CN1860727A - 资料储存应用认证方法及ic卡认证硬件 - Google Patents
资料储存应用认证方法及ic卡认证硬件 Download PDFInfo
- Publication number
- CN1860727A CN1860727A CNA2003801106198A CN200380110619A CN1860727A CN 1860727 A CN1860727 A CN 1860727A CN A2003801106198 A CNA2003801106198 A CN A2003801106198A CN 200380110619 A CN200380110619 A CN 200380110619A CN 1860727 A CN1860727 A CN 1860727A
- Authority
- CN
- China
- Prior art keywords
- card
- hardware
- certification
- user
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Credit Cards Or The Like (AREA)
Abstract
本发明涉及有关一种资料储存应用认证方法及IC卡认证硬件,其是利用一IC卡内置一身份核对暗码ICCID及一国际核对码GLN,并将此IC卡置入一IC卡读取装置(Reader)内,并装置于一般相容于电脑USB介面的快闪存储器上,当做认证硬件;搭配上IC卡及IC卡读取装置(Reader)的认证硬件也可用来当做储存媒介,而不会使得资料只能存放于单一台电脑固定式的硬碟中,并可将储存的档案做一特殊的编解码动作,使之更具有资料存取的保密性、安全性及机动性并唯一性,可当成合法使用的凭借,其硬件呈现方式如同一般门禁钥匙的运用,其使用模式较能让一般使用者接受。
Description
资料储存应用认证方法及 ic卡认证硬件
技术领域
本发明涉及一种资料储存应用认证方法及 ic卡认证硬件, 尤指一种 利用 IC卡认证硬件当做合法登入媒介的资料储存应用认证流程。 背景技术
在此特举目前网络上游走智慧财产权法令边缘的实例来说明。 目前 网络上下载歌手歌曲 MP3的网站很多, 且多采用 P2P (Peer to Peer, 点对 点传输,技术应用模式的一种)的方式,供网友自动上传、下载、分享 MP3 档案,以简便的搜寻功能,让网友可以方便地搜寻和分享彼此的档案; 一 般来说, 这类的 MP3业者本与唱片业者有既定的合作模式, 互相寻求平衡 点,由 MP3业者提供各类音乐的最新讯息供会员浏览希望借此带动唱片业 者的买气, 但随着 MP3业者的会员愈来愈多, 网友上传的 MP3档案爆增, 成为一个人上传 MP3档案所有的会员皆可免费下载, MP3业者提供的软件 平台因会员到达相当的数量而强调该软件平台的智慧财产权属于该 MP3 软件业者, 进而收取软件使用月费, 因会员人数爆增而致使提供 MP3软件 平台业者的收益成正比爆增, 反观拥有合法著作财产权、 智慧财产权的 唱片业者权益却严重损失, 造成唱片业界的长期低迷, 进而影响到了创 作人的动力和信心。
再者, 延伸探讨到目前一般公知网站上会员制所采取的密码皆为使 用者自设或是系统给予的密码, 但是由于是在网站伺服器端进行资讯情 报密码化, 为了防止通讯网际网络情报的外泄, 有研究设计密码化技术 的程序及逻辑, 希望在技术上能与骇客相对抗, 然而在现况上尚无法做 到完全的防止。
而网站审核会员机密资料的入口, 便是会员登录系统, 而目前的网 站会员登录模式, 都只在网页上直接登录使用者名称及密码, 若二者相 符, 就能进入该网站会员功能网页, 用该登录使用者的资料去进行合法 会员可以执行的动作, 甚至可以查询到使用者的一些相关机密资料, 及
往来纪录; 但以今日一般的应用网站伺服器 (AP Server)所采用的编码 技术而言, 单独在应用网站伺服器 (AP Server)端网页程序上做密码编解 码的动作, 实在是无法确保能不被骇客破解, 且今日网际网络的无边无 际, 为了便利使用及随时随地都能上网的需求, 使得使用者可以方便的 在很多地方利用不同的电脑或其他装备上网, 且由于目前技术要将使用 者设定权限及分级制度有其困难性, 例如利用图书馆的公用电脑上网, 或在网吧上网, 由于使用同一台机器的使用者众多, 若一时疏忽, 将其 使用者名称及密码遗留在登录画面中而忘记删除的话, 便很容易被下一 个使用者盗用或被骇客利用一些简易作业系统的后门程序等拿来破解且 盗用其机密资料, 进行非法交易, 以致使用者的损失。
现行网络安全漏洞百出, 其中尤以: 《骇客以 Dictionary Attack 方 式破解用户密码, 假冒用户身份》最为普遍, 一般大家都知道, 以输入 使用者身份证明 ID及密码的方式签入电脑系统, 是最简单、 但确也是最 不安全的方式。
其原因如下:
1、 一般人选择密码的依据, 是以方便记忆为主, 很少人会选择一串 任意排列并夹杂英文字母及数字的密码。 著名的密码学大师 Daniel Klein声称, 以一般的字典攻击法(Dictionary Attack), 40%电脑上的密 码可轻易被破解。 目前网络上散布着许多由学生、 系统专家及骇客所设 计的密码破解软件, 提供企业内、 外部骇客入侵的工具。
2、 现今资讯系统日趋复杂化, 许多异质系统相互串联的结果, 导致 用户在签入不同电脑系统时, 因各作业系统的要求, 必须再次输入密码。 据专家统计,只有少数人能同时记忆三组不同且长度为八个字串的密码。 结论是, 绝大多数人会因此而将密码写下来, 放在用户认为安全方便的 地方。 很显然的, 这又提供了企业内、 外部骇客入侵的管道。
