自处理器142的应用AP的第一认证询问CHS1,移动通信装置130反应于第一认证询问CHS1而依据第一私钥IK1产生第一签章SIG1,且移动通信装置130回传第一签章SIG1至处理器142的应用AP。处理器142的应用AP通过移动通信装置130所传送的第一公钥UK1来核对第一签章SIG1是否正确,藉此来对移动通信装置130进行认证。
图9是依照本发明一实施例的控制器认证应用的细节步骤流程图。请合并参照图1、图3及图9。如图9所示当控制器141认证处理器142的应用AP时,处理器142的应用AP取得来自控制器141的第二认证询问CHS2,处理器142的应用AP反应于第二认证询问CHS2而依据第二私钥IK2产生第二签章SIG2,且处理器142的应用AP回传第二签章SIG2至控制器141。控制器141通过处理器142的应用AP所传送的第二公钥UK2来核对第二签章SIG2是否正确,藉此来对处理器142的应用AP进行认证。
在本发明的实施例中,电子装置140可以不与外部电子装置相连接而启用通用第二因素的验证。在电子装置140可以未与外部电子装置相连接时,于绑定阶段中,亦即步骤S210中,处理器142的应用AP根据电子装置140的密钥因素信息KFI0及取策略SEP产生摘要文件DGF。于查验阶段,亦即步骤S220中,处理器142的应用AP根据摘要文件DGF以及电子装置140的密钥因素信息KFI0判断控制器141是否对应至绑定装置。
图10是依照本发明一实施例所示出的图2的步骤S240(即注册阶段)的细节步骤流程图。请合并参照图1、图3及图10。如图10所示,步骤S240包括细节步骤S2400、S2402、S2404、S2406。首先,于步骤S2400,控制器141可将使用者所输入的用于登入服务器装置900的账号及密码传送至服务器装置900。然后,于步骤S2402,控制器141可自服务器装置900取得对应的服务器标识符SVID,且控制器141可自处理器142取得对应于绑定装置的摘要文件DGF。接着,于步骤S2404,控制器141根据随机数RNB、服务器标识符SVID以及摘要文件DGF进行哈希运算以产生信息标识符MAC以及公钥(Public Key)UK。
详细来说,步骤S2404可包括细节步骤S642、S644。首先,于步骤S642,控制器141可根据随机数RNB、服务器标识符SVID以及摘要文件DGF进行哈希运算以产生私钥(PrivateKey)IK及公钥UK。接着,于步骤S644,控制器141可根据私钥IK、服务器标识符SVID以及摘要文件DGF进行哈希运算以产生信息标识符MAC。
之后,于步骤S2406,控制器141可将随机数RNB、信息标识符MAC以及公钥UK传送至服务器装置900,以向服务器装置900作通用第二因素服务的注册。如此一来,服务器装置900即可将上述用于登入服务器装置900的账号及密码对应至公钥UK,并完成注册。
在本发明的一实施例中,上述所提到的哈希运算可采用现有的哈希运算法来进行运算,例如安全哈希算法(Secure Hash Algorithm,SHA)等等,但本发明不限于此,端视实际应用或设计需求而定。
图11是依照本发明一实施例所示出的图2的步骤S250(即认证阶段)的细节步骤流程图。请合并参照图1、图3及图11。如图11所示,步骤S250包括细节步骤S2500、S2502、S2504、S2506。首先,于步骤S2500,控制器141可将使用者所输入的用于登入服务器装置900的账号及密码传送至服务器装置900,致使服务器装置900可根据上述账号及密码查找对应的公钥UK及送出认证询问CHS。然后,于步骤S2502,控制器141可取得来自服务器装置900的认证询问CHS。接着,于步骤S2504,控制器141可反应于认证询问CHS而依据私钥IK产生签章SIG。
在本发明的一实施例中,步骤S2504可包括细节步骤S752、S754、S756。首先,于步骤S752,控制器141可判断电子装置140的按键模块144的一特定按键是否有被按压。若步骤S752的判断结果为否,表示用户可能并非位于电子装置140的外围或用户并未使用电子装置140,则于步骤S756中,控制器141将不产生签章SIG。若步骤S752的判断结果为是,表示用户确实位于电子装置140的外围且正在使用电子装置140,则控制器141反应于认证询问CHS而依据私钥IK产生签章SIG,如步骤S754所示。在本发明的一实施例中,若控制器141未在一特定时间区间内回传签章SIG至服务器装置900,则上述用于登入服务器装置900的账号及密码将无法通过服务器装置900的通用第二因素协议的认证,且服务器装置900将会发出通用第二因素认证失败的信息给电子装置140。
