TW202005329A - 訊息傳輸之系統與方法 - Google Patents
訊息傳輸之系統與方法 Download PDFInfo
- Publication number
- TW202005329A TW202005329A TW107119201A TW107119201A TW202005329A TW 202005329 A TW202005329 A TW 202005329A TW 107119201 A TW107119201 A TW 107119201A TW 107119201 A TW107119201 A TW 107119201A TW 202005329 A TW202005329 A TW 202005329A
- Authority
- TW
- Taiwan
- Prior art keywords
- server
- client
- message
- security module
- encrypted
- Prior art date
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本發明提出一種訊息傳輸系統與方法,包含:用戶端;加密傳輸端,耦接該用戶端,包含第一資安模組及轉址模組;以及,伺服端,包含第二資安模組;其中,第一資安模組將用戶端訊息,加密為用戶端加密訊息並傳輸,和將伺服端加密訊息解密為伺服端訊息;以及,第二資安模組將伺服端訊息,加密為伺服端加密訊息並傳輸,和將用戶端加密訊息解密為用戶端訊息。
Description
本發明涉及一種訊息傳輸的系統與方法,更詳而言之,其為一種將指向伺服端的連線重新導向至STUNNEL連線,以確保訊息傳輸安全性。
隨著網路科技的發展,現代人不管在工作、學習或其他應用皆以電腦網路或各種通訊裝置作為訊息重要的傳輸工具,尤其在企業、政府單位、金融機構、軍事單位,乃至於個人,均無時無刻在進行資料或訊息的傳輸。然而,從古至今,只要牽涉到重要的,具有無論商務、策略、軍事訊息等等具重大價值的訊息傳輸,即存在訊息於傳輸過程中為第三者盜竊或捏造的可能,從飛鴿傳書的書信攔截、私人電話的監聽,在到網路時代一攻擊端發起中間人攻擊(Man-in-the-Middle Attack,MTIM)等等,再再使得通訊的雙方因訊息被盜竊或捏造,而承受利益的損失。此外,由於現代人對於傳輸訊息時的隱私意識逐漸抬頭,如何使用戶相信,利用一套系統或方法使訊息傳輸的過程安全無虞進而願意採用,也是現今的一大課題。
上述所謂中間人攻擊,係指攻擊端與通訊的兩端或其中一端分別建立獨立的連結,並交換其所收到的資料,使通訊的兩方均誤以為他們正透過一私密的連線對話或與對方交換資料,然實際上整個對話都被攻擊端所掌握,其於密碼學中一個典型的範例為:愛麗絲(Alice)希望與鮑伯(Bob)建立通訊連結,此時,馬洛里(Mallory)希望攔截其通訊的內容與資料,並在必要時給予愛麗絲和鮑伯傳送虛假的通訊內容。首先,愛麗絲向鮑伯要求建立連線,如果此時鮑伯將建立連線的許可傳往愛麗絲,則馬洛里能在傳送的過程中攔截,這時即可發起中間人攻擊。接著,馬洛里傳送給愛麗絲一偽造的通訊內容,聲稱自己是鮑伯,同理可推,馬洛里以上述同樣的手法竊取鮑伯的通訊內容,而愛麗絲 與鮑伯並未察覺到馬洛里這個第三者的存在,並雙雙以為自己仍然在和對方進行通訊。
此外,鑒於近年來雲端技術的逐漸成熟,前述的企業、政府單位等等也益發依賴將重要訊息或檔案儲存於一個或多個存在於網路上的雲端硬碟或伺服端。上述做法的優點為,儲存於雲端硬碟或伺服端的資料可透過網路即時共享予作業群組中的人員,使作業流程能同步即時更新,若重要訊息或檔案利用頻繁,也可避免各人員因忘記同步檔案引起的混亂,提高作業群組中人員的工作效率。然而如同前述,以資安角度來看,頻繁的利用雲端硬碟來儲存與分享資料和重大訊息,在傳輸過程中非常容易被一具有惡意的攻擊端進行盜竊、變造,引起檔案或訊息的外流。