3、 即使用户不曾触犯以上两点失误, 但是很显然的, 密码在从使用 者端传输到伺服器前, 是以明文的形态存在。 骇客可以经由网际网络或 是局域网络上任何一点, 截取密码, 然后假冒使用者 (Replay)开始非法 入侵系统。 很多人以为租一条专线, 就可以不被骇客入侵。 这样的观念
是错的。 即使是专线, 也是经过公共交换系统做线路交换, 对于骇客入 侵系统而言, 更为方便。 因为专线一旦建立后, 资料所流动的路线就不 会常变化。 如此, 骇客更能集中资源, 专注于截取固定线路上流动的资 料。
再者, 《骇客也可截取点对点传输中未经加密过的资料, 并加以纂 改》,在网际网络上走的通讯协定是 TCP/IP。在两台电脑能够传输资料前, 必须先完成三段式交握 (Three-way Handing Shaking) , 才能建立连线, 开 台传送资料。 这其中潜藏的问题, 却给予骇客入侵的好机会。
其原因如下:
1、 为双方资料的传输是通过公众的网际网络, 而所传送的资料是以 明文的形态存在。 任何连上网际网络的电脑, 都可以对网上的资料做监 听(Sniffing)。 如此一来, 个人隐私、 财产, 以及企业商务机密则完全 曝露在网际网络上, 根本毫无隐私、 机密可言。
2、有时骇客为了完全掌握上述所建立的连线,并假冒原使用者身份, 以存取远端主机上的资源与服务, 会同时假冒主机的身份, 将大量无用 的资料回传给使用者, 企图瘫痪用户端电脑系统的运算能力 (Denial of Service ; DoS)。 如此一来, 骇客不但可以假冒原使用者身份, 以存取 远端主机上的资源与服务, 任意发布、 篡改或删除资料, 让主机端的系 统管理者无法察觉。更严重的是, 骇客以这样不着痕迹的方式删改资料, 在无法确认讯息来源 (使用者身份) 的状况下, 使圆使用者难以自清。
再者, 若使用者于公共场所使用公用电脑上网, 都是通过该公共场 所内部的局域网络(LAN)而连接上外部网络( Internet) , 在局域网络 (LAN)上, 以 Ethernet- based IP networks为例, 所有的资料(封包)都是 以广播 (Broadcasting)的方式流向局域网络内所有的 PC。 因为每一台 PC 上者有一张网络卡(Network Interface Card) , 所以可以过滤掉不是传 送给自己的封包。 而这其中潜藏的问题, 却给予骇客入侵的另一大好机 会, 截取在 LAN上传输的资料。
其原因如下:
1、为所有的封包都是以广播 (Broadcasting)的方式流向局域网络内
所有的 PC, 而且是以明文的形态存在。 因此, 任何连上局域网络的 PC都 可以扮演监听者(Sniffer)的角色, 大方的偷看别人的资料。
2、 更糟糕的是, 一旦某人的密码被截取, 则很有可能被人以非法的 方式签入系统, 做一些非授权的事。 例如, 签核或签退公文、 更改会计 帐、 散布不实消息、 窃取研发资料后卖给竞争对手等。
基于上述,现行的网络安全漏洞及网络上提供 MP3软件平台的业者游 走智慧财产权边缘的乱象相对的反映出本发明的重要性与实质的进步性 及迫切的需要性。
因此, 本发明人有鉴于此, 乃特潜心研究并经过不断测试探讨, 终 于提出一种设计合理且有效改善上述缺失的一种搭配使用便利的集成电 路工 C ( Integrated Circuit ) 卡认证硬件, 有效防护并经由安控机制双 重认证的资料储存应用认证流程及 IC卡认证硬件。 发明内容
本发明的目的是解决现行的网络安全漏洞, 并利用 IC卡认证硬件的 方式作有效的授权掌控,以避免目前网络上点对点传输 P2P (Peer to Peer) 方式, 游走智能财产权法律边缘的乱象, 使得合法的著作财产权、 智能 财产权拥有人莫大的损失的问题。
为此, 本发明提出的技术方案为:
一种资料储存应用认证方法, 其中: 将内置有一身份核对暗码集成 电路卡识别码 ICCID ( Integrated Circuit Card Identification) 及 一国际核对码全球识别码 GLN (Global Number) 的 IC卡置入一 IC卡读 取装置 (Reader)内, 并装置于一般相容于电脑的硬件上做为认证硬件, 该方法主要包含以下步骤: ·
步骤 a: 使用者利用装置一 IC卡和一工 C卡读取装置 (Reader)的认 证硬件登入会员, 输入使用者所需登录的资讯, 并按登录键 (Login) ; 步骤 b : 利用 IC卡内嵌程序将其登录流程导至身份证明管理机构 CA (Certification Authority) 身份认证伺服器, 并将 IC卡内置的 ICCID 暗码传至 CA身份认证伺服器, 通过 CA身份认证伺服器特殊的程序来判
定认证硬件上的 IC卡是否合法及审核权限, 正确则在 CA身份认证伺服 器资料库上记录其登入次数, 产生一认证硬件认证成功的凭借 (Server Result), 并回传解码过程中所产生的随机乱数值 (Random)至 IC卡; 步骤 前述步骤正确后, IC卡利用 IC卡内嵌程序将取得的随机乱 数值 (Random)用来解码内置的 ICCID 暗码, 并产生 IC 卡认证的凭借 (Client Result) , 并将其登录流程导至应用网站伺服器 (AP Server) , 并将 ICCID暗码、 IC卡认证的凭借 (Client Result) , 使用者输入资讯 一并传至应用网站伺服器 (AP Server) , 让应用网站伺服器 (AP Server) 依其资料库判定使用者输入的资讯是否正确, 并查询使用期限;
