TW201524177A - 多通訊管道認證授權平臺系統和方法 - Google Patents
多通訊管道認證授權平臺系統和方法 Download PDFInfo
- Publication number
- TW201524177A TW201524177A TW103122183A TW103122183A TW201524177A TW 201524177 A TW201524177 A TW 201524177A TW 103122183 A TW103122183 A TW 103122183A TW 103122183 A TW103122183 A TW 103122183A TW 201524177 A TW201524177 A TW 201524177A
- Authority
- TW
- Taiwan
- Prior art keywords
- authentication
- code
- authorization
- token
- software
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Abstract
本發明公開了一種多通訊管道認證授權平臺系統和方法。其中系統包括符記生成伺服器STPM,註冊伺服器TIM,認證伺服器TAM和授權終端TAD。符記生成伺服器STPM生成符記組合,並提供給所述註冊伺服器;註冊伺服器將符記組合回饋給授權終端和認證伺服器;認證伺服器接到授權終端請求進行授權認證請求時,進行認證授權。其安全、便捷,易操作,成本低,在網路認證授權過程中有效防止各種惡意攻擊。
Description
本發明涉及網路安全技術領域,特別是涉及一種多通訊管道認證授權平臺系統和方法。
在電子認證授權過程中,程式會生成電子化資料,使用者通過某些訪問管道,例如使用者的電腦、電話、IVR(Interactive Voice Response,互動式語音應答)、資訊站(Kiosk)等讀取這些資料,使用者資訊必須通過認證和授權後,才能使用這些訪問管道去獲取生成電子化資料。對於一些機密性比較高的電子化資料,認證授權時會要求使用者的電子交易使用數位簽章,以確保交易的真實性和可靠性。例如,通過簽章的解決方法,使用單一設備平臺,例如使用者的電腦、資訊站(Kiosk),提交請求給認證授權平臺,並進行簽章。
另外一些安全的認證授權簽章解決方法,使用另外的設備來製作第一認證碼。例如,使用者使用某個認證授權平臺通過網路連接啟動請求,回應過程中,認證授權平臺程式通過網路連接,將資訊傳送回使用者的電腦。在收到資訊後,使用者將所要求的資訊的部分,輸入到需要簽章的設備(該設備並不連接伺服器/電腦),以製作電子簽章;使用者輸入電子簽章到電腦,並把電子簽章提交到認證授權平臺,來完成簽章過程。
若對於其他手動或基於電話的認證授權過程,使用上述的傳統方法,電子簽名是不能實現的。
傳統的認證授權解決方法,包括電子簽章解決方法,有以下各種不足之處: 1)對通過櫃檯、已寫好的指令或電話的手動認證授權而言,不可能使用電子的認證授權解決方法,包括簽章設備解決方法實現。 2)對單一設備平臺而言,提交請求到某個認證授權平臺且製作簽章的單一設備平臺,容易受到惡意軟體、中間人網路釣魚(Man-In-the-Middle,MitM)的攻擊,且可修改資料來實施欺詐。 3)對不聯網的簽章設備而言,其雖然提供了更安全的認證授權解決方法,但是不聯網的簽章設備,僅支援單一服務提供者,而且一般要求用戶手動輸入重要的資料到用戶端。這個過程是容易出錯的;在簽章中,可包含資料量的限制,而且被簽章的資料可能還會有限制。此外,這種簽章設備,在製造、購買、分發和撤銷整個過程,成本都相對較高。同時,如果認證授權涉及一個或多個認證授權,那麼這個認證授權過程將會變得複雜,同時也會花費更多時間。
基於此,有必要針對現有技術的缺陷和不足,提供一種多通訊管道認證授權平臺系統和方法,其安全、便捷,易操作,成本低,在網路認證授權過程中有效防止各種惡意攻擊。
為實現本發明目的而提供的一種多通訊管道認證授權平臺系統,包括符記生成伺服器STPM,註冊伺服器TIM,認證伺服器TAM和授權終端TAD; 其中: 所述符記生成伺服器,用於在註冊伺服器向其發出註冊請求時,生成符記組合,並將所述符記組合提供給所述註冊伺服器; 所述註冊伺服器,用於在接到使用者的授權終端通過一個或者多個訪問通訊管道向其發出註冊請求時,根據註冊請求向所述符記生成伺服器請求所述符記組合;並在獲取所述符記組合後,將所述符記組合與授權終端資訊對應;然後將符記組合、加密解密軟體及認證碼生成格式軟體,通過所述一個或者多個訪問管道回饋給使用者的授權終端;同時將所述符記組合與對應的授權終端資訊、加密解密軟體及認證碼生成格式軟體,通過不同於所述一個或者多個訪問管道的另一訪問管道發送到認證伺服器; 所述認證伺服器,用於在獲得所述符記組合與對應的授權終端資訊後,當接到授權終端請求進行授權認證時,利用符記組合,以對應的授權設備資訊生成第一密碼;並根據授權終端發送來的第二認證碼,利用加密解密軟體及認證碼生成格式軟體,將所述第一密碼轉化與第二認證碼的格式相同的第一認證碼,進行認證比對;或者利用加密解密軟體及認證碼生成格式軟體,對授權終端發送來的第二認證碼進行解析,得到授權終端發送來的第二密碼,與第一密碼進行認證比對,根據認證比對的結果進行認證授權; 所述授權終端,用於在接收到所述符記組合後,在需要進行認證授權時,利用符記組合,根據對應的授權設備資訊生成第二密碼,並利用加密解密軟體及認證碼生成格式軟體,將所述第二密碼轉換為第二認證碼後,發送給認證伺服器進行認證授權。