之后,于步骤S2506,控制器141回传签章SIG至服务器装置900,致使服务器装置900根据签章SIG及公钥UK(即对应于上述用于登入服务器装置900的账号及密码的公钥)进行通用第二因素服务的认证。详细来说,服务器装置900可根据公钥UK来检验签章SIG是否有效。若服务器装置900检验签章SIG为有效,则上述用于登入服务器装置900的账号及密码便通过了服务器装置900的通用第二因素协议的认证,因此用户可开始使用服务器装置900所提供的在线服务。
依据上述,当电子装置140与移动存储装置120相插接时,控制器141会对处理器142的应用AP进行确认。在应用AP通过确认后,控制器141接着对移动存储装置120进行确认。在移动存储装置120通过确认后,控制器141才会启用通用第二因素服务的认证运作。当电子装置140与移动通信装置130相连接时,处理器142的应用AP会对移动通信装置130进行确认。在移动通信装置130通过确认后,控制器141接着会对处理器142的应用AP进行确认。在应用AP通过确认后,控制器141再对移动通信装置130进行确认。在移动通信装置130通过确认后,控制器141才会启用通用第二因素服务的认证运作。
综上所述,本发明实施例所提出的认证系统及认证方法,可让用户使用服务器装置所支持的通用第二因素协议的验证,以提高使用服务器装置服务的安全性。此外,由于本发明实施例所提出的认证系统中的移动存储装置/移动通信装置可以是现有的任何类型的可携式存储装置/可携式通信装置,且认证方法可由电子装置中的处理器及控制器分别通过应用及固件来执行,因此使用者无须额外购买一个特地针对通用第二因素协议所设计制造的实体密钥装置。如此一来,可有效降低使用通用第二因素协议的验证的成本,从而提高使用者的使用意愿。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (33)
1.一种认证系统,其特征在于,包括:
电子装置,包括:
控制器,具有摘要表格;
处理器,耦接所述控制器,且用以执行应用;以及
按键模块,耦接所述控制器,且受控于所述控制器,
其中于绑定阶段,所述应用根据密钥因素信息及选取策略产生摘要文件,并将所述摘要文件及所述选取策略存储在所述摘要表格中,
其中于查验阶段,所述应用根据所述摘要文件以及所述密钥因素信息判断所述控制器是否对应绑定装置,
当所述控制器对应所述绑定装置,则所述控制器反应于所述按键模块的按压而根据所述绑定装置对应的所述摘要文件而与服务器装置进行通用第二因素服务的认证运作。
2.根据权利要求1所述的认证系统,其特征在于,若所述控制器对应所述绑定装置,则于注册阶段,所述控制器根据所述摘要文件而向所述服务器装置作所述通用第二因素服务的注册。
3.根据权利要求1所述的认证系统,其特征在于,所述电子装置与移动存储装置相插接,
其中于所述绑定阶段,所述应用根据所述电子装置的所述密钥因素信息进行哈希运算以产生密钥识别文件,并将所述密钥识别文件传送至所述移动存储装置,且所述应用随机产生所述选取策略,并根据所述选取策略选择所述密钥识别文件的所述文件状态以及所述移动存储装置的所述密钥因素信息的至少其中一者进行哈希运算以产生所述摘要文件。
4.根据权利要求3所述的认证系统,其特征在于,所述电子装置的所述密钥因素信息包括所述控制器的标识符、应用的标识符以及所述电子装置的登入账号,所述文件状态包括所述密钥识别文件的建立日期、修改日期、存取日期、文件群集的起始位置以及文件群集的个数至少其中一者,且所述移动存储装置的所述密钥因素信息包括所述移动存储装置的供货商标识符、产品标识符以及剩余存储空间大小至少其中一者。
5.根据权利要求4所述的认证系统,其特征在于,于所述查验阶段:
所述应用检查所述移动存储装置是否存有所述密钥识别文件以得到第一结果,
若所述第一结果为是,则所述应用根据所述选取策略检查所述密钥识别文件是否对应于所述摘要文件以得到第二结果,
若所述第二结果为是,则所述应用根据所述控制器的所述标识符、所述应用的所述标识符以及所述电子装置的所述登入账号进行哈希运算以检验所述密钥识别文件是否正确以得到第三结果,
若所述第三结果为是,则所述应用判断所述控制器对应所述绑定装置。
6.根据权利要求1所述的认证系统,其特征在于,所述电子装置与移动通信装置相连接,其中于所述绑定阶段,所述应用等待所述移动通信装置的第一生物识别确认结果,并且