步骤 d : 前述步骤正确后, 应用网站伺服器 (AP Server)将所接受的
ICCID暗码及 IC卡认证的凭借(Client Result)传至 CA身份认证伺服器 以供再次解密确认认证硬件及使用者资讯的正确性。
一种资料储存应用认证的 IC卡认证硬件, 其中: 该 IC卡内置有一 身份核对暗码 ICCID及一国际核对码 GLN, 该 IC卡置入一 IC卡读取装 置 (Reader)内, 并装置于一般相容于电脑的硬件上, 做为认证硬件。
其中:该装置 IC卡的认证硬件,可为一通用串行总线 USB(Universal Serial Bus ) 介面的硬件。
该装置 IC卡的认证硬件, 可为一快闪存储器。 本发明的主要创意来自于现行网络安全漏洞百出, 对于使用者上网 安心使用其私密资料的防护性不足,于是潜心研究利用一 IC卡来搭配一 认证硬件,并与 CA身份认证服务器(安控机制)以达到提升电子数据网络 安全传输所欲达到的五大信息安全需求, 即为:
(1) 资料的隐密性 ( Confidentiality )
确保资料讯息不遭第三者偷窥或窃取, 以保护数据传输资料的隐私, 可通过资料加密来完成。
(2) 资料的完整性 ( Integrity )
确保数据传输资料讯息未遭有心人篡改, 以确保数据传输内容的正 确性, 可通过数字签章或资料加密予以保护。
(3) 来源辨识性 (Authentication)
确认数据传输讯息的来源, 以避免数据传输讯息遭到假冒, 可通过 数字签章或资料加密等方式加以防范。
传送及接收讯息避免使用者事后否认曾进行数据传输, 可通过数字 签章及公幵金钥基础架构来达成。
(5) 存取控制 ( Access Control )
依使用者的身份, 作存取资料的控管。 此外, 并可依使用者的身份, 决定安控模块功能的执行权限。
再者, 本发明利用 rc卡认证硬件的方式, 作有效的授权掌控, 并将 储存的档案做一特殊的编译码动作, 使之更具有资料存取的保密性、 安 全性及机动性并唯一性 (唯有合法使用者才能使用其储存的档案), 以避 免目前网络上点对点传输 P2P (Peer to Peer)方式, 游走智能财产权法 律边缘的乱象, 使得合法的著作财产权、 智能财产权拥有人莫大的损失 的问题。
本发明经由上述数道加解密并编码的防护动作, 可以确保使用者于 网站上登录认证的安全性, 并避免使用者私密资料的泄露, 且 CA身份认 证服务器更可适当的为网站业者控管流量、 管理权限并建立分级制度, 提供更安全的网络环境, 更甚者, 对于愿在网络环境上提供服务者, 也 因此机制的建立, 让其服务更有依据作等值的回馈, 进一步提供网络环 境优质服务, 而让网络交易更符合公平交易秩序的原则。
本发明的资料储存应用认证方法及 IC卡认证硬件, 皆由用户以浏览 器上网连到 Web Server网站执行相关作业, 再由认证程序送出各请求信 息到凭证伺服系统来。 用户的凭证确认及相关功能可非常容易的执行, 且 Web Server网络服务器端认证程序系统安装简单, 更使其应用上容易 执行。
和现有应用于一般应用网站服务器 (AP Server)使用者登录系统的方 法比较,本发明利用了一 IC卡储存使用者的私密认证资料并一身份核对 暗码 ICCID, 并将此 IC卡装置于一般兼容于计算机 USB接口的闪存(随
身碟)上, 当做认证硬件, 并搭配一认证程序于一般应用网站服务器 (AP Server)端及一外挂认证程序于输出软件上,在使用者利用此认证硬件上 网登录其使用者名称及密码时, 经由数道加解密并编码的防护动作, 以 确保使用者于网站上登录认证的安全性,并避免使用者私密资料的泄露, 且可适当的为网站业者控管流量、 管理权限并建立分级制度, 并提供更 安全的网络环境。
另搭配上 IC卡及 IC卡读取装置 (Reader)的认证硬件也可用来当做 储存媒介, 而不会使得资料只能存放于单一台计算机固定式的硬盘中, 并可将储存的档案做一特殊的编译码动作, 使之更具有资料存取的保密 性、安全性及机动性并唯一性 ( 即唯有合法使用者才能使用其储存的档 案)。 附图说明
图 1为本发明的下载档案步骤流程图;
图 2为本发明的认证实体流程示意图;
图 3为本发明的下载档案实体流程示意图;
图 4为本发明的开启档案步骤流程图;
图 5为本发明的开启档案实体流程示意图;
图 6为本发明的认证硬件示意图;
图 7、 图 8为本发明应用于 MP3播放器的形式图;
图 9为本发明插置于电脑的示意图。
【图号说明】
10、 认证硬件
20、 CA身份认证伺服器
30、 IC卡
40、 认证硬件
51、 认证硬件
61、 CA身份认证伺服器
71、 应用网站伺服器
具体实施方式
以下配合图示对本发明的实施方式做进一步的说明后当更能明了。 图 1为本发明的步骤流程图, 图中包含&、 b、 c、 d四个主要步骤, 另一个正确的登入过程中包含了 step. 1到 st印. 6等六个主要流程: 步骤 a: 使用者利用装置一 IC卡和一 IC卡读取装置 (Reader)的认证 硬件登入会员, 输入使用者所需登录的资讯, 并按登录键 (Login) ; 步骤 b : 利用 IC卡内嵌程序将其登录流程导至 CA身份认证伺服器, 并将 IC卡内置的 ICCID暗码传至 CA身份认证伺服器 (st印. 1 ), 通过 CA身份认证伺服器特殊的程序来判定认证硬件上的 IC卡是否合法及审 核权限, 正确则在 CA身份认证伺服器资料库上记录其登入次数, 产生一 认证硬件认证成功的凭借 (Server Result), 并回传解码过程中所产生的 随机乱数值(Random)至 IC卡 (step. 2) ;