在過往的系統架構中,伺服端的網址是公開而未加密的,亦即,不論用戶端是否為合法的用戶,均可連線至伺服端的網址,儘管在過往的系統架構中在連線後存在一組帳號密碼進行身份的驗證,然則未加密且公開的伺服端網址本身則很容易成為被攻擊的目標;再者,雖然用戶端的用戶可憑藉用戶本身的帳戶密碼通過用戶端本身的資安模組認證,可與伺服端之間合法的傳輸訊息,但過往的系統架構卻沒有對一連線至用戶端的攻擊端進行身份的認證,這使得一攻擊端得先以一遠端連線的方式操控用戶端做為跳板,來與伺服端建立一合法的連線,以達到對伺服端進行檔案與訊息的竊取或破壞的目的。
請參閱圖2A,在過往的方式中,顯示了在早期,傳輸訊息的雙方係如何保護訊息即便被截獲或盜竊也較難捏造的方法。加密(Encryption)指的是將原始的明文(Plaintext)透過某種程序或演算法轉換為一隱蔽的密文(Ciphertext),使得第三者難以直接看出其所記載的內容,而解密(Decryption)指的則是將密文以一定的程序或演算法,轉換為原本的明文而為人所利用,而上述的程序或演算法則通稱為密鑰(Secret Key),由通訊的雙方共同持有。密鑰若以經過良好設計的「換位(Permutation)」或「取代(Substitution)」的作法,可以達到不錯的堅固性,例如古羅馬帝國時期用來作戰通訊,著名的凱薩密碼(Caesar Cipher)即為一利用「位移」作為加解密的方式(即,將明文中的各字元位置一某 一規則進行位移。),其係透過下述兩個配對函數以達到加解密的目的:En(x)=(x+n)mod 26;Dn(En(x))=(x-n)mod 26。上式中,En(x)表示加密演算,Dn(x)則表示解密演算,x則將A-Z分別以1-26的代碼表示,若隨機取n=4(表示一個字母向後位移4個位置),則明文「attack now」可被E4(x)加密為「ezzego rsz」密文,相對的,透過D4(x)密文又可被解密回明文「attack now」。然則,上述以「換位」或「取代」的加解密方法(如DES、Triple、IDEA、Blowfish等對稱式演算法),其常可以頻譜分析,如參照一語系的常用字符所對應符號等方式,基於目前越來越多的中間人攻擊使使得連線安全性堪慮,雖以目前電腦運算能力,前述對稱式演算法之加密尚算安全,但難以保證當未來電腦的運算能力持續攀升時,其加密的安全性,故而上述加密的方法安全性近年來也越來越受到質疑。
因此,於現時時點上對資安亟需要一種新的傳輸訊息之系統與方法,以避免公開的伺服端網址直接為攻擊端得知而能輕易連線,同時攻擊端容易通過先行連線至用戶端,並以用戶端作為連線至伺服端的跳板,從而輕易的攻擊或盜竊伺服端所存有的重要訊息與檔案。
本發明目的為資訊安全保護,進一步目的為透過轉址模組等等之作用,始可與伺服端連線,反之將視為不明用戶端而禁止連線,以達資安重要目的。本發明之再一目的為利用轉址模組(Redirection module,或稱NetFilter)指向伺服端(Server Terminal,或稱STUNNEL Server)的連線重新導向至用戶端(Client Terminal,或稱STUNNEL Client)。
有鑒於前述習知技術的缺點,本發明提出一種訊息傳輸系統,其系統架構包含:用戶端,包含第一處理模組;傳輸端加密傳輸端,耦接用戶端,包含第一資安模組與轉址模組,以傳輸用戶端加密訊息;以及,伺服端,包含第二處理模組與第二資安模組,以傳輸伺服端加密訊息;其中,該第一資安模組將上述用戶端訊息加密為用戶端加密訊息,並將伺服端加密訊息解密為伺服 端訊息;該第二資安模組將上述伺服端訊息加密為伺服端加密訊息,並將用戶端加密訊息解密為用戶端訊息。
根據本發明之內容,其中該轉址模組包含一網址代碼資料庫,以記錄伺服端代碼所對應的伺服端網址,並將用戶端所輸入的伺服端代碼導向所對應的伺服端網址。根據本發明之內容,其中該第一資安模組包含一第一身份驗證單元,以驗證用戶端之帳戶是否為一被合法授權的用戶。