在其中一個實施例中,所述授權終端資訊是使用者通過授權終端輸入的個性化的聲音、圖像、指紋資料。
在其中一個實施例中,所述授權終端資訊還可以包括授權終端的唯一設備識別號。
在其中一個實施例中,所述訪問管道為網路/電話網絡、使用觸音和/或聲音指令的Phone IVR網路、基於資訊的系統、電子郵件系統、kiosks、通過影像掃描發送或者傳真紙件。
在其中一個實施例中,所述符記組合包括以下一個或者多個資料的任意組合: A1)含兩組金鑰對的數碼證書:一個用於簽章,一個用於加密; A2)含唯一符記序號的資料簽章符記種子檔; A3)含唯一符記序號的OTP符記生成軟體。
在其中一個實施例中,所述認證伺服器配置有揚聲器、麥克風、照相機和/或指紋掃描器,可讀取或者生成相應格式的第一認證碼。
在其中一個實施例中,所述第一認證碼為聲音碼、圖像碼、指紋碼或者二維碼中的一種或者多種格式的碼。
在其中一個實施例中,所述授權終端是手持設備、行動電話、平板電腦; 所述授權終端配置有揚聲器、麥克風、照相機和/或指紋掃描器,可讀取或者生成相應格式的第二認證碼。
在其中一個實施例中,所述第二認證碼為聲音碼、圖像碼、指紋碼或者二維碼中的一種或者多種格式的碼。
在其中一個實施例中,所述含唯一符記序號的資料簽章符記種子檔利用授權終端資訊生成相應的第一密碼或者第二密碼。
在其中一個實施例中,所述符記組合以及相對應的授權終端、加密解密軟體及認證碼生成格式軟體,由註冊伺服器發送到認證伺服器和授權終端時,是使用RSA演算法或者AES演算法進行加密的。
在其中一個實施例中,所述RSA演算法或者AES演算法的加密金鑰存儲在防篡改設備中。
在其中一個實施例中,所述加密是使用私有金鑰的RSA加密方法進行加密的,和/或,使用服務提供者的公共金鑰,使用AES加密的隨機生成啟動密碼,對符記組合進行再進一步的加密。
在其中一個實施例中,所述註冊伺服器,還用於生成一個用於下載符記組合、加密解密軟體及認證碼生成格式軟體的URL,由使用者的授權終端(TAD)下載得到。
為實現本發明目的還提供一種多通訊管道認證授權方法,包括如下步驟: 步驟S100,註冊伺服器在接到使用者的授權終端通過一個或者多個訪問通訊管道向其發出註冊請求時,根據註冊請求向所述符記生成伺服器請求所述符記組合; 步驟S200,符記生成伺服器在接到註冊伺服器的請求後,符記生成伺服器生成符記組合,並將所述符記組合返回給註冊伺服器; 步驟S300,註冊伺服器在獲取所述符記組合後,將所述符記組合與授權終端資訊對應;然後將符記組合、加密解密軟體及認證碼生成格式軟體,通過所述一個或者多個訪問管道回饋給使用者的授權終端;同時將所述符記組合與對應的授權終端資訊、加密解密軟體及認證碼生成格式軟體,通過不同於所述一個或者多個訪問管道的另一訪問管道發送到認證伺服器; 步驟S400,授權終端向認證伺服器發起認證授權請求,認證伺服器回應; 步驟S500,在認證伺服器回應後,授權終端通過利用符記組合,根據對應的授權設備資訊生成第二密碼,並利用加密解密軟體及認證碼生成格式軟體,將所述第二密碼轉換為第二認證碼後,發送給認證伺服器進行認證授權; 步驟S600,在認證伺服器回應後,認證伺服器利用符記組合,以對應的授權設備資訊生成第一密碼;並根據授權終端發送來的第二認證碼,利用加密解密軟體及認證碼生成格式軟體,將所述第一密碼轉化與第二認證碼的格式相同的第一認證碼,進行認證比對;或者利用加密解密軟體及認證碼生成格式軟體,對授權終端發送來的第二認證碼進行解析,得到授權終端發送來的第二密碼,與第一密碼進行認證比對,根據認證比對的結果進行認證授權。 在其中一個實施例中,所述認證碼生成格式軟體為圖形、光碼、音碼或語音格式生成軟體。 在其中一個實施例中,所述步驟S300還包括如下步驟: 步驟S310,在收到註冊伺服器回饋的符記元件,加密軟體及認證碼生成格式軟體後,使用預設設定解密金鑰在授權終端上解密URL資訊,並要求使用者輸入符記啟動密碼安裝安全符記組合及加密軟體和格式生成軟體。
在其中一個實施例中,所述加密為: 使用AES演算法或者RSA演算法,根據符記生成伺服器和授權終端之間的預先設定金鑰,對URL資訊和符記元件及加密軟體和格式生成軟體進行加密。
在其中一個實施例中,所述步驟S300還包括如下步驟: 步驟S320,在完成符記元件的安裝之後,授權終端要求使用者輸入由動態安全符記軟體生成並顯示的動態口令,然後驗證動態口令。
在其中一個實施例中,所述授權終端資訊是使用者通過授權終端輸入的個性化的聲音、圖像、指紋資料。
在其中一個實施例中,所述授權終端資訊還包括授權終端的唯一設備識別號。
在其中一個實施例中,所述訪問管道為網路/電話網絡、使用觸音和/或聲音指令的Phone IVR網路、基於資訊的系統、電子郵件系統、kiosks、通過影像掃描發送或者傳真紙件。
在其中一個實施例中,所述符記組合包括以下一個或者多個資料的任意組合: A1)含兩組金鑰對的數碼證書:一個用於簽章,一個用於加密; A2)含唯一符記序號的資料簽章符記種子檔; A3)含唯一符記序號的OTP符記生成軟體。
在其中一個實施例中,所述第一認證碼為聲音碼、圖像碼、指紋碼或者二維碼中的一種或者多種格式的碼。