步骤 c : 前述步骤正确后, IC卡利用 IC卡内嵌程序将取得的随机乱 数值 (Random)用来解码内置的 ICCID暗码, 并产生一 IC卡认证的凭借 (Client Result) ( step. 3 ), 并将其登录流程导至应用网站伺服器 (AP Server) , 并将 ICCID暗码、 IC卡认证的凭借(Client Result) , 使用者 输入资讯一并传至应用网站伺服器 (AP Server) , 让应用网站伺服器 (ΑΡ Server)依其资料库判定使用者输入的资讯是否正确, 并查询使用期限 (avail date) ;
步骤 d : 前述步骤正确后, 应用网站伺服器 (AP Server) 将所接受 的 ICCID暗码及 IC卡认证的凭借 (Client Result)传至 CA身份认证伺服 器以供再次解密确认认证硬件及使用者资讯的正确性 (step. 4)。
兹将以上步骤做一详细说明如下:
首先步骤 a是指: 使用者通过一 IC卡内置一身份核对暗码及 ICCID 及一国际核对码 GLN, 将此 IC卡置入一 IC卡读取装置(Reader)内, 并 装置于一般相容于电脑 USB介面的快闪存储器 (随身碟)上,当做认证硬 件, 并利用此认证硬件上网登录其使用者名称(Username)及密码 (Password)后按登录键 (Login) 。
步骤 b 是指:在使用者输入其使用者名称(Username)及密码 (Password)后, 通过 IC卡内嵌程序先将其登录流程导入 CA身份认证伺 服器进行加解密动作, 通过特殊的流程先解密出 ICCID暗码的值, 并借 其比对 CA身份认证资料库,相对应 ICCID暗码且授权通过 (Validated) 的 EKI后, 先行解密得 KI, 且产生一随机乱数值 (Random)并以 ΚΙ加密 的结果存于 CA身份认证伺服器的资料库中,该加密后的结果即为认证硬 件认证成功的凭借 (Server Result), 并可用以记录该使用者使用此认证 硬件登入的次数, 确认该认证硬件的合法性及该暗码 ICCID是否有登录 该网站的权限, 及所被授予的权限多大, 在硬件认证通过后, CA身份认 证伺服器会将所产生的随机乱数值 (Random)传送回 IC卡, 当做 KEY, 用 来供一般应用网站伺服器 (AP Server)端通过第二步认证流程后和 CA身 份认证伺服器交叉比对用; 而若此认证硬件上的 IC卡内设的 ICCID暗码 在比对结果中未授权通过 0^11(^1^=1^未开卡), 则系统会告知使用者端 硬件认证失败, 而失去通关登录的资格。 此为第一步的认证流步骤。
步骤 c 是指:第一步的认证流程成功, 一般应用网站伺服器 (AP
Server)会先接收 IC卡上由 CA身份认证伺服器所传送过来的 KEY值, ICCID 暗码, 使用者输入的使用者名称(Useraame)和键入的密码 (Password), 再将其流程导至一般应用网站伺服器 (AP Server)进行比 对使用者姓名(Username)和密码(Password)是否正确, 并核对该使用者 的有效使用期限是否过期。
步骤 d是指:步骤 c若经比对无误,则将 KEY值及 ICCID暗码传回 CA 身份认证伺服器进行加解密,通过特殊的流程先解密出 ICCID暗码的值, 并借其比对 CA 身份认证资料库, 相对应 ICCID 暗码且授权通过 (Validated)的 EKI后,并用 KEY值去对 EKI值解密,比对是否和 Server Result相符, 若相符, 则第二步认证通过, 若使用者经交叉比对确定是 合法的注册者, 则才能以合法使用权限通过会员登录入口, 继续导入下 一步的 Web Page并将 CA身份认证伺服器上加解密出的 Server Result 清空, 以使得使用者下次登录时可以产生新的 Server Result并供暂存, 若比对结果不相符, 则告知一般应用网站伺服器 (AP Server)认证硬件
ICCID 暗码错误, 认证失败, 失去通关登录的资格, 此为第二步认证流 程。
图 2 为本发明的认证实体流程示意图, 图中显示本发明实际认证运 作时的流程导向, 从使用者登录到正式认证成功某经过 5个路由, 请参 考图示,路由 1为使用者利用一认证硬件 (装置 IC卡) 50登入 Web Server 伺服器 70 网页 Member Login 视窗登录其会员资料, 使用者在输入 Username和 Password之后, 按登录键(Login), 此时 IC卡内嵌程序便 会先将其登录流程导至 CA身份认证伺服器 60, 并将 IC卡内置的 ICCID 暗码传至 CA身份认证伺服器 60进行加解密动作,此时进行 CA身份认证 伺服器的认证流程 l (Winsock), 在认证流程 (Winsock)里通过特殊的流 程先解密出 ICCID暗码的值, 并借其比对 CA身份认证资料库, 相对应 ICCID暗码且授权通过 (Validated)的 EKI后, 先行解密得 KI, 且产生 一随机乱数值 (Random)并以 Π加密的结果存于 CA身份认证伺服器的资 料库中, 该加密后的结果即为认证硬件认证成功的凭借(Server Result) , 并可用以记录该使用者使用此认证硬件登入的次数,确认该认 证硬件的合法性及该暗码 ICCID是否有登录该网站的权限, 及所被授予 的权限多大, 在硬件认证完成后, 紧接着触动路由 2, 将 CA身份认证伺 服器所产生的随机乱数值 (Random)传送回 IC卡, 当 IC卡接收到此随机 乱数值 (Random)后, IC卡内嵌程序会先将内置的工 CCID暗码先行解密而 得一 KI值 (此处的 KI值并末审核其是否为授权通过的认证硬件, 审核 权和比对权是在 CA 身份认证伺服器), 再借以和所接收的随机乱数值 (Random)进行加密而产生一 IC卡认证的凭借(Client Result) , 用来供 一般应用网站伺服器 (AP Server)端进行第二步认证流程时和 CA身份认 证伺服器交叉比对用; 而若此认证硬件上的 IC卡内设的 ICCID暗码在比 对结果中未授权通过 (Validate N未开卡), 则系统会告知使用者端硬件 认证失败, 而失去通关登录的资格。