根據本發明之內容,其中第二資安模組包含一第二身份驗證單元,以驗證用戶端是否為一被合法授權與伺服端連線的終端機。
根據本發明之內容,用戶端包含第一儲存模組,耦接第一處理模組,以儲存伺服端訊息與用戶端訊息。
根據本發明之內容,伺服端包含第二儲存模組,耦接第二處理模組,以儲存伺服端訊息與用戶端訊息。
根據本發明之內容,伺服端包含防火牆模組,以驗證用戶端加密訊息或用戶端訊息是否含有病毒程式或木馬程式等惡意程序。
為了達到用戶端與伺服端訊息傳輸安全的目的,本發明提出一種訊息傳輸方法,其方法流程包含:用戶端輸入一伺服端代碼,轉址模組根據該伺服端代碼將用戶端導向伺服端網址;伺服端中的第二資安模組驗證用戶端的身份;用戶端中的第一資安模組驗證伺服端的身份;用戶端透過第一處理模組傳輸一用戶端訊息,第一資安模組將上述用戶端訊息,加密為用戶端加密訊息;第二資安模組將該用戶端加密訊息解密回用戶端訊息。
為達上述訊息傳輸安全目的,本發明方法包含下列流程:用戶端透過第一資安模組驗證用戶之身份。
為達上述訊息傳輸安全目的,本發明方法包含下列流程:防火牆模組檢測上述用戶端加密訊息是否含有病毒程式或木馬程式等惡意訊息。
為達上述訊息傳輸安全目的,本發明方法包含下列流程:若前述流程中的用戶、用戶端、伺服端的驗證未通過,或用戶端加密訊息含有病毒程式或木馬程式等惡意訊息,則結束方法。
以上所述係用以說明本發明之目的、技術手段以及其可達成之功效,相關領域內熟悉此技術之人可以經由以下實施例之示範與伴隨之圖式說明及申請專利範圍更清楚明瞭本發明。
101‧‧‧用戶端
103‧‧‧不明用戶端
105‧‧‧伺服端
107‧‧‧攻擊端
200‧‧‧訊息傳輸系統
210‧‧‧用戶端
211‧‧‧第一儲存模組
213‧‧‧第一處理模組
230‧‧‧加密傳輸端
231‧‧‧第一資安模組
231A‧‧‧第一身份驗證單元
233‧‧‧轉址模組
233A‧‧‧網址代碼資料庫
250‧‧‧伺服端
251‧‧‧防火牆模組
253‧‧‧第二資安模組
253A‧‧‧第二身份驗證單元
255‧‧‧第二儲存模組
257‧‧‧第二處理模組
300‧‧‧訊息傳輸方法
S1-S15‧‧‧方法流程
如下所述之對本發明的詳細描述與實施例之示意圖,應使本發明更被充分地理解;然而,應可理解此僅限於作為理解本發明應用之參考,而非限制本發明於一特定實施例之中。
圖1係顯示本發明所欲達成的技術效果。
圖2A係說明一對稱式演算法的加解密流程。
圖2B係說明一非對稱式演算法的加解密流程。
圖3係顯示本發明所提出訊息傳輸系統的系統架構。
圖4A係說明轉址模組之架構。
圖4B係說明第一資安模組之架構。
圖4C係說明第二資安模組之架構。
圖5係顯示本發明所提出訊息傳輸方法的方法流程。
圖6係顯示本發明所提出訊息傳輸方法的方法流程。
圖7係顯示本發明所提出訊息傳輸方法的方法流程。
本發明將以較佳之實施例及觀點加以詳細敘述。下列描述提供本發明特定的施行細節,俾使閱者徹底瞭解這些實施例之實行方式。然該領域之熟習技藝者須瞭解本發明亦可在不具備這些細節之條件下實行。此外,本發明亦可藉由其他具體實施例加以運用及實施,本說明書所闡述之各項細節亦可基於不同需求而應用,且在不悖離本發明之精神下進行各種不同的修飾或變更。本發明將以較佳實施例及觀點加以敘述,此類敘述係解釋本發明之結構,僅用以說明而非用以限制本發明之申請專利範圍。以下描述中使用之術語將以最廣義的合理方式解釋,即使其與本創作某特定實施例之細節描述一起使用。
在本發明中,為說明傳輸訊息的加解密方法,將以愛麗絲與鮑伯進行傳輸訊息雙方的代稱,愛麗絲不限於用戶端(210)或伺服端(250),鮑伯亦然;此外,馬洛里則為不明用戶端(103)或攻擊端(107)的代稱,此類敘述係解釋本發明之系統架構,同樣僅用以說明而非用以限制本發明之申請專利範圍,本領域之熟知技術者,當可輕易由本發明內容、實施例與圖式中得到理解。