在其中一個實施例中,所述第二認證碼為聲音碼、圖像碼、指紋碼或者二維碼中的一種或者多種格式的碼。
本發明的有益效果:本發明的多通訊管道認證授權平臺系統和方法,通過在多通訊管道之間進行認證授權,為認證和授權資訊完整性提供端到端保護,而資訊的驗證對比則會在防篡改的環境內進行,並通過使用密碼和基於使用者驗證的資料的交易簽章,防止惡意軟體、即時網路釣魚和基於中間人網路釣魚(Man-In-the-Middle,MitM)的攻擊,其安全、便捷,易操作,成本低,在網路認證授權過程中有效防止各種惡意攻擊。進一步地,其支持在一個或多個通信管道的多個服務提供者和多個認證授權平臺之間的認證授權。
為了使本發明的多通訊管道認證授權平臺系統和方法的目的、技術方案及優點更加清楚明白,以下結合具體附圖及具體實施例,對本發明多通訊管道認證授權平臺系統和方法進行進一步詳細說明。
本發明多通訊管道認證授權平臺系統的一個實施例,如圖1所示。
如圖1所示,本發明實施例的多通訊管道認證授權平臺系統(Authentication and Authorization Platform,AAP)包括符記生成伺服器(Security Token Provisioning Module ,STPM)100,註冊伺服器(Transaction Initiation Module,TIM)200,認證伺服器(Transaction Authorization Module,TAM)300,和授權終端(Transaction Authorization Device,TAD)400。
符記生成伺服器(STPM)100是一個完整生命週期處理模組,它處理授權終端(TAD)的一個或多個安全符記的身份認證授權和解除身份認證授權,用於在註冊伺服器向其發出註冊請求時,生成符記組合,並將所述符記組合提供給所述註冊伺服器。
註冊伺服器(TIM)200提供程式化的介面,以支援一個或多個訪問通訊管道以便使用者獲取用於認證和授權的符記組合,以啟動認證和授權,用於在接到使用者的授權終端(TAD)通過一個或者多個訪問通訊管道向其發出註冊請求時,根據註冊請求向所述符記生成伺服器(STPM)請求所述符記組合;並在獲取所述符記組合後,將所述符記組合與授權終端資訊對應;然後將符記組合、加密解密軟體及認證碼生成格式軟體,通過所述一個或者多個訪問管道回饋給使用者的授權終端(TAD);同時將所述符記組合與對應的授權終端資訊、加密解密軟體及認證碼生成格式軟體,通過不同於所述一個或者多個訪問管道的另一訪問管道發送到認證伺服器(TAM)。
所述加密解密軟體,以及認證碼生成格式軟體,是預先設置在所述註冊伺服器中的已知的現有的加密解密軟體,以及已知的認證碼生成格式軟體,是一種現有技術,因此,在本發明實施例中,不再一一詳細描述。
所述授權終端資訊可以是使用者通過授權終端(TAD)輸入的個性化的聲音、圖像(如掃描的個人圖像或者簽名)、指紋資料等,這些授權終端資訊可以由使用者在授權終端上進行定期的更換並通過訪問管道通知給認證伺服器。
作為一種可實施方式,所述授權終端資訊還可以包括授權終端(TAD)的唯一設備識別號(Unique Device Identification Number,UDIN)。
作為一種可實施方式,所述唯一設備識別號是通過讀取使用者的授權終端(TAD)的UUID(Universally Unique Identifier,通用唯一識別碼)得到的。
所述訪問管道包括但不限於網路/電話網絡、使用觸音(touch tone)和/或聲音指令的Phone IVR網路、基於資訊的系統(包括短資訊系統)、電子郵件系統、kiosks、通過影像掃描發送或者傳真紙件(Paper)等。
所述符記組合包括但不限於一個或者多個資料的任意組合: A1)含兩組金鑰對的數碼證書:一個用於簽章,一個用於加密; A2)含唯一符記序號的資料簽章符記種子檔; A3)含唯一符記序號的OTP(One-time Password,動態口令)符記生成軟體。
認證伺服器(TAM)300為通過應用程式設計發展介面(application programming interfaces,API)使認證伺服器(TAM)具有認證和授權功能,用於在獲得所述符記組合與對應的授權終端資訊後,當接到授權終端請求進行授權認證時,利用符記組合,以對應的授權設備資訊生成第一密碼;並根據授權終端發送來的第二認證碼,利用加密解密軟體及認證碼生成格式軟體,將所述第一密碼轉化與第二認證碼的格式相同的第一認證碼,進行認證比對;或者利用加密解密軟體及認證碼生成格式軟體,對授權終端發送來的第二認證碼利用加密解密軟體及認證碼生成格式軟體進行解析,得到授權終端發送來的第二密碼,與第一密碼進行認證比對,根據認證比對的結果進行認證授權。
所述利用加密解密軟體及認證碼生成格式軟體對第二認證碼進行解析,得到第二密碼,是一種現有技術,因此,在本發明實施例中,不再一一詳細描述。
所述認證伺服器(TAM)300配置有類似電腦的功能設備,如揚聲器、麥克風、照相機、指紋掃描器,可讀取或者生成相應格式的第一認證碼,如聲音碼、圖像碼、指紋碼或者二維碼等的一種或者多種格式的碼。
授權終端(TAD)400是一種計算設備,用於在接收到所述符記組合後,在需要進行認證授權時,利用符記組合,根據對應的授權設備資訊生成第二密碼,並利用加密解密軟體及認證碼生成格式軟體,將所述第二密碼轉換為第二認證碼後,發送給認證伺服器(TAM)進行認證授權。