而若第一步的认证流程成功的话, 则触动路由 3 —般应用网站伺服 器 (AP Server),会先接收 IC卡上的 ICCID暗码、 IC卡认证的凭借 (Client Result) , 使用者输入的使用者名称(Username)和键入的密码
(Password), 此时一般应用网站伺服器 (AP Server)会先通过其本身资料 库进行比对使用者名称(Username)和密码(Password)是否正确, 并核对 该使用者的有效使用期限是否过期, 若经比对无误, 再触动路由 4进行 认证流程 2, 将 ICCID暗码及 IC卡认证的凭借 (Client Result)传回 CA 身份认证伺服器进行交叉比对, 通过特殊的流程先解密出 ICCID暗码的 值, 并借其比对 CA身份认证资料库, 找出相对应 ICCID暗码且授权通过 (Validate=Y)的认证硬件认证成功的凭借(Server Result)后, 比对认证 硬件认证成功的凭借(Server Result)是否和 IC 卡认证的凭借(Client Result)相符, 若相符, 则第二步认证通过, 触动路由 5, 若使用者经交 叉比对确定是合法的注册者,则才能以合法使用权限通过会员登录入口, 继续导入下一步的 Web Page 并将 CA 身份认证伺服器上加解密出的 Server Result清空, 此为最后步骤, 路由 8 ; 而若比对结果不相符, 则 告知一般应用网站伺服器 (AP Server)认证硬件 ICCID暗码错误, 认证失 败, 失去通关登录的资格。
图 3为本发明的下载档案实体流程示意图, 其为图 2的概略图示, 由图中可清楚看出本发明的下载档案实体流程运作时的流程导向, 从使 用者登录到正式登录完成共经过 4个路由,其中路由 2为认证机制 (请参 阅图 2)。
图 4 为本发明的开启档案步骤流程图, 由图中可清楚看出使用者欲 开启编码过的档案时, 必须先将原认证硬件插入至电脑 USB接头或其他 播放器的 USB接头之中, 在开启 MP3播放软件或应用软件时, IC卡内嵌 程序会先将内置的 ICCID暗码传至外挂的认证程序或在本身已有认证程 序码的 MP3 播放软件或应用软件上先行解码并判断认证硬件的正确性 ( step. 1 ), 再将认证结果传回 MP3播放软件或应用软件 (step. 2), 若 认证通过认证硬件合法, 则通过 IC卡内嵌程序将欲开启的档案做解码 ( step. 3 ), 并通过 MP3 播放软件或应用软件开启该解码后的档案使用 ( step. 4), 而若认证硬件认证失败的话, 则会产生错误讯息, 告知使用 者认证硬件 ICCID错误认证失败。
图 5为本发明的开启档案实体流程示意图, 其为图 4的概略图示,
由图中可清楚看出本发明的开启档案实体流程运作时的流程导向, 从使 用者利用认证硬件插入至电脑 USB接头或其他播放器的 USB接头之中, 开启 MP3播放软件或应用软件时到正确的幵启档案共经过 5个路由, 其 中路由 2即为外挂的认证程序或在本身已有认证程序码的 MP3播放软件 或应用软件上先行解码并判断认证硬件的正确性。
图 6为本发明的认证硬件示意图, 如图所示, 本发明利用了一 IC卡 内置一身份核对暗码 ICCID及一国际核对暗码 GLN, 并将此 IC卡装置于 一般相容于电脑 USB介面的快闪存储器(随身碟)上, 当做认证硬件。
另图 7及图 8为本发明应用于 MP3播放器的形式图, 如图所示, 利 用搭配本发明的 USB介面的认证硬件, 可与目前市面上的 MP3播放器相 接合, 将认证硬件插入至电脑 USB接头或其他播放器的 USB接头之中, 在开启 MP3播放软件或应用软件时, IC卡内嵌程序会先将内置的 ICCID 暗码传至外挂的认证程序或在本身已有认证程序码的 MP3播放软件或应 用软件上先行解码并判断认证硬件的正确性(step. 1), 再将认证结果传 回 MP3播放软件或应用软件(step. 2), 若认证通过认证硬件合法, 则通 过 IC卡内嵌程序将欲开启的档案做解码 (step. 3), 并通过 MP3播放软 件或应用软件开启该解码后的档案使用(step. 4),而若认证硬件认证失 败的话, 则会产生错误讯息, 告知使用者认证硬件 ICCID错误认证失败。
图 9为本发明插置于电脑的示意图, 将利用搭配本发明的 USB介面 的认证硬件插入电脑主机外壳的 USB插槽中, 便可进行前述所有步骤。
综上所述,本发明所提供的资料储存应用认证方法及 IC卡认证硬件, 能取代现有的应用网站伺服器 (AP Server)登录模式, 其是利用了一 IC 卡内置一身份核对暗码 ICCID及一国际核对暗码 GLN, 并将此 IC卡装置 于一般相容于电脑 USB介面的快闪存储器(随身碟)上, 当做认证硬件, 在使用者利用此认证硬件做登录动作时, 经由数道加解密并目的端及认 证端伺服器的交叉比对系统, 可有效确认使用者的合法性及有效的控管 流量; 再者,利用本发明所釆用的搭配 IC卡的认证硬件的另一附加价值 是如同个人的私钥, 具有高防护性及高安全性的优越功能, 其应用层面 广泛及高安全性特点, 且为前所末有的设计, 另外本发明更可使提供著