有鑒於前述習知技術的缺點,本發明提出一種傳輸訊息之系統,其具體欲達到的效能,請參閱圖1,一用戶端(101)可安全地連線至伺服端(105),該伺服端(105)儲存有重要檔案或訊息,然則,為保護傳輸訊息的安全,一未獲授權的不明用戶端(103)並無法透過網路連線至伺服端(105);一欲發起中間人攻擊的攻擊端(107),無法經由攔截用戶端(101)與伺服端(105)的連線,獲得用戶端(101)或伺服端(105)所傳輸的訊息內容,甚或直接與伺服端(105)連線;一攻擊端(107)或一未獲授權的不明用戶端(103)無法藉由遠端連線遙控用戶端(101)當跳板以獲取重要檔案與訊息。其詳細所欲達成上述目的的技術手段請參閱如下說 明。
本發明提出一種訊息傳輸系統(100),請參閱圖3,其系統架構包含:用戶端(210),包含第一處理模組(213);傳輸端加密傳輸端(230),耦接用戶端(210),包含第一資安模組(231)與轉址模組(233),以傳輸用戶端加密訊息;其中加密傳輸端(230)包含第一資安模組(231)(first secure module,或稱STUNNEL模組)。在一實施例中,可利用轉址模組(233)(NetFilter)將用戶端(210)(STUNNEL Client)所輸入之伺服端代碼重新指向至伺服端網址。用戶端(210)則依據SSL/TLS加密協定與伺服端(250)建立連線。伺服端(105),包含第二處理模組(257)與第二資安模組(253),以傳輸伺服端加密訊息;其中,該第一資安模組(231)將上述的用戶端訊息,加密為用戶端加密訊息,並將伺服端加密訊息解密為伺服端訊息;該第二資安模組(253)將上述伺服端訊息加密為伺服端加密訊息,並將用戶端加密訊息解密為用戶端訊息。
根據本發明之內容,伺服端(250)包含防火牆模組(251),以驗證用戶端加密訊息或用戶端訊息是否含有病毒程式或木馬程式等惡意訊息。因此,透過本發明之架構,轉址模組(233)過濾進入用戶端(210)的連線,防止用戶端(210)被其他程序利用。以SSL/TLS雙向認證建立連線用戶端(210)的一相對的公鑰與私鑰(Key Pair),防止數位憑證被盜用,並以防火牆模組(251)保護伺服端(250),只允許來自伺服端(250)(STUNNEL Server)的連線通過。
根據本發明之內容,上述之第一處理模組(213),與第二處理模組(257),通常包含處理器、記憶體、暫存記憶體、顯示裝置、網路通訊模組、作業系統及應用程式等等,以通常已知方式相互連接,以執行運算、暫存、顯示及資料傳輸,與提供訊息傳輸系統(100)之運作與管理協調等功能,基於以上係屬通常已知架構,故在此不贅述。
請參閱圖4A,根據本發明之內容,其中該轉址模組(233)包含一網址代碼資料庫(233A),以記錄伺服端代碼所對應的伺服端網址,並將用戶端(210)所輸入的伺服端代碼導向所對應的伺服端網址。根據本發明之一實施例, 網址代碼資料庫(233A)與防火牆模組(251)根據一SSI/TLS協定,用戶端(210)與伺服端(250)若欲建立連線時,用戶端(210)需透過包含了轉址模組(233)的加密傳輸端(230),始可與伺服端(250)連線,反之,則防火牆模組(251)將伺服端(250)視為一不明用戶端(103),禁止其連線,以達到本發明中,未獲授權的不明用戶端(103)並無法連線至伺服端(105)之重要目的。
承前述,舉一例子作為本發明之一實施例,於本項技藝具有通常知識者可知,本發明不受限於以下,當用戶端(210)欲連線至伺服端(250)時,而以連接埠(port)80時,轉址模組(233)可將用戶端(210)所用的連接埠80轉入連接埠10080,以第一資安模組(231)將用戶端訊息加密為用戶端加密訊息後,透過連接埠10080傳輸至伺服端(250);而當伺服端(250)欲傳輸伺服端訊息至用戶端(210)時,則以第二資安模組(253)將伺服端訊息加密為伺服端加密訊息,並透過連接埠10080進行傳輸至轉址模組(233),而轉址模組(233)再將連接埠10080轉入連接埠80,以降低攻擊端(107)可能進行中間人攻擊的機會。
