TW201929476A - 加密驗證方法 - Google Patents
加密驗證方法 Download PDFInfo
- Publication number
- TW201929476A TW201929476A TW106144924A TW106144924A TW201929476A TW 201929476 A TW201929476 A TW 201929476A TW 106144924 A TW106144924 A TW 106144924A TW 106144924 A TW106144924 A TW 106144924A TW 201929476 A TW201929476 A TW 201929476A
- Authority
- TW
- Taiwan
- Prior art keywords
- encryption
- verification
- slave device
- package
- master device
- Prior art date
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一種加密驗證方法,包括:傳送一組亂數值給一從裝置、接收來自從裝置的一第一加密封包、使用主裝置所儲存的金鑰對亂數值進行加密運算以得到一第二加密封包、比對第一加密封包與第二加密封包、當第一加密封包符合第二加密封包時判定驗證成功、以及當第一加密封包不符合第二加密封包時判定驗證不成功。其中,第一加密封包是從裝置使用從裝置所儲存的金鑰對接收到的亂數值進行加密運算而得。基此,主裝置與從裝置能在不公開自己的機密(Password)的情形下進行身分認證,以確保通訊安全。
Description
本發明是關於一種身分認證技術,特別是一種加密驗證方法。
電子裝置普及,讓數位資料無所不在,因此通訊安全成為相當重要的一門課題。存取控制(Access Control)是資訊安全的核心項目之一,而身分認證(Authentication)是存取控制中的關鍵環節。
在通訊安全領域中,通訊雙方需要透過雙向驗證來確認對方是否有權限與能力可以互相通信和/或傳輸資料。一般而言,通訊雙方是利用挑戰-回應協定(Challenge-Response Protocol)的方法來進行雙方驗證。挑戰-回應協定的方法適用在通訊雙方已知有一組私有機密(Password)。通訊雙方在建立通訊之前,通訊雙方以挑戰-回應協定的方法驗證雙方的私有機密是否存在匹配;若存在時,即驗證成功並形成建立通訊通道,以互相通信和/或傳輸資料。
然而,在很多強調安全的晶片上,其機密通常都會存在一個連自身都無法存取的區塊,以致無法適用挑戰-回應協定的方法來進行雙方驗證。
在一實施例中,一種加密驗證方法,其適用於一主裝置。此加密驗證方法包括:傳送一組亂數值給一從裝置、接收來自從裝置的一第一加密封包、使用主裝置所儲存的金鑰對亂數值進行加密運算以得到一第二加密封包、比對第一加密封包與第二加密封包、當第一加密封包符合第二加密封包時判定驗證成功、以及當第一加密封包不符合第二加密封包時判定驗證不成功。其中,第一加密封包是從裝置使用從裝置所儲存的金鑰對接收到的亂數值進行加密運算而得。
在另一實施例中,一種加密驗證方法,其適用於一從裝置。此加密驗證方法包括:接收來自一主裝置的一組亂數值、使用從裝置所儲存的金鑰對亂數值進行加密運算以得到一第一加密封包、傳送第一加密封包給主裝置、以及從主裝置接收基於第一加密封包的驗證結果。
在又一實施例中,一種加密驗證方法,其適用於一主裝置。此加密驗證方法包括:使用主裝置所儲存的從裝置的金鑰對一組亂數值進行加密運算以得到一第一加密封包、傳送第一加密封包給從裝置、接收來自從裝置的一第二加密封包、使用從裝置所儲存的主裝置的金鑰對第二加密封包進行解密運算以得到一組結果值、比對亂數值與結果值、當結果值符合亂數值時判定驗證成功、以及當結果值不符合亂數值時判定驗證不成功。其中,第二加密封包是從裝置使用從裝置所儲存的從裝置的金鑰對第一加密封包進行解密運算後再使用從裝置所儲存的主裝置的金鑰進行加密運算而得。
在又另一實施例中,一種加密驗證方法,其適用於一從裝置。此加密驗證方法包括:接收來自一主裝置的一第一加密封包、使用從裝置儲存的從裝置的金鑰對第一加密封包進行解密運算以得到一解密值、使用從裝置所儲存的主裝置的金鑰對解密值進行加密運算以得到一第二加密封包、傳送第二加密封包給主裝置、以及從主裝置接收基於第二加密封包的驗證結果。其中,第一加密封包是主裝置使用主裝置所儲存的從裝置的金鑰對一組亂數值進行加密運算而得。