作财产权档案或智慧财产权档案的网站页者 (如唱片业者)作有效的授权 掌控, 而可避免目前网络上点对点传输 P2P (Peer to Peer)方式, 供网 友互相上传、下载、分享有著作财产权或是有智慧财产权的档案 (如歌手 的 MP3)的游走智慧财产权法律边缘乱象的发生, 而使得合法的业者 (著 作财产权、智慧财产权拥有人)的权益严重损失, 正为当今迫切需要的设 计, 确实已符合发明专利的申请要件, 恳请当局详加审査, 并惠赐准予 专利, 以嘉惠民生利国利民, 实感德便。
然而以上所叙述的技术、 图说、 程序或控制等方法, 仅仅是本发明 较佳实施例之一而已; 举凡依本发明申请专利范围的技术所作的均等变 化或修饰或撷取部分功能的雷同制作,仍属本发明专利权所涵盖的范围; 当不能依此限定本发明实施的范围。
Claims (1)
- 权利要求书1、 一种资料储存应用认证方法, 其特征在于: 将内置有一身份核对 暗码 ICCID及一国际核对码 GLN的 IC卡置入一 IC卡读取装置内, 并装 置于一般相容于电脑的硬件上做为认证硬件,该方法主要包含以下步骤: 步骤 a: 使用者利用装置一 IC卡和一 IC卡读取装置的认证硬件登 入会员, 输入使用者所需登录的资讯, 并按登录键;步骤 b : 利用 IC卡内嵌程序将其登录流程导至 CA身份认证伺服器, 并将 IC卡内置的 ICCID暗码传至 CA身份认证伺服器,通过 CA身份认证 伺服器特殊的程序来判定认证硬件上的 IC卡是否合法及审核权限,正确 则在 CA身份认证伺服器资料库上记录其登入次数,产生一认证硬件认证 成功的凭借, 并回传解码过程中所产生的随机乱数值至 ic卡;步骤 c : 前述步骤正确后, IC卡利用 IC卡内嵌程序将取得的随机乱 数值用来解码内置的 ICCID暗码, 并产生一 IC卡认证的凭借, 并将其登 录流程导至应用网站伺服器, 并将 ICCID暗码、 IC卡认证的凭借, 使用 者输入资讯一并传至应用网站伺服器, 让应用网站伺服器依其资料库判 定使用者输入的资讯是否正确, 并查询使用期限;步骤 d : 前述步骤正确后, 应用网站伺服器将所接受的 ICCID暗码 及 IC卡认证的凭借传至 CA身份认证伺服器以供再次解密确认认证硬件 及使用者资讯的正确性。2、 一种资料储存应用认证的 IC卡认证硬件, 其特征在于: 该 IC卡 内置有一身份核对暗码 ICCID及一国际核对码 GLN, 该 IC卡置入一 IC 卡读取装置内, 并装置于一般相容于电脑的硬件上, 做为认证硬件。3、 如权利要求 2所述的资料储存应用认证的 IC卡认证硬件, 其特 征在于: 该装置 IC卡的认证硬件, 可为一 USB介面的硬件。4、 如权利要求 2所述的资料储存应用认证的 IC卡认证硬件, 其特 征在于: 该装置 IC卡的认证硬件, 可为一快闪存储器。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2003/000914 WO2005041482A1 (fr) | 2003-10-29 | 2003-10-29 | Procede d'authentification en matiere d'application de stockage d'informations et materiel d'authentification de carte ci |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1860727A true CN1860727A (zh) | 2006-11-08 |
| CN100469012C CN100469012C (zh) | 2009-03-11 |
Family
ID=34468822
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2003801106198A Expired - Fee Related CN100469012C (zh) | 2003-10-29 | 2003-10-29 | 资料储存应用认证方法 |
Country Status (6)
| Country | Link |
|---|---|
| EP (1) | EP1689120B1 (zh) |
| CN (1) | CN100469012C (zh) |
| AT (1) | ATE501563T1 (zh) |
| AU (1) | AU2003277474A1 (zh) |
| DE (1) | DE60336354D1 (zh) |
| WO (1) | WO2005041482A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106059998A (zh) * | 2016-05-04 | 2016-10-26 | 深圳市万普拉斯科技有限公司 | 注册VoLTE网络的方法、装置和终端 |
| CN109741025A (zh) * | 2018-12-26 | 2019-05-10 | 日照职业技术学院 | 一种会计管理系统 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4086313B2 (ja) * | 2005-08-04 | 2008-05-14 | 株式会社インテリジェントウェイブ | 外部接続機器を用いたコンピュータの制御方法及びコンピュータの制御システム |