在本發明之一實施例中,用戶端(210)透過加密傳輸端(230)與伺服端(250)連線時,依據SSL/TLS協定,交換用戶端訊息與伺服端訊息所需加解密的演算方式、加密傳輸端(230)與伺服端(250)其中之一,或兩者的數位憑證、加密傳輸端(230)與伺服端(250)其中之一,或兩者的公鑰,以達到本發明中,未獲授權的不明用戶端(103),以及攻擊端(107)可能進行中間人攻擊的目的。
根據本發明之內容,該第一資安模組(231)與第二資安模組(253)加解密的演算法可為對稱式演算法、非對稱式演算法,或是對稱式與非對稱式演算法的混用。請參閱圖2B,根據本發明一實施例,其非對稱式演算法與對稱式演算法最大的不同,則在於用做加密與解密的密鑰是不同的,非對稱式演算法的密鑰分為兩個,一為公鑰(Public Key),一為私鑰(Private Key),其做法為:當愛麗絲欲與鮑伯進行通訊時,愛麗絲將其所持有的公鑰傳送予鮑伯;當鮑伯接收到愛麗絲給予的公鑰時,則將要傳輸的訊息內容以公鑰進行加密並傳送予愛麗絲;愛麗絲在使用私鑰將上述以公鑰加密的訊息進行解密。在本發明另一實施例中,則可為對稱式與非對稱式演算法的混用,以節省訊息傳輸系統(200) 的資源,加快其作用的速度。
承上述,非對稱加密演算法的特點在於,愛麗絲的公鑰只能用以加密訊息,而無法用以解密訊息,若要解密,則必須使用愛麗絲的私鑰始可完成。如此作法的好處為,當鮑伯的訊息在傳送給愛麗絲的過程中,即便為中間人馬洛里所攔截,由於馬洛里未持有愛麗絲的私鑰(私鑰僅愛麗絲持有),故而馬洛里無法解密鮑伯的訊息,達到通訊安全的目的。
根據本發明之實施例,上述非對稱演算法的演算方式可為:RSA、EIGamal、迪飛-哈爾曼金鑰交換協定、橢圓曲線加密演算法。上述用作非對稱演算法的演算方式僅為舉例但不限於其上,當可依照應用的需求做出調整。根據本發明之較佳實施例,可為RSA進行加解密演算,其計算的方式如下:1.隨意取兩個質數p、q,其中p不等於q,且p和q互質;2.計算p與q的乘積N:N=pq;3.依據尤拉函數,求出φ(N)=(p-1)(q-1);4.隨意選擇一數字e,其中1<e<φ(N),且e與φ(N)互質;5.對e進行模指數運算:d=e-1 mod[φ(N)];6.自此,將(N,e)設為公鑰,將(N,d)設為私鑰,則以下兩式進行加解密:加密:c=me mod N;解密:m=cd mod N,其中c為密文,m為明文。因此根據上述方法,若取p=3;q=11;e=3,則下表即為一加解密的例子
請參閱圖4B,根據本發明之內容,其中該第一資安模組(231)包含一第一身份驗證單元(231A),透過驗證伺服端(250)的數位憑證,以驗證伺服端(250)的身份,或用戶端(210)是否為一被合法授權的用戶。於本發明之一觀點中,一攻擊端(107)或一不明用戶端(103)可能先以一遠端連線的方式操控用戶端(210)做為跳板,來與伺服端(250)建立連線,以達到對伺服端(250)進行檔案與訊息的竊取或破壞的目的。因此,於本發明一實施例中,第一資安模組(231)透過 監控用戶端(210)之連接埠中,是否含有對鍵盤、滑鼠、聲控、手勢操控或其它可改變用戶端(210)對伺服端(250)連線狀態的惡意程序,以避免用戶端(210)成為不明用戶端(103)或攻擊端(107),竊取檔案與訊息或進行破壞的跳板,例如,一離職的員工,利用遠端連線的功能,竊取其原工作單位的機密資料等等。
根據本發明之另一實施例,該第一身分驗證單元(231A)可由第一處理模組(213)輸入密碼、秘密圖形、聲紋、指紋、視網膜影像,或以上的組合等方式,以驗證用戶端(210)是否為一經過授權的用戶,以避免一身份不明的用戶,但使用了一被授權的用戶端(210)操作訊息傳輸系統(200)。
根據本發明之內容,請參閱圖4C,其中第二資安模組(253)包含一第二身份驗證單元(253A),透過驗證用戶端(210)的數位憑證,以驗證用戶端(210)與伺服端(250)的連線是否經過授權,以及該用戶端(210)的身份。