綜上所述,根據本發明之加密驗證方法適用於一通訊系統,致使通訊系統中的主裝置與從裝置在不公開且可能無法存取自己的機密(Password)的情形下進行身分認證,以確保通訊安全。
在一實施例中,此加密驗證方法適用於對稱加密之通訊系統。參照圖1,通訊系統包括主裝置10與從裝置20。主裝置10與從裝置20之間能以有線或無線的方式建立通訊通道。於建立通訊前,主裝置10與從裝置20之間會先進行身分驗證來確認對方是否有權限與能力可以互相通信和/或傳輸資料。於此,主裝置10與從裝置20均各自儲存有相同之一金鑰。
參照圖1及圖2,當主裝置10與從裝置20欲建立通訊通道時,主裝置10會先利用亂數產生器產生一組亂數值C(步驟S31),並將產生的亂數值C傳送給從裝置20(步驟S32)。此組亂數值C即為挑戰(Challenge)。
從裝置20接收主裝置10傳送的亂數值(步驟S33)後,從裝置20使用從裝置20內建的金鑰對接收到的亂數值C進行加密運算以得到一第一加密封包P11(步驟S34)。然後,從裝置20將產生的第一加密封包P11回傳給主裝置10(步驟S35)。
於此,主裝置10亦使用主裝置10內建的金鑰對亂數值C進行加密運算以得到一第二加密封包(步驟S36)。於主裝置10接收到從裝置20回傳的第一加密封包P11(步驟S37)時,主裝置10會比對第一加密封包P11與第二加密封包(步驟S38)。
當第一加密封包P11符合第二加密封包時,主裝置10判定驗證成功(步驟S39),並傳送表示驗證成功的驗證結果M給從裝置20(步驟S40),以允許與從裝置20建立通訊通道,即主裝置10與從裝置20建立通訊通道(步驟S41)。於通訊通道建立後,主裝置10與從裝置20之間即可以同一機密(Password)加密來互相通信和/或傳輸資料。
當第一加密封包P11不符合第二加密封包時,主裝置10判定驗證不成功(步驟S42),並傳送表示驗證不成功的驗證結果M給從裝置20(步驟S43),以不允許與從裝置20建立通訊通道,即主裝置10與從裝置20不建立通訊通道(步驟S44)。
在一些實施例中,前述之加密步驟(步驟S34及步驟S36)可執行一次或多次加密運算。其中,步驟S34及步驟S36所採用的加密方法可以為對稱式加密方式、不可逆加密演算法和不可逆數學映射演算法其中至少一種。在一些實施例中,對稱式加密方式可例如是進階加密標準(Advanced Encryption Standard, AES)加密演算法、數據加密標準(Data Encryption Standard, DES)加密演算法或三重數據加密標準(Triple Data Encryption Standard, 3DES)加密演算法等。不可逆加密演算法可包含雜湊(Hash)演算法。不可逆加密演算法可例如是訊息摘要演算法(Message-Digest Algorithm, MD5)、安全雜湊演算法1(Secure Hash Algorithm 1, SHA-1)、安全雜湊演算法256(Secure Hash Algorithm 256, SHA-256)、安全雜湊演算法384(Secure Hash Algorithm 384, SHA-384)、安全雜湊演算法512(Secure Hash Algorithm 512, SHA-512)等。不可逆數學映射演算法可例如是橢圓曲線乘演算法(Elliptic Curve Multiplication Algorithm, EC Multiplication Algorithm)等。
在另一實施例中,此加密驗證方法適用於不對稱加密之通訊系統。參照圖3,通訊系統包括主裝置10與從裝置20。主裝置10與從裝置20之間能以有線或無線的方式建立通訊通道。於建立通訊前,主裝置10與從裝置20之間會先進行身分驗證來確認對方是否有權限與能力可以互相通信和/或傳輸資料。於此,主裝置10儲存有一主裝置10的金鑰與一從裝置20的金鑰,並且從裝置20儲存有一從裝置20的金鑰與一主裝置10的金鑰。
參照圖3至圖5,當主裝置10與從裝置20欲建立通訊通道時,主裝置10會先利用亂數產生器產生一組亂數值C(步驟S51),並使用主裝置10內建的從裝置20的金鑰對產生的亂數值C進行加密運算以得到第一加密封包P21(步驟S52)。然後,主裝置10將第一加密封包P21傳送給從裝置20(步驟S53)。此組亂數值C為挑戰。
從裝置20接收來自主裝置10的第一加密封包P21(步驟S54)後,從裝置20使用從裝置20內建的從裝置20的金鑰對第一加密封包P21進行解密運算以得一解密值(步驟S55),並且使用從裝置20內建的主裝置10的金鑰對解密值進行加密運算以得到第二加密封包P22(步驟S56)。然後,從裝置20將第二加密封包P22回傳給主裝置10(步驟S57)。於此,第二加密封包P22為加密挑戰(Encrypted Challenge)。