| TWI584150B (zh) * | 2016-05-17 | 2017-05-21 | 資通電腦股份有限公司 | 數位文件定位方法 |
| TWI741294B (zh) * | 2019-05-10 | 2021-10-01 | 新加坡商核智科技私人有限公司 | 用於執行存取裝置之控制系統及其方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7362868B2 (en) * | 2000-10-20 | 2008-04-22 | Eruces, Inc. | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
| WO2002050743A1 (en) * | 2000-12-20 | 2002-06-27 | Cd Card Ltd. | Method and system for using optical data cards as portable secure unified platforms for performing a variety of secure on-line transactions |
| CN1405686A (zh) * | 2001-09-14 | 2003-03-26 | 东维成科技股份有限公司 | 确保电脑主机安全的系统及方法 |
| FR2832576A1 (fr) | 2001-11-20 | 2003-05-23 | Schlumberger Systems & Service | Procede et dispositif d'authentification d'un utilisateur aupres d'un fournisseur de service a l'aide d'un dispositif de communication |
| JP4233009B2 (ja) * | 2001-12-07 | 2009-03-04 | 大日本印刷株式会社 | 認証システム |
-
2003
- 2003-10-29 AU AU2003277474A patent/AU2003277474A1/en not_active Abandoned
- 2003-10-29 CN CNB2003801106198A patent/CN100469012C/zh not_active Expired - Fee Related
- 2003-10-29 AT AT03818888T patent/ATE501563T1/de not_active IP Right Cessation
- 2003-10-29 EP EP03818888A patent/EP1689120B1/en not_active Expired - Lifetime
- 2003-10-29 DE DE60336354T patent/DE60336354D1/de not_active Expired - Lifetime
- 2003-10-29 WO PCT/CN2003/000914 patent/WO2005041482A1/zh active Application Filing
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106059998A (zh) * | 2016-05-04 | 2016-10-26 | 深圳市万普拉斯科技有限公司 | 注册VoLTE网络的方法、装置和终端 |
| CN106059998B (zh) * | 2016-05-04 | 2019-03-12 | 深圳市万普拉斯科技有限公司 | 注册VoLTE网络的方法、装置和终端 |
| US10368331B2 (en) | 2016-05-04 | 2019-07-30 | Oneplus Technology (Shenzhen) Co., Ltd. | Method for registering on voice-over-LTE network, device and terminal, and computer storage medium |
| CN109741025A (zh) * | 2018-12-26 | 2019-05-10 | 日照职业技术学院 | 一种会计管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE60336354D1 (de) | 2011-04-21 |
| EP1689120A1 (en) | 2006-08-09 |
| EP1689120A4 (en) | 2009-01-28 |
| CN100469012C (zh) | 2009-03-11 |
| ATE501563T1 (de) | 2011-03-15 |
| WO2005041482A1 (fr) | 2005-05-06 |
| AU2003277474A1 (en) | 2005-05-11 |
| EP1689120B1 (en) | 2011-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101192926B (zh) | 帐号保护的方法及系统 | |