根據本發明之最佳實施例,上述用戶端(210)與伺服端(250)數位憑證可為依照SSL/TLS協定所產生。在一實施例中,為非對稱加密演算法,其做法為:愛麗絲與鮑伯均持有本身的公鑰與私鑰,當其中一方,例如,愛麗絲欲驗證鮑伯的身份時,鮑伯首先將一段訊息(如:我是鮑伯)以鮑伯的私鑰實行加密後,再度以愛麗絲的公鑰實施加密,傳輸予愛麗絲;愛麗絲在收到鮑伯傳輸的訊息時,則首先以愛麗絲的私鑰進行解密後,再度以鮑伯的公鑰將上述訊息(我是鮑伯)實行解密。由於鮑伯的公鑰為公開的,因此當鮑伯以其私鑰加密訊息時,透過以公鑰解密的過程(鮑伯私鑰所加密的訊息,僅鮑伯公鑰可解),即可對所傳輸訊息的對象進行驗證;此外,以愛麗絲公鑰加密的目的,則使上述驗證身份的動作一定得由愛麗絲持有私鑰解密後始得以進行,因此可保證雙方所傳輸的訊息不會為第三者馬洛里所竊取或破壞。
根據本發明之內容,用戶端(210)包含第一儲存模組(211),耦接第一處理模組(213),以儲存伺服端訊息與用戶端訊息;伺服端(250)包含第二儲存模組(255),耦接第二處理模組(257),以儲存伺服端訊息與用戶端訊息。在本發明一實施例中,上述第一儲存模組(211)與第二儲存模組(255)可為硬碟、軟 碟、可重複讀寫光碟、磁帶、隨身碟,或記憶卡等計算機可讀式儲存媒體。
為了達到用戶端(210)與伺服端(250)訊息傳輸安全的目的,請參閱圖5與圖6,本發明提出一種訊息傳輸方法(300),其方法流程包含:於流程(S3)中,用戶端(210)輸入一伺服端代碼,轉址模組(233)根據該伺服端代碼將用戶端(210)導向伺服端網址;流程(S4)中,伺服端(250)中的第二資安模組(253)驗證用戶端的身份;流程(S5),加密傳輸端(230)中的第一資安模組(231)驗證伺服端(250)的身份;於流程(S7)中,用戶端(210)透過第一處理模組(213)傳輸一用戶端訊息,並於流程(S8),第一資安模組(231)將上述用戶端訊息加密為用戶端加密訊息;流程(S10),第二資安模組(253)將該用戶端加密訊息解密回用戶端訊息。
根據本發明內容,於流程(S5)中,若通過驗證,則用戶端(210)與伺服端(250)互相完成身份認證,建立連線;若不通過驗證,則執行流程(S2),結束訊息傳輸方法(300)。
根據本發明一實施例,伺服端(250)與用戶端(210)驗證身份的方式為根據SSL/TLS協定中,非對稱加密演算法所產生的數位憑證,以避免用戶端訊息與伺服端訊息在傳輸的過程中,為一攻擊端(107)或不明用戶端(103)所盜竊或破壞,或是透過遠端連線的方式操控用戶端(210)做為跳板,來與伺服端(250)建立一合法的連線,以達到對伺服端(250)與用戶端(210)的訊息傳輸保護的目的。
為達上述訊息傳輸安全目的,本發明方法包含流程(S1),用戶端(210)透過第一資安模組(231)驗證用戶之身份,若通過驗證,則執行流程(S3),若不通過驗證,則於流程(S2)中結束訊息傳輸方法(300)。根據本發明之一實施例,該第一第一資安模組(231)可透過由第一處理模組(213)輸入密碼、秘密圖形、聲紋、指紋、視網膜影像,或以上之組合等方式,以驗證用戶端(210)是否為一經過授權的用戶所操作,以避免一身份不明的用戶,但使用了一被授權的用戶端(210)操作訊息傳輸系統(200)。
為達上述訊息傳輸安全目的,本發明方法包含流程(S9),防火牆 模組(251)檢測上述用戶端加密訊息是否含有病毒程式或木馬程式等惡意訊息,若不含有惡意訊息,則於流程(S10)中第二資安模組(253)解密該用戶端加密訊息,並於流程(S11),將用戶端訊息儲存於第二儲存模組(255)中;若含有惡意訊息,則執行流程(S2)結束訊息傳輸方法(300)。
請參閱圖7,根據本發明內容,為達上述訊息傳輸安全目的,本發明方法包含流程(S12),伺服端(250)將一伺服端訊息透過第二資安模組(253)加密為一伺服端加密訊息;並於流程(S13)中,伺服端(250)透過第二處理模組(257)傳輸一伺服端加密訊息。