所述授權終端(TAD)400可以是例如手持設備、行動電話、平板電腦或類似設備,這些設備都配置為類似電腦的功能設備,如揚聲器、麥克風、照相機、指紋掃描器,可讀取或者生成相應格式的第二認證碼,如聲音碼、圖像碼、指紋碼或者二維碼等的一種或者多種格式的碼。
所述含唯一符記序號的資料簽章符記種子檔可以利用授權終端資訊生成相應的第一密碼或者第二密碼。
作為一種可實施方式,所述符記組合以及相對應的授權終端(TAD)、加密解密軟體及認證碼生成格式軟體,由註冊伺服器發送到認證伺服器和授權終端時,是使用RSA演算法或者AES演算法進行加密的,而加密金鑰是存儲在防篡改設備(例如FIPS 140認證的設備)中,保證其安全性。
作為一種可實施方式,所述加密是使用私有金鑰的RSA加密方法進行加密的,和/或,使用公共金鑰通過AES加密的隨機生成啟動密碼,對符記組合進行再進一步的加密;然後註冊伺服器生成一個用於下載符記組合的URL(Uniform Resource Locator,統一資源定位符,也稱為網頁地址),由使用者的授權終端(TAD)下載得到。
在本發明實施例的多通訊管道認證授權平臺系統(AAP)中,已授權的用戶使用符記生成伺服器(STPM)來個性化配置及供給身份給其所擁有的授權終端(TAD)的一個或多個安全符記組合,而授權終端(TAD)是與認證和授權的服務提供者相關聯的,用戶可通過服務提供者的註冊伺服器(TIM),為安全符記申請請求。
作為一種可實施方式,在多通訊管道認證授權平臺系統中進行認證和授權,可以涉及到一個或多個使用不同授權終端(TAD)的使用者的授權終端,而每個授權終端在參與授權過程之前,其授權終端(TAD)都要得到符記生成伺服器(STPM)的批准。
授權終端(TAD)從一訪問通訊管道,例如,桌面網路流覽器、電話、IVR、Kiosk,通過註冊伺服器(TIM),及使用通信管道,提交安全符記申請請求到註冊伺服器,註冊伺服器將該安全符記申請請求轉發到符記生成伺服器(STPM),請求生成符記組合。
本發明還提供一種多通訊管道認證授權方法,如圖2所示,包括如下步驟: 步驟S100,註冊伺服器(TIM)在接到使用者的授權終端(TAD)通過一個或者多個訪問通訊管道向其發出註冊請求時,根據註冊請求向所述符記生成伺服器(STPM)請求所述符記組合; 步驟S200,符記生成伺服器(STPM)在接到註冊伺服器的請求後,符記生成伺服器(STPM)生成一個符記組合,並將該符記組合返回給註冊伺服器。 步驟S300,註冊伺服器(TIM)在獲取所述符記組合後,將所述符記組合與授權終端資訊對應;然後將符記組合、加密解密軟體及認證碼生成格式軟體,通過所述一個或者多個訪問管道回饋給使用者的授權終端(TAD);同時將所述符記組合與對應的授權終端資訊、加密解密軟體及認證碼生成格式軟體,通過不同於所述一個或者多個訪問管道的另一訪問管道發送到認證伺服器(TAM)。 步驟S400,授權終端(TAD)向認證伺服器(TAM)發起認證授權請求,認證伺服器(TAM)回應; 步驟S500,在認證伺服器回應後,授權終端通過利用符記組合,根據對應的授權設備資訊生成第二密碼,並利用加密解密軟體及認證碼生成格式軟體,將所述第二密碼轉換為第二認證碼後,發送給認證伺服器(TAM)進行認證授權。 步驟S600,在認證伺服器回應後,認證伺服器利用符記組合,以對應的授權設備資訊生成第一密碼;並根據授權終端發送來的第二認證碼,利用加密解密軟體及認證碼生成格式軟體,將所述第一密碼轉化與第二認證碼的格式相同的第一認證碼,進行認證比對;或者利用加密解密軟體及認證碼生成格式軟體,對授權終端發送來的第二認證碼進行解析,得到授權終端發送來的第二密碼,與第一密碼進行認證比對,根據認證比對的結果進行認證授權。
所述符記生成伺服器根據公知的符記生成演算法,生成符記中的種子檔和種子檔的唯一識別碼,並加上加密資料,組成符記組合。
生成符記組件後,符記生成伺服器(STPM)把以下資訊傳回給註冊伺服器(TIM):符記元件,加密解密軟體及認證碼生成格式軟體。
所述認證碼生成格式軟體,包括但不限於圖形(例如VRcode、Barcode)、光碼(例如光頻- light frequency)、音碼(例如音調- audio tone)或語音格式生成軟體,所述格式生成軟體可將授權終端(TAD)或者認證伺服器(TAM)生成的第一密碼或者第二密碼生成使用者通過授權設備指定的第一認證碼或者第二認證碼。
在收到註冊伺服器(TAD)回饋的符記元件,加密軟體及認證碼生成格式軟體後,使用預設設定解密金鑰在授權終端(TAD)上解密URL資訊,並要求使用者輸入符記啟動密碼(由認證伺服器預先提供)來安裝安全符記組合及加密軟體和格式生成軟體。
作為一種可實施例,可以使用AES演算法或者RSA演算法,根據符記生成伺服器(STPM)和授權終端(TAD)之間的預先設定金鑰,對URL資訊和符記元件及加密軟體和格式生成軟體進行加密。
作為一種可實施方式,本發明的符記啟動密碼,是通過預先定義的和預先註冊的網路管道(電子郵件、SMS或通過IVR的語音電話等等),發送給授權終端(TAD)的。
在使用者輸入了符記啟動密碼後,授權終端(TAD)下載加密的符記元件,並對符記元件中的資訊完整性進行驗證,解密內容並安裝符記元件及加密軟體和格式生成軟體。
作為一種可實施方式,本發明實施例中,在完成符記組件的安裝之後,授權終端(TAD)可要求用戶輸入由安全符記生成並顯示的動態口令(OTP),然後驗證動態口令(OTP)以確保安全符記元件可正常發揮作用。