| US20080148057A1 (en) | Security token | |
| JP4949032B2 (ja) | 安全な計算装置を使って身元情報の窃盗を防ぐシステムおよび方法 | |
| KR100876003B1 (ko) | 생체정보를 이용하는 사용자 인증방법 | |
| US7844832B2 (en) | System and method for data source authentication and protection system using biometrics for openly exchanged computer files | |
| US20090293111A1 (en) | Third party system for biometric authentication | |
| US7100048B1 (en) | Encrypted internet and intranet communication device | |
| WO2000030292A1 (en) | Method and system for authenticating and utilizing secure resources in a computer system | |
| JP5013931B2 (ja) | コンピューターログインをコントロールする装置およびその方法 | |
| CN101420302A (zh) | 安全认证方法和设备 | |
| CN110650021A (zh) | 一种认证终端网络实名认证方法和系统 | |
| CN101552671A (zh) | 基于u盘和动态差异密码的网络身份认证方法及系统 | |
| US20050066199A1 (en) | Identification process of application of data storage and identification hardware with IC card | |
| CN1860727A (zh) | 资料储存应用认证方法及ic卡认证硬件 | |
| US20100058453A1 (en) | Identification process of application of data storage and identification hardware with ic card | |
| US20150121504A1 (en) | Identification process of application of data storage and identification hardware with ic card | |
| CN1612148A (zh) | 资料储存应用认证方法及ic卡认证硬件 | |
| TWI328956B (zh) | ||
| CN100477594C (zh) | 网际网络通关安全认证方法 | |
| Leicher et al. | Trusted computing enhanced user authentication with OpenID and trustworthy user interface | |
| CN1612117A (zh) | 网际网络通关安全认证方法及ic卡认证硬件 | |
| Padma et al. | An efficient strategy to provide secure authentication on using TPM | |
| CN1612149A (zh) | 邮件伺服器登入安全认证方法及ic卡认证硬件 | |
| MORAKINYO | A secure bank login system using a multi-factor authentication | |
| Riaz et al. | Analysis of Web based Structural Security Patterns by Employing Ten Security Principles |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MENG PING Free format text: FORMER OWNER: LIN HUI Effective date: 20120723 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: TAIWAN, CHINA TO: 518048 SHENZHEN, GUANGDONG PROVINCE |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20120723 Address after: Futian District Shenzhen City, Guangdong province Xinsha road 518048 No. 8 Country Garden Golf Green Zhixuan 9B Patentee after: Meng Ping Address before: 114 Chau Street China Neihu district Taipei city Taiwan No. 72 1 floor Patentee before: Lin Hui |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090311 Termination date: 20191029 |