当所述第一生物识别确认结果为通过时,所述应用自所述移动通信装置接收所述密钥因素信息后,将所述密钥因素信息传送至所述控制器,以产生所述摘要文件。
7.根据权利要求6所述的认证系统,其特征在于,于所述查验阶段,所述应用等待所述移动通信装置的第二生物识别确认结果,并且
当所述第二生物识别确认结果为通过时,所述应用自所述移动通信装置接收所述密钥因素信息后,将所述密钥因素信息传送至所述控制器,以确认所述控制器是否对应所述绑定装置。
8.根据权利要求7所述的认证系统,其特征在于,在所述应用等待所述移动通信装置的所述第一生物识别确认结果或所述第二生物识别确认结果的时间中,所述移动通信装置产生第一公钥及第一私钥,并且所述应用向所述移动通信装置请求所述第一公钥、生物识别状态以及所述密钥因素信息,其中所述应用存储所述第一公钥,
其中,在所述应用将所述密钥因素信息传送至所述控制器之前,所述应用产生第二公钥及第二私钥,并且所述第二公钥传送至所述控制器,以使所述控制器存储所述第二公钥。
9.根据权利要求8所述的认证系统,其特征在于,当所述应用认证所述移动通信装置时,所述移动通信装置取得来自所述应用的第一认证询问,所述移动通信装置反应于所述第一认证询问而依据所述第一私钥产生第一签章,且所述移动通信装置回传所述第一签章至所述应用。
10.根据权利要求8所述的认证系统,其特征在于,当所述控制器认证所述应用时,所述应用取得来自所述控制器的第二认证询问,所述应用反应于所述第二认证询问而依据所述第二私钥产生第二签章,且所述应用回传所述第二签章至所述控制器。
11.根据权利要求1所述的认证系统,其特征在于,所述电子装置未与外部电子装置相连接,其中于所述绑定阶段,所述应用根据所述电子装置的所述密钥因素信息及所述取策略产生所述摘要文件,
其中于所述查验阶段,所述应用根据所述摘要文件以及所述电子装置的所述密钥因素信息判断所述控制器是否对应所述绑定装置。
12.根据权利要求11所述的认证系统,其特征在于,所述电子装置的所述密钥因素信息包括所述控制器的标识符、应用的标识符以及所述电子装置的登入账号。
13.根据权利要求2所述的认证系统,其特征在于,于所述注册阶段:
所述控制器将用于登入所述服务器装置的账号及密码传送至所述服务器装置,所述控制器分别自所述服务器装置以及所述处理器取得服务器标识符以及所述摘要文件,所述控制器根据随机数、所述服务器标识符以及所述摘要文件进行哈希运算以产生信息标识符以及公钥,且所述控制器将所述随机数、所述信息标识符以及所述公钥传送至所述服务器装置,以向所述服务器装置作所述通用第二因素服务的注册。
14.根据权利要求13所述的认证系统,其特征在于,于所述注册阶段,所述控制器根据所述随机数、所述服务器标识符以及所述摘要文件进行哈希运算以产生私钥及所述公钥,且所述控制器根据所述私钥、所述服务器标识符以及所述摘要文件进行哈希运算以产生所述信息标识符。
15.根据权利要求14所述的认证系统,其特征在于,于所述认证阶段:
所述控制器将用于登入所述服务器装置的账号及密码传送至所述服务器装置,所述控制器取得来自所述服务器装置的认证询问,所述控制器反应于所述认证询问而依据所述私钥产生签章,且所述控制器回传所述签章至所述服务器装置,致使所述服务器装置根据所述签章及所述公钥进行所述通用第二因素服务的认证。
16.根据权利要求14所述的认证系统,其特征在于,在所述认证阶段,所述控制器判断所述按键模块的按键是否被按压以得到判断结果,若所述判断结果为是,则所述控制器反应于所述认证询问而依据所述私钥产生所述签章。
17.根据权利要求1所述的认证系统,其特征在于,所述控制器具有存储件,用以存储所述摘要表格。
18.一种认证方法,其特征在于,包括:
在绑定阶段,通过电子装置的处理器所执行的应用根据密钥因素信息及选取策略产生摘要文件,并将所述摘要文件存储在所述电子装置的控制器的摘要表格中;
在查验阶段,通过所述电子装置的所述应用根据所述摘要文件以及所述密钥因素信息判断所述控制器是否对应绑定装置;以及
若所述控制器对应所述绑定装置,则于认证阶段,通过所述控制器反应于所述电子装置的按键模块的按压而根据所述绑定装置对应的所述摘要文件而与服务器装置进行通用第二因素服务的认证运作。
19.根据权利要求18所述的认证方法,其特征在于,还包括:
若所述控制器对应所述绑定装置,则于注册阶段,通过所述控制器根据所述摘要文件而向所述服务器装置作所述通用第二因素服务的注册。