主裝置10接收來自從裝置20的第二加密封包P22(步驟S58)後,主裝置10使用主裝置10內建的主裝置10的金鑰對第二加密封包P22進行解密運算以得到一組結果值(步驟S59)。並且,主裝置10會比對得到的結果值與其產生的亂數值C(步驟S60)。
當結果值符合亂數值C時,主裝置10判定驗證成功(步驟S61),並傳送表示驗證成功的驗證結果M給從裝置20(步驟S62),以允許與從裝置20建立通訊通道,即主裝置10與從裝置20建立通訊通道(步驟S63)。於通訊通道建立後,主裝置10與從裝置20之間即可以一對已互相認證之金鑰加密來互相通信和/或傳輸資料。
當結果值不符合亂數值C時,主裝置10判定驗證不成功(步驟S64),並傳送表示驗證不成功的驗證結果M給從裝置20(步驟S65),以不允許與從裝置20建立通訊通道,即主裝置10與從裝置20不建立通訊通道(步驟S66)。
在一些實施例中,前述之加密步驟(步驟S52及步驟S56)可執行一次或多次加密運算。同樣地,前述之解密步驟(步驟S55及步驟S59)可執行一次或多次解密運算。其中,步驟S52及步驟S56所採用的加密方法可以為非對稱式加密方式、不可逆加密演算法和不可逆數學映射演算法其中至少一種。而步驟S55及步驟S59所採用的解密方法則對應於步驟S52及步驟S56所採用的加密方法。在一些實施例中,非對稱式加密方式可例如是RSA(Rivest-Shamir-Adleman)加密演算法或ECC(Elliptic-Curve Cryptography)加密演算法等。不可逆加密演算法可包含雜湊演算法。不可逆加密演算法可例如是訊息摘要演算法、安全雜湊演算法1、安全雜湊演算法256、安全雜湊演算法384、安全雜湊演算法512等。不可逆數學映射演算法可例如是橢圓曲線乘演算法等。舉例來說,當步驟S52及步驟S56所採用的加密方法為RSA加密演算法時,步驟S55及步驟S59所採用的解密方法則為RSA解密演算法。
在一實施例中,通訊系統可為一電子裝置。主裝置10與從裝置20可為電子裝置上相互耦接的二元件。舉例來說,參照圖6,主裝置10與從裝置20分別是電子裝置的主板70上的處理單元71與網路模組72。處理單元71有一個或多個連接介面T11~T15,並透過此些連接介面T11~T15耦接主板70上的其他元件(如,網路模組72、開關、儲存裝置、其他周邊元件等)。網路模組72有一個或多個內連接介面T21~T23與外連接介面T24~T25。網路模組72透過內連接介面T21~T23耦接主板70上的其他元件(如,處理單元71、儲存裝置等),並且透過外連接介面T24~T25耦接外部裝置(如,用戶識別卡(Subscriber Identification Module, SIM)、通用序列匯流排(Universal Serial Bus, USB)裝置、網路線等)。
當處理單元71與網路模組72欲建立通訊通道時,兩者即可利用上述任一實施例之加密驗證方法(對稱或非對稱式加密)進行身分驗證,以決定通訊通道是否允許建立。於驗證通過後,處理單元71與網路模組72之間的通訊通道才算建立完成。於通訊通道建立後,處理單元71與網路模組72則可互相通信和/或傳輸資料,例如,遠端伺服器可經由網路模組72設定或控制處理單元71的運作,或者處理單元71可將其所連接的周邊元件的資訊透過網路模組72傳送至遠端伺服器。
在另一實施例中,通訊系統可為通過網路連接之二電子裝置(分別為主裝置10與從裝置20)之組合。當二電子裝置欲透過有線網路或無線網路建立通訊通道時,兩者可利用上述任一實施例之加密驗證方法進行身分驗證,以決定通訊通道是否允許建立。
在一些實施例中,電子裝置可例如手持式電子裝置、車控裝置、伺服器或物聯網(Internet of things, IoT)裝置等。手持式電子裝置例如智慧型手機(Smart Phone)、導航機(PND)、電子書(e-book)、筆記型電腦(notebook)、或平版電腦(Tablet or Pad)等。IoT裝置可為智慧型家電、可遙控之物件控制器、或警報或警示裝置等。
在一實施例中,主裝置10與從裝置20能在每次相互通信或傳輸資料前均進行一次身分認證(即執行一次加密驗證方法),即在一次身分認證成功後,僅能進行一次相互通信或傳輸資料。在另一實施例中,在一次身分認證成功後,主裝置10與從裝置20能在一定時間內進行多次相互通信或傳輸資料。在又一實施例中,在一次身分認證成功後,主裝置10與從裝置20在任一方進入休眠狀態前能進行多次相互通信或傳輸資料,並且於從休眠狀態喚醒後再重新進行一次身分認證。