授權終端(TAD)從一個或者多個訪問管道,例如,桌面網路流覽器、電話IVR、Kiosk、等等,進行設備間的認證授權,該訪問管道是通過通訊管道連接到認證伺服器(TAM)。該訪問管道是認證伺服器(TAM)通過預先的安全認證的,如通過簽章設備進行授權認證連接的安全連接。
授權終端(TAD)發送第一認證碼給認證伺服器(TAM)。
所述第一認證碼可以是使用格式生成軟體生對第一密碼進行轉換生成的一加密的圖形(例如VRcode、Barcode)、光碼(例如光頻- light frequency)、音碼(例如音調- audio tone)或語音資料。
作為一種可實施方式,所發送的第一認證碼,使用了基於多個加密金鑰的組合的AES(Advanced Encryption Standard,高級加密標準,又稱Rijndael加密法)加密的。這些金鑰與授權終端(TAD)的唯一設備識別號(Unique Device Identification Number,UDIN)和唯一符記序號(Unique Token Serial Number,UTSN)進行加密。然後,再使用含服務提供者的私有金鑰的RSA加密,再次加密後得到。
加密過程是為了確保安全,並且,作為一種可實施方式,加密的資料僅可以由以下使用者讀取: 1)發起認證和授權的授權終端(TAD)持有者; 2)在授權終端(TAD)已為了服務提供者預先安裝完畢的安全性群組件。
認證伺服器(TAM)在收到請求確認資料及確認授權資料後,可通過以下方式取得第一認證碼: 1)使用格式生成軟體掃描圖形、二維碼、指紋資料;或者 2)使用預設的麥克風來讀取得音碼或語音。
作為一種可實施方式,在認證授權完成之前,認證伺服器(TAM)解密收到的加密的第一認證碼,得到解密後的第一認證碼。
作為一種可實施方式,例如,在進行驗證資料時,授權終端(TAD)使用指紋資料來確認進行認證授權,並使用授權終端(TAD)來為認證授權創建一個第一認證碼。然後,從授權終端(TAD)提交簽章給認證伺服器(TAM),以進行認證授權。
作為一種可實施方式,授權設備(TAD)可以使用其安全認證的通信管道,偵測是否可連接認證伺服器(TAM),若連接認證伺服器(TAM)失敗,則切換到本地模式,製作第一認證碼,交付第一認證碼通過通信介面(如USB、Bluetooth、NFC介面)到認證伺服器(TAM),以便交付第一認證碼給認證伺服器(TAM)確認認證和授權。
認證伺服器(TAM)在一個安全的、防篡改的環境,例如HSM(Hierarchical Storage Management,分層存儲管理)環境中,驗證第一認證碼以令確認認證和授權生效。
若第一認證碼有效,將等候下一級別的認證授權,若無效,將拒絕,認證授權未通過。
認證伺服器(TAM)在完成認證授權後,發送確認應答給所有請求認證授權的授權終端(TAD),以完成認證授權。
在認證伺服器(TAM)驗證了所有來自全部授權設備的所需的認證和授權後,將確認認證授權完成,發送確認應答給所有請求認證授權的授權終端(TAD)。
授權終端(TAD)收到確認應答後,解密所有相關資料,並以明文方式顯示資訊給使用者,以便其進行下一步操作。
進一步地,作為一種可實施方式,認證伺服器(TAM)記錄所有認證授權日誌,每個授權終端(TAD)記錄使用者的認證授權記錄。
本發明實施例的多通訊管道認證授權平臺系統(AAP),通過在從註冊伺服器(TIM)獨立出來的簽章設備上生成簽章,授權終端(TAD)和認證伺服器(TAM)之間的認證授權,提供一級水準的安全保護。註冊模組(TIM)採用手持計算設備(例如,智慧型電話、平板電腦)可用的網路連接,使用圖形、光或聲音安全地交付資料到授權終端(TAD)。這樣可最小化或者消除使用安全性問題,尤其是關於將資訊手動輸入到簽章設備的問題。並可提供有力的隱私保護和認證,因為加密和簽章的交易資料,是通過圖形、光或聲音形式,從註冊伺服器(TIM)傳送到授權終端(TAD)的。
以上所述實施例僅表達了本發明的幾種實施方式,其描述較為具體和詳細,但並不能因此而理解為對本發明專利範圍的限制。應當指出的是,對於本領域具有通常知識者來說,在不脫離本發明構思的前提下,還可以做出若干變形和改進,這些都屬於本發明的保護範圍。因此,本發明專利的保護範圍應以所附申請專利範圍為准。
100‧‧‧符記生成伺服器
200‧‧‧註冊伺服器
300‧‧‧認證伺服器
400‧‧‧授權終端
200‧‧‧註冊伺服器
300‧‧‧認證伺服器
400‧‧‧授權終端
圖1為本發明實施例的多通訊管道認證授權平臺系統結構示意圖; 圖2為本發明實施例的多通訊管道認證授權方法流程圖。
100‧‧‧符記生成伺服器
200‧‧‧註冊伺服器
300‧‧‧認證伺服器
400‧‧‧授權終端
Claims (24)