根據本發明內容,本發明方法更包含流程(S14),加密傳輸端(230)中所含的第一資安模組(231)解密上述伺服端加密訊息,並於流程(S15)中,第一處理模組(213)接收伺服端訊息後,將該伺服端訊息儲存於第一儲存模組(211)。
為達上述訊息傳輸安全目的,本發明方法包含下列流程:若前述流程中的用戶、用戶端、伺服端的驗證未通過,或用戶端加密訊息含有病毒程式或木馬程式等惡意訊息,則結束方法。
200‧‧‧訊息傳輸系統
210‧‧‧用戶端
211‧‧‧第一儲存模組
213‧‧‧第一處理模組
230‧‧‧加密傳輸端
231‧‧‧第一資安模組
233‧‧‧轉址模組
250‧‧‧伺服端
251‧‧‧防火牆模組
253‧‧‧第二資安模組
255‧‧‧第二儲存模組
257‧‧‧第二處理模組
Claims (13)
- 一種訊息傳輸系統,包含:一用戶端;一加密傳輸端,耦接該用戶端,包含一第一資安模組,一轉址模組,將伺服端代碼導向至伺服端網址;以及,一伺服端,包含一第二資安模組;其中,該第一資安模組將一用戶端訊息,加密為一用戶端加密訊息並傳輸,及將一伺服端加密訊息解密為一伺服端訊息;該第二資安模組將該伺服端訊息加密為該伺服端加密訊息並傳輸,以及,將該用戶端加密訊息解密為該用戶端訊息。
- 如請求項1所述之訊息傳輸系統,其中該加密傳輸端包含網址代碼資料庫,以記錄伺服端代碼所對應的伺服端網址。
- 如請求項2所述之訊息傳輸系統,該轉址模組依據SSL/TLS協定所產生的至少一數位憑證,進行該伺服端代碼的導向。
- 如請求項1所述之訊息傳輸系統,該伺服端更包含一防火牆模組,以驗證該用戶端加密訊息或該用戶端訊息是否含有病毒程式或木馬程式等惡意訊息。
- 如請求項1所述之訊息傳輸系統,該第一資安模組與該第二資安模組加解密的演算法可為對稱式演算法、非對稱式演算法,或是對稱式與非對稱式演算法的混用。
- 如請求項1所述之訊息傳輸系統,該第一資安模組更包含一第一身份驗證單元,透過驗證該伺服端的至少一數位憑證,以驗證該伺服端的身份,或該用戶端是否為合法授權的用戶。
- 如請求項1所述之訊息傳輸系統,該第二資安模組更包含一第二身份驗證單元,透過驗證該用戶端的至少一數位憑證,以驗證該用戶端與該伺服端的連線是否經過授權,以及該用戶端的身份。
- 一種訊息傳輸方法,包含以下流程:一用戶端輸入一伺服端代碼,一加密傳輸端根據該伺服端代碼將該用戶端導向至相對應的一伺服端網址;該伺服端中的一第二資安模組驗證該用戶端的身份;該加密傳輸端中的一第一資安模組驗證該伺服端的身份;該第一資安模組將一用戶端訊息,加密為一用戶端加密訊息並予以傳輸;以及該第二資安模組將該用戶端加密訊息解密回該用戶端訊息。
- 如請求項8所述之訊息傳輸方法,其中該加密傳輸端包含網址代碼資料庫。
- 如請求項8所述之訊息傳輸方法更包含,該第一資安模組與該第二資安模組,依據SSL/TLS協定所產生的至少一數位憑證,以驗證該用戶端與該伺服端的身份。
- 如請求項8所述之訊息傳輸方法更包含,一防火牆模組檢測該用戶端加密訊 息是否含有病毒程式或木馬程式等惡意訊息。
- 如請求項8所述之訊息傳輸方法更包含,該伺服端將一伺服端訊息透過該第二資安模組,加密為一伺服端加密訊息,並予以傳輸。
- 如請求項12所述之訊息傳輸方法更包含,該第一資安模組解密該伺服端加密訊息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW107119201A TW202005329A (zh) | 2018-06-04 | 2018-06-04 | 訊息傳輸之系統與方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW107119201A TW202005329A (zh) | 2018-06-04 | 2018-06-04 | 訊息傳輸之系統與方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