20.根据权利要求18所述的认证方法,其特征在于,所述电子装置与移动存储装置相插接,并且根据所述密钥因素信息及所述选取策略产生所述摘要文件的步骤包括:
通过所述应用根据所述电子装置的所述密钥因素信息进行哈希运算以产生密钥识别文件,
通过所述应用随机产生所述选取策略;以及
通过所述应用根据所述选取策略选择所述密钥识别文件的所述文件状态以及所述移动存储装置的所述密钥因素信息至少其中一者进行哈希运算以产生所述摘要文件。
21.根据权利要求20所述的认证方法,其特征在于,所述电子装置的所述密钥因素信息包括所述控制器的标识符、所述应用的标识符以及所述电子装置的登入账号,所述文件状态包括所述密钥识别文件的建立日期、修改日期、存取日期、文件群集的起始位置以及文件群集的个数至少其中一者,且所述移动存储装置的所述密钥因素信息包括所述移动存储装置的供货商标识符、产品标识符以及剩余存储空间大小至少其中一者。
22.根据权利要求21所述的认证方法,其特征在于,根据所述摘要文件以及所述电子装置的所述密钥因素信息查验所述控制器是否对应所述绑定装置的步骤包括:
通过所述应用检查所述移动存储装置是否存有所述密钥识别文件以得到第一结果;
若所述第一结果为是,则通过所述应用根据所述选取策略检查所述密钥识别文件是否对应于所述摘要文件以得到第二结果;
若所述第二结果为是,则通过所述应用根据所述控制器的所述标识符、所述应用的所述标识符以及所述电子装置的所述登入账号进行哈希运算以检验所述密钥识别文件是否正确以得到第三结果;以及
若所述第三结果为是,则通过所述应用判断所述控制器对应所述绑定装置。
23.根据权利要求18所述的认证方法,其特征在于,所述电子装置与移动通信装置相连接,所述认证方法还包括:
于所述绑定阶段,所述应用等待所述移动通信装置的第一生物识别确认结果;以及
当所述第一生物识别确认结果为通过时,所述应用自所述移动通信装置接收所述密钥因素信息后,将所述密钥因素信息传送至所述控制器,以产生所述摘要文件。
24.根据权利要求23所述的认证方法,其特征在于,还包括:
于所述查验阶段,所述应用等待所述移动通信装置的第二生物识别确认结果;以及
当所述第二生物识别确认结果为通过时,所述应用自所述移动通信装置接收所述密钥因素信息后,将所述密钥因素信息传送至所述控制器,以确认所述控制器是否对应所述绑定装置。
25.根据权利要求24所述的认证方法,其特征在于,还包括:
在所述应用等待所述移动通信装置的所述第生物识别确认结果或所述第二生物识别确认结果的时间中,所述移动通信装置产生第一公钥及第一私钥,并且所述应用向所述移动通信装置请求所述第一公钥、生物识别状态以及所述密钥因素信息,其中所述应用存储所述第一公钥;以及
在所述应用将所述密钥因素信息传送至所述控制器之前,所述应用产生第二公钥及第二私钥,并且所述第二公钥传送至所述控制器,以使所述控制器存储所述第二公钥。
26.根据权利要求25所述的认证方法,其特征在于,还包括:
当所述应用认证所述移动通信装置时,所述移动通信装置取得来自所述应用的第一认证询问;以及
由所述移动通信装置反应于所述第一认证询问而依据所述第一私钥产生第一签章,且所述移动通信装置回传所述第一签章至所述应用。
27.根据权利要求25所述的认证方法,其特征在于,还包括:
当所述控制器认证所述应用时,所述应用取得来自所述控制器的第二认证询问;以及
由所述应用反应于所述第二认证询问而依据所述第二私钥产生第二签章,且所述应用回传所述第二签章至所述控制器。
28.根据权利要求18所述的认证方法,其特征在于,所述电子装置未与外部电子装置相连接,并且所述认证方法还包括:
于所述绑定阶段,所述应用根据所述电子装置的所述密钥因素信息及所述取策略产生所述摘要文件;以及
于所述查验阶段,所述应用根据所述摘要文件以及所述电子装置的所述密钥因素信息判断所述控制器是否对应绑定装置。
29.根据权利要求28所述的认证方法,其特征在于,所述电子装置的所述密钥因素信息包括所述控制器的标识符、应用的标识符以及所述电子装置的登入账号。
30.根据权利要求18所述的认证方法,其特征在于,所述根据所述摘要文件而向所述服务器装置作所述通用第二因素服务的注册的步骤包括:
通过所述控制器将用于登入所述服务器装置的账号及密码传送至所述服务器装置;
通过所述控制器分别自所述服务器装置以及所述处理器取得服务器标识符以及所述摘要文件;
通过所述控制器根据随机数、所述服务器标识符以及所述摘要文件进行哈希运算以产生信息标识符以及公钥;以及
通过所述控制器将所述随机数、所述信息标识符以及所述公钥传送至所述服务器装置,以向所述服务器装置作所述通用第二因素服务的注册。