- 一種多通訊管道認證授權平臺系統,其特徵在於,包括符記生成伺服器STPM,註冊伺服器TIM,認證伺服器TAM和授權終端TAD; 其中: 所述符記生成伺服器,用於在註冊伺服器向其發出註冊請求時,生成符記組合,並將所述符記組合提供給所述註冊伺服器; 所述註冊伺服器,用於在接到使用者的授權終端通過一個或者多個訪問通訊管道向其發出註冊請求時,根據註冊請求向所述符記生成伺服器請求所述符記組合;並在獲取所述符記組合後,將所述符記組合與授權終端資訊對應;然後將符記組合、加密解密軟體及認證碼生成格式軟體,通過所述一個或者多個訪問管道回饋給使用者的授權終端;同時將所述符記組合與對應的授權終端資訊、加密解密軟體及認證碼生成格式軟體,通過不同於所述一個或者多個訪問管道的另一訪問管道發送到認證伺服器; 所述認證伺服器,用於在獲得所述符記組合與對應的授權終端資訊後,當接到授權終端請求進行授權認證時,利用符記組合,以對應的授權設備資訊生成第一密碼;並根據授權終端發送來的第二認證碼,利用加密解密軟體及認證碼生成格式軟體,將所述第一密碼轉化與第二認證碼的格式相同的第一認證碼,進行認證比對;或者利用加密解密軟體及認證碼生成格式軟體,對授權終端發送來的第二認證碼進行解析,得到授權終端發送來的第二密碼,與第一密碼進行認證比對,根據認證比對的結果進行認證授權; 所述授權終端,用於在接收到所述符記組合後,在需要進行認證授權時,利用符記組合,根據對應的授權設備資訊生成第二密碼,並利用加密解密軟體及認證碼生成格式軟體,將所述第二密碼轉換為第二認證碼後,發送給認證伺服器進行認證授權。
- 如請求項1所述的多通訊管道認證授權平臺系統,其特徵在於,所述授權終端資訊是使用者通過授權終端輸入的個性化的聲音、圖像、指紋資料。
- 如請求項2所述的多通訊管道認證授權平臺系統,其特徵在於,所述授權終端資訊還可以包括授權終端的唯一設備識別號。
- 如請求項1所述的多通訊管道認證授權平臺系統,其特徵在於,所述訪問管道為網路/電話網絡、使用觸音和/或聲音指令的Phone IVR網路、基於資訊的系統、電子郵件系統、kiosks、通過影像掃描發送或者傳真紙件。
- 如請求項1所述的多通訊管道認證授權平臺系統,其特徵在於,所述符記組合包括以下一個或者多個資料的任意組合: A1)含兩組金鑰對的數碼證書:一個用於簽章,一個用於加密; A2)含唯一符記序號的資料簽章符記種子檔; A3)含唯一符記序號的OTP符記生成軟體。
- 如請求項1所述的多通訊管道認證授權平臺系統,其特徵在於,所述認證伺服器配置有揚聲器、麥克風、照相機和/或指紋掃描器,可讀取或者生成相應格式的第一認證碼。
- 如請求項6所述的多通訊管道認證授權平臺系統,其特徵在於,所述第一認證碼為聲音碼、圖像碼、指紋碼或者二維碼中的一種或者多種格式的碼。
- 如請求項1所述的多通訊管道認證授權平臺系統,其特徵在於,所述授權終端是手持設備、行動電話、平板電腦; 所述授權終端配置有揚聲器、麥克風、照相機和/或指紋掃描器,可讀取或者生成相應格式的第二認證碼。
- 如請求項8所述的多通訊管道認證授權平臺系統,其特徵在於,所述第二認證碼為聲音碼、圖像碼、指紋碼或者二維碼中的一種或者多種格式的碼。
- 如請求項5所述的多通訊管道認證授權平臺系統,其特徵在於,所述含唯一符記序號的資料簽章符記種子檔利用授權終端資訊生成相應的第一密碼或者第二密碼。
- 如請求項1所述的多通訊管道認證授權平臺系統,其特徵在於,所述符記組合以及相對應的授權終端、加密解密軟體及認證碼生成格式軟體,由註冊伺服器發送到認證伺服器和授權終端時,是使用RSA演算法或者AES演算法進行加密的。
- 如請求項11所述的多通訊管道認證授權平臺系統,其特徵在於,所述RSA演算法或者AES演算法的加密金鑰存儲在防篡改設備中。
- 如請求項12所述的多通訊管道認證授權平臺系統,其特徵在於,所述加密是使用私有金鑰的RSA加密方法進行加密的,和/或,使用服務提供者的公共金鑰,使用AES加密的隨機生成啟動密碼,對符記組合進行再進一步的加密。
- 如請求項13所述的多通訊管道認證授權平臺系統,其特徵在於,所述註冊伺服器,還用於生成一個用於下載符記組合、加密解密軟體及認證碼生成格式軟體的URL,由使用者的授權終端下載得到。
- 一種多通訊管道認證授權方法,其特徵在於,包括如下步驟: 步驟S100,註冊伺服器在接到使用者的授權終端通過一個或者多個訪問通訊管道向其發出註冊請求時,根據註冊請求向所述符記生成伺服器請求所述符記組合; 步驟S200,符記生成伺服器在接到註冊伺服器的請求後,符記生成伺服器生成符記組合,並將所述符記組合返回給註冊伺服器; 步驟S300,註冊伺服器在獲取所述符記組合後,將所述符記組合與授權終端資訊對應;然後將符記組合、加密解密軟體及認證碼生成格式軟體,通過所述一個或者多個訪問管道回饋給使用者的授權終端;同時將所述符記組合與對應的授權終端資訊、加密解密軟體及認證碼生成格式軟體,通過不同於所述一個或者多個訪問管道的另一訪問管道發送到認證伺服器; 步驟S400,授權終端向認證伺服器發起認證授權請求,認證伺服器回應; 步驟S500,在認證伺服器回應後,授權終端通過利用符記組合,根據對應的授權設備資訊生成第二密碼,並利用加密解密軟體及認證碼生成格式軟體,將所述第二密碼轉換為第二認證碼後,發送給認證伺服器進行認證授權; 步驟S600,在認證伺服器回應後,認證伺服器利用符記組合,以對應的授權設備資訊生成第一密碼;並根據授權終端發送來的第二認證碼,利用加密解密軟體及認證碼生成格式軟體,將所述第一密碼轉化與第二認證碼的格式相同的第一認證碼,進行認證比對;或者利用加密解密軟體及認證碼生成格式軟體,對授權終端發送來的第二認證碼進行解析,得到授權終端發送來的第二密碼,與第一密碼進行認證比對,根據認證比對的結果進行認證授權。
- 如請求項15所述的多通訊管道認證授權方法,其特徵在於,所述認證碼生成格式軟體為圖形、光碼、音碼或語音格式生成軟體。