TW202005329A true TW202005329A (zh) | 2020-01-16 |
Family
ID=69942312
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW107119201A TW202005329A (zh) | 2018-06-04 | 2018-06-04 | 訊息傳輸之系統與方法 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TW202005329A (zh) |
-
2018
- 2018-06-04 TW TW107119201A patent/TW202005329A/zh unknown
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100969241B1 (ko) | 네트워크 상의 데이터 관리 방법 및 시스템 | |
US20030196084A1 (en) | System and method for secure wireless communications using PKI | |
Kaeo | Designing network security | |
KR100769482B1 (ko) | 다중 서버를 사용하는 원격 패스워드 인증을 위한 시스템, 방법 및 소프트웨어 | |
US20170142082A1 (en) | System and method for secure deposit and recovery of secret data | |
US7480939B1 (en) | Enhancement to authentication protocol that uses a key lease | |
US20100195824A1 (en) | Method and Apparatus for Dynamic Generation of Symmetric Encryption Keys and Exchange of Dynamic Symmetric Key Infrastructure | |
US11438316B2 (en) | Sharing encrypted items with participants verification | |
Hwang et al. | Two attacks on Neuman—Stubblebine authentication protocols | |
CN108768613A (zh) | 一种基于多种加密算法的密文口令校验方法 | |
Mathur et al. | Solving security issues in mobile computing using cryptography techniques—A Survey | |
JP2018026631A (ja) | Ssl通信システム、クライアント、サーバ、ssl通信方法、コンピュータプログラム | |
JP2008258663A (ja) | 情報通信システム | |
CN106230840B (zh) | 一种高安全性的口令认证方法 | |
Pavani et al. | Data Security and Privacy Issues in Cloud Environment | |
US6975729B1 (en) | Method and apparatus for facilitating use of a pre-shared secret key with identity hiding | |
CA2597209A1 (en) | Apparatus and system for application-oriented encryption key management | |
CN110557360B (zh) | 讯