31.根据权利要求30所述的认证方法,其特征在于,所述根据所述随机数、所述服务器标识符以及所述摘要文件进行哈希运算以产生所述信息标识符以及所述公钥的步骤包括:
通过所述控制器根据所述随机数、所述服务器标识符以及所述摘要文件进行哈希运算以产生私钥及所述公钥;以及
通过所述控制器根据所述私钥、所述服务器标识符以及所述摘要文件进行哈希运算以产生所述信息标识符。
32.根据权利要求31所述的认证方法,其特征在于,所述根据对应于所述密钥识别文件的所述摘要文件而与所述服务器装置进行所述通用第二因素服务的所述认证运作的步骤包括:
通过所述控制器将用于登入所述服务器装置的账号及密码传送至所述服务器装置,
通过所述控制器取得来自所述服务器装置的认证询问;
通过所述控制器反应于所述认证询问而依据所述私钥产生签章;以及
通过所述控制器回传所述签章至所述服务器装置,致使所述服务器装置根据所述签章及所述公钥进行所述通用第二因素服务的认证。
33.根据权利要求32所述的认证方法,其特征在于,所述通过所述控制器反应于所述认证询问而依据所述私钥产生所述签章的步骤包括:
通过所述控制器判断所述按键模块的按键是否被按压以得到判断结果;以及
若所述判断结果为是,则通过所述控制器反应于所述认证询问而依据所述私钥产生所述签章。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108119975 | 2019-06-10 | ||
| TW108119975 | 2019-06-10 | ||
| TW109116734 | 2020-05-20 | ||
| TW109116734A TWI715500B (zh) | 2019-06-10 | 2020-05-20 | 認證系統及認證方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112069493A true CN112069493A (zh) | 2020-12-11 |
Family
ID=73651780
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010488875.6A Pending CN112069493A (zh) | 2019-06-10 | 2020-06-02 | 认证系统及认证方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US11509655B2 (zh) |
| CN (1) | CN112069493A (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11683684B2 (en) * | 2020-07-23 | 2023-06-20 | Qualcomm Incorporated | Obtaining a credential for V2X transmission on behalf of a vehicle |
| US11410551B2 (en) | 2020-07-23 | 2022-08-09 | Qualcomm Incorporated | Techniques for utilizing a mobile device as a proxy for a vehicle |
| US11511767B2 (en) | 2020-07-23 | 2022-11-29 | Qualcomm Incorporated | Techniques for utilizing CV2X registration data |
| CN113452584B (zh) * | 2021-04-28 | 2023-01-31 | 珠海格力电器股份有限公司 | 电器的绑定控制方法、装置、存储介质、移动终端及电器 |
| CN113987451B (zh) * | 2021-12-27 | 2022-04-08 | 北京中超伟业信息安全技术股份有限公司 | 一种笔记本终端设备的安全认证方法及系统 |
| CN115208934A (zh) * | 2022-07-14 | 2022-10-18 | 潍柴动力股份有限公司 | 挖掘机安全操作的控制方法以及其控制装置 |