- 如請求項15所述的多通訊管道認證授權方法,其特徵在於,所述步驟S300還包括如下步驟: 步驟S310,註冊伺服器在收到註冊伺服器回饋的符記元件、加密軟體及認證碼生成格式軟體後,使用預設設定解密金鑰在授權終端上解密URL資訊,並要求使用者輸入符記啟動密碼安裝安全符記組合及加密軟體和格式生成軟體。
- 如請求項17所述的多通訊管道認證授權方法,其特徵在於,所述加密為: 使用AES演算法或者RSA演算法,根據符記生成伺服器和授權終端之間的預先設定金鑰,對URL資訊和符記元件及加密軟體和格式生成軟體進行加密。
- 如請求項17所述的多通訊管道認證授權方法,其特徵在於,所述步驟S300還包括如下步驟: 步驟S320,在完成符記元件的安裝之後,授權終端要求使用者輸入由動態安全符記軟體生成並顯示的動態口令,然後驗證動態口令。
- 如請求項15所述的多通訊管道認證授權方法,其特徵在於,所述授權終端資訊是使用者通過授權終端輸入的個性化的聲音、圖像、指紋資料。
- 如請求項20所述的多通訊管道認證授權方法,其特徵在於,所述授權終端資訊還可以包括授權終端的唯一設備識別號。
- 如請求項15所述的多通訊管道認證授權方法,其特徵在於,所述訪問管道為網路/電話網絡、使用觸音和/或聲音指令的Phone IVR網路、基於資訊的系統、電子郵件系統、kiosks、通過影像掃描發送或者傳真紙件。
- 如請求項15所述的多通訊管道認證授權方法,其特徵在於,所述符記組合包括以下一個或者多個資料的任意組合: A1)含兩組金鑰對的數碼證書:一個用於簽章,一個用於加密; A2)含唯一符記序號的資料簽章符記種子檔; A3)含唯一符記序號的OTP符記生成軟體。
- 如請求項15所述的多通訊管道認證授權方法,其特徵在於,所述第一認證碼為聲音碼、圖像碼、指紋碼或者二維碼中的一種或者多種格式的碼; 所述第二認證碼為聲音碼、圖像碼、指紋碼或者二維碼中的一種或者多種格式的碼。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310665028.2A CN104702580B (zh) | 2013-12-10 | 2013-12-10 | 多通讯渠道认证授权平台系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201524177A true TW201524177A (zh) | 2015-06-16 |
| TWI520557B TWI520557B (zh) | 2016-02-01 |
Family
ID=53349352
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW103122183A TW201524177A (zh) | 2013-12-10 | 2014-06-26 | 多通訊管道認證授權平臺系統和方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104702580B (zh) |
| TW (1) | TW201524177A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI657399B (zh) * | 2017-11-17 | 2019-04-21 | 匯智通訊有限公司 | 利用超音波驗證碼對交易憑證進行防偽認證的方法與交易驗證方法 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791259B (zh) * | 2015-10-26 | 2018-11-16 | 北京中金国盛认证有限公司 | 一种个人信息保护的方法 |
| US10075557B2 (en) * | 2015-12-30 | 2018-09-11 | Amazon Technologies, Inc. | Service authorization handshake |
| CN108769992B (zh) * | 2018-06-12 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 用户认证方法、装置、终端及存储介质 |
| TWI672606B (zh) * | 2018-08-28 | 2019-09-21 | 國立暨南國際大學 | 基於認證和密鑰協商協議之授權認證方法 |
| CN109583872A (zh) * | 2018-11-30 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 支付方法和装置 |
| CN110417907B (zh) * | 2019-08-05 | 2022-04-15 | 斑马网络技术有限公司 | 终端设备的管理方法和装置 |
| CN110659006B (zh) * | 2019-08-20 | 2023-08-22 | 北京捷通华声科技股份有限公司 | 跨屏显示的方法、装置、电子设备及可读存储介质 |
| CN111586023B (zh) * | 2020-04-30 | 2022-05-31 | 广州市百果园信息技术有限公司 | 一种认证方法、设备和存储介质 |