綜上所述,根據本發明之加密驗證方法適用於一通訊系統,致使通訊系統中的主裝置10與從裝置20在不公開自己的機密的情形下進行身分認證,以確保通訊安全。
10‧‧‧主裝置
20‧‧‧從裝置
C‧‧‧亂數值
P11‧‧‧第一加密封包
M‧‧‧驗證結果
P21‧‧‧第一加密封包
P22‧‧‧第二加密封包
70‧‧‧主板
71‧‧‧處理單元
72‧‧‧網路模組
T11~T15‧‧‧連接介面
T21~T23‧‧‧內連接介面
T24~T25‧‧‧外連接介面
S31~S44‧‧‧步驟
S51~S66‧‧‧步驟
圖1是根據本發明第一實施例之通訊系統的示意圖。 圖2是根據本發明第一實施例之加密驗證方法的流程圖。 圖3是根據本發明第二實施例之通訊系統的示意圖。 圖4及圖5是根據本發明第二實施例之加密驗證方法的流程圖。 圖6是一示範例之通訊系統的功能方塊圖。
Claims (14)
- 一種加密驗證方法,適用於一主裝置,該加密驗證方法包括: 傳送一組亂數值給一從裝置; 接收來自該從裝置的一第一加密封包,其中該第一加密封包是該從裝置使用該從裝置所儲存的一金鑰對該組亂數值進行加密運算而得; 使用該主裝置所儲存的一金鑰對該組亂數值進行加密運算以得到一第二加密封包; 比對該第一加密封包與該第二加密封包; 當該第一加密封包符合該第二加密封包時,判定驗證成功;以及 當該第一加密封包不符合該第二加密封包時,判定驗證不成功。
- 如請求項1所述之加密驗證方法,更包括: 於該驗證成功時,允許與該從裝置建立通訊通道;以及 於該驗證不成功時,不允許與該從裝置建立通訊通道。
- 如請求項1所述之加密驗證方法,更包括: 利用一亂數產生器產生該組亂數值。
- 如請求項1所述之加密驗證方法,其中各該加密運算所使用的加密方式為對稱式加密方式、不可逆加密演算法和不可逆數學映射演算法其中至少一種。
- 一種加密驗證方法,適用於一從裝置,該加密驗證方法包括: 接收來自一主裝置的一組亂數值; 使用該從裝置所儲存的一金鑰對該組亂數值進行加密運算以得到一第一加密封包; 傳送該第一加密封包給該主裝置;以及 從該主裝置接收基於該第一加密封包的一驗證結果。
- 如請求項5所述之加密驗證方法,更包括: 於該驗證結果為驗證成功時,與該主裝置建立通訊;以及 於該驗證結果為驗證不成功時,與該主裝置切斷通訊。
- 如請求項5所述之加密驗證方法,其中該加密運算所使用的加密方式為對稱式加密方式、不可逆加密演算法和不可逆數學映射演算法其中至少一種。
- 一種加密驗證方法,適用於一主裝置,該加密驗證方法包括: 使用該主裝置所儲存的一從裝置的金鑰對一組亂數值進行加密運算以得到一第一加密封包; 傳送該第一加密封包給該從裝置; 接收來自該從裝置的一第二加密封包,其中該第二加密封包是該從裝置使用該從裝置所儲存的該從裝置的該金鑰對該第一加密封包進行解密運算後再使用該從裝置所儲存的該主裝置的金鑰進行加密運算而得; 使用該主裝置所儲存的該主裝置的金鑰對該第二加密封包進行解密運算以得到一組結果值; 比對該組亂數值與該組結果值; 當該組結果值符合該組亂數值時,判定驗證成功;以及 當該組結果值不符合該組亂數值時,判定驗證不成功。
- 如請求項8所述之加密驗證方法,更包括: 於該驗證成功時,允許與該從裝置建立通訊;以及 於該驗證不成功時,不允許與該從裝置建立通訊。
- 如請求項8所述之加密驗證方法,更包括: 利用一亂數產生器產生該組亂數值。
- 如請求項8所述之加密驗證方法,其中各該加密運算所使用的加密方式為非對稱式加密方式、不可逆加密演算法和不可逆數學映射演算法其中至少一種。
- 一種加密驗證方法,適用於一從裝置,該加密驗證方法包括: 接收來自一主裝置的一第一加密封包,其中該第一加密封包是該主裝置使用該主裝置所儲存的該從裝置的金鑰對一組亂數值進行加密運算而得; 使用該從裝置所儲存的該從裝置的金鑰對該第一加密封包進行解密運算以得到一解密值; 使用該從裝置所儲存的該主裝置的金鑰對該解密值進行加密運算以得到一第二加密封包; 傳送該第二加密封包給該主裝置;以及 從該主裝置接收基於該第二加密封包的一驗證結果。
- 如請求項12所述之加密驗證方法,更包括: 於該驗證結果為驗證成功時,與該主裝置建立通訊;以及 於該驗證結果為驗證不成功時,與該主裝置切斷通訊。