| CN116094841B (zh) * | 2023-04-07 | 2023-06-02 | 北京豪密科技有限公司 | 加密信道中的行为识别方法、装置及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105162785A (zh) * | 2015-09-07 | 2015-12-16 | 飞天诚信科技股份有限公司 | 一种基于认证设备进行注册的方法和设备 |
| CN105554013A (zh) * | 2015-12-30 | 2016-05-04 | 深圳数字电视国家工程实验室股份有限公司 | 基于usb设备的分离式身份认证装置及系统及方法 |
| CN206962826U (zh) * | 2017-07-11 | 2018-02-02 | 上海互啊佑智能科技有限公司 | 基于fido u2f双因子指纹识别的身份认证系统 |
| US20180278612A1 (en) * | 2017-03-22 | 2018-09-27 | Oracle International Corporation | Techniques for implementing a data storage device as a security device for managing access to resources |
| US20190036924A1 (en) * | 2016-01-25 | 2019-01-31 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for network access |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9602508B1 (en) | 2013-12-26 | 2017-03-21 | Lookout, Inc. | System and method for performing an action based upon two-party authorization |
| US10097525B2 (en) | 2016-03-08 | 2018-10-09 | Qualcomm Incorporated | System, apparatus and method for generating dynamic IPV6 addresses for secure authentication |
| US11050740B2 (en) * | 2018-09-09 | 2021-06-29 | OneLogin, Inc. | Third party multi-factor authentication with push notifications |
-
2020
- 2020-06-02 CN CN202010488875.6A patent/CN112069493A/zh active Pending
- 2020-06-08 US US16/894,889 patent/US11509655B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105162785A (zh) * | 2015-09-07 | 2015-12-16 | 飞天诚信科技股份有限公司 | 一种基于认证设备进行注册的方法和设备 |
| CN105554013A (zh) * | 2015-12-30 | 2016-05-04 | 深圳数字电视国家工程实验室股份有限公司 | 基于usb设备的分离式身份认证装置及系统及方法 |
| US20190036924A1 (en) * | 2016-01-25 | 2019-01-31 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for network access |
| US20180278612A1 (en) * | 2017-03-22 | 2018-09-27 | Oracle International Corporation | Techniques for implementing a data storage device as a security device for managing access to resources |
| CN206962826U (zh) * | 2017-07-11 | 2018-02-02 | 上海互啊佑智能科技有限公司 | 基于fido u2f双因子指纹识别的身份认证系统 |