| CN112235276B (zh) * | 2020-10-09 | 2023-04-18 | 三星电子(中国)研发中心 | 主从设备交互方法、装置、系统、电子设备和计算机介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7548620B2 (en) * | 2004-02-23 | 2009-06-16 | Verisign, Inc. | Token provisioning |
| WO2009028060A1 (ja) * | 2007-08-29 | 2009-03-05 | Mitsubishi Electric Corporation | 認証システム及び認証装置及び端末装置及びicカード及びプログラム |
| CN103209160B (zh) * | 2012-01-13 | 2018-05-08 | 中兴通讯股份有限公司 | 一种面向异构网络的认证方法及系统 |
| CN103401686B (zh) * | 2013-07-31 | 2016-08-10 | 陕西海基业高科技实业有限公司 | 一种用户互联网身份认证系统及其应用方法 |
-
2013
- 2013-12-10 CN CN201310665028.2A patent/CN104702580B/zh active Active
-
2014
- 2014-06-26 TW TW103122183A patent/TW201524177A/zh unknown
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI657399B (zh) * | 2017-11-17 | 2019-04-21 | 匯智通訊有限公司 | 利用超音波驗證碼對交易憑證進行防偽認證的方法與交易驗證方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104702580B (zh) | 2017-12-29 |
| CN104702580A (zh) | 2015-06-10 |
| TWI520557B (zh) | 2016-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW201524177A (zh) | 多通訊管道認證授權平臺系統和方法 | |
| CN109150548B (zh) | 一种数字证书签名、验签方法及系统、数字证书系统 | |
| US20210367795A1 (en) | Identity-Linked Authentication Through A User Certificate System | |
| US8769612B2 (en) | Portable device association | |
| CN106888089B (zh) | 电子签章的方法和系统以及用于电子签章的移动通信终端 | |
| US8099761B2 (en) | Protocol for device to station association | |
| WO2016177052A1 (zh) | 一种用户认证方法和装置 | |
| KR20060003319A (ko) | 기기 인증 시스템 | |
| US20090268912A1 (en) | Data use managing system | |
| WO2003098455A1 (fr) | Systeme et procede de fourniture de services | |
| WO2007099608A1 (ja) | 認証システム、ce機器、携帯端末、鍵証明発行局および鍵証明取得方法 | |
| KR101690989B1 (ko) | Fido 인증모듈을 이용한 전자서명 방법 | |
| JP5431040B2 (ja) | 認証要求変換装置、認証要求変換方法および認証要求変換プログラム | |
| CN113992346A (zh) | 一种基于国密加固的安全云桌面的实现方法 | |
| JP2015039141A (ja) | 証明書発行要求生成プログラム、証明書発行要求生成装置、証明書発行要求生成システム、証明書発行要求生成方法、証明書発行装置および認証方法 | |
| KR101659847B1 (ko) | 모바일 단말을 이용한 2채널 사용자 인증 방법 | |
| TWI643086B (zh) | Method for binding by scanning two-dimensional barcode | |
| JP4409497B2 (ja) | 秘密情報送信方法 | |
| JP7079528B2 (ja) | サービス提供システム及びサービス提供方法 | |
| JP2011024155A (ja) | 電子署名システム、方法 | |
| CN115242471A (zh) | 信息传输方法、装置、电子设备及计算机可读存储介质 | |
| KR102130321B1 (ko) | 비설치형 인증 방법 및 장치 | |
| WO2016165662A1 (zh) | 一种手机准数字证书子系统及其系统及其方法 | |
| CN114640460B (zh) | 一种应用程序中的用户登录方法、装置、设备及介质 | |
| CN114513299B (zh) | 基于开放式授权的数据传输方法及电子设备 |