- 如請求項12所述之加密驗證方法,其中各該加密運算所使用的加密方式為非對稱式加密方式、不可逆加密演算法和不可逆數學映射演算法其中至少一種。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW106144924A TW201929476A (zh) | 2017-12-20 | 2017-12-20 | 加密驗證方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW106144924A TW201929476A (zh) | 2017-12-20 | 2017-12-20 | 加密驗證方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
TW201929476A true TW201929476A (zh) | 2019-07-16 |
Family
ID=68049203
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW106144924A TW201929476A (zh) | 2017-12-20 | 2017-12-20 | 加密驗證方法 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TW201929476A (zh) |
-
2017
- 2017-12-20 TW TW106144924A patent/TW201929476A/zh unknown
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11323276B2 (en) | Mutual authentication of confidential communication | |
EP3633913B1 (en) | Provisioning a secure connection using a pre-shared key | |
WO2021022701A1 (zh) | 信息传输方法、装置、客户端、服务端及存储介质 | |
US9467430B2 (en) | Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware | |
US10015159B2 (en) | Terminal authentication system, server device, and terminal authentication method | |
CN107659406B (zh) | 一种资源操作方法及装置 | |
CN104094267B (zh) | 安全共享来自源装置的媒体内容的方法、装置和系统 | |
WO2016065321A1 (en) | Secure communication channel with token renewal mechanism | |
CN109309566B (zh) | 一种认证方法、装置、系统、设备及存储介质 | |
US11870891B2 (en) | Certificateless public key encryption using pairings | |
US11057196B2 (en) | Establishing shared key data for wireless pairing | |
CN108696518B (zh) | 区块链上用户通信加密方法、装置、终端设备及存储介质 | |
US9773129B2 (en) | Anti-replay protected flash | |
CN111769938A (zh) | 一种区块链传感器的密钥管理系统、数据验证系统 | |
CN114629639A (zh) | 基于可信执行环境的密钥管理方法、装置和电子设备 | |
CN106549754A (zh) | 管理密钥的方法和装置 | |
US11153344B2 (en) | Establishing a protected communication channel | |
CN116455561A (zh) | 用于轻量装置的嵌入式tls协议 | |
KR101929355B1 (ko) | 고유 일련번호 및 대칭키를 이용한 암복호화 시스템 | |
KR20190115489A (ko) | 보안기술을 활용한 iot기기 보안인증 시스템 | |
TW201929476A (zh) | 加密驗證方法 | |
CN114900292B (zh) | 一种预计算系统、预计算数据处理方法及装置 | |
TWI809852B (zh) | 資訊安全積體電路模組 | |
CN109951283A (zh) | 加密验证方法 | |
CN113556230B (zh) | 数据安全传输方法、证书相关方法、服务端、系统及介质 |