Non-Patent Citations (1)
| Title |
|---|
| 杨舟: "FIDO的U2F认证器设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》, no. 2, 15 February 2018 (2018-02-15), pages 138 - 29 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US11509655B2 (en) | 2022-11-22 |
| US20200389455A1 (en) | 2020-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112069493A (zh) | 认证系统及认证方法 | |
| CN110537195B (zh) | 许可卡使用的方法及使用其的服务器 | |
| US10387134B2 (en) | Method and device for downloading profile of operator | |
| JP6574168B2 (ja) | 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置 | |
| JP5529775B2 (ja) | ネットワーク認証方法、および、ネットワーク認証方法を実行するためのネットワーク認証デバイス | |
| TW595184B (en) | Wide area network, access authentication system using the network, connection device for bridging, terminal equipment in connection with connector and access authentication method | |
| CN108476223B (zh) | 用于非sim设备的基于sim的认证的方法和装置 | |
| US9667626B2 (en) | Network authentication method and device for implementing the same | |
| KR101941227B1 (ko) | 신원확인 또는 부인방지가 가능한 fido 인증 장치 및 그 방법 | |
| CN111148088B (zh) | 管理移动终端的方法、装置、设备和存储介质以及系统 | |
| TW202134913A (zh) | 判定認證能力之查詢系統、方法及非暫態機器可讀媒體 | |
| CN101278299A (zh) | 计算系统功能部件激活机制 | |
| WO2018000568A1 (zh) | 虚拟sim卡的管理方法、管理装置、服务器及终端 | |
| CN106656455B (zh) | 一种网站访问方法及装置 | |
| WO2019134493A1 (zh) | 用户身份识别模块数据写入方法、设备、平台及存储介质 | |
| JP2019524016A (ja) | 接続デバイスのステータスを管理するための方法 | |
| CN103974250A (zh) | 配置方法和设备 | |
| WO2015024261A1 (zh) | 一种互联网账号管理方法、管理器、服务器和系统 | |
| CN114531945A (zh) | 可上网设备的基于模板的载入 | |
| CN109496443A (zh) | 移动认证方法和用于其的系统 | |
| US20240129727A1 (en) | Method and apparatus for managing event for smart secure platform | |
| JP6940044B2 (ja) | サーバ、端末、sim情報の提供方法及びsim情報の書き込み方法 | |
| US10616262B2 (en) | Automated and personalized protection system for mobile applications | |
| TWI715500B (zh) | 認證系統及認證方法 | |
| KR101412159B1 (ko) | 휴대폰 인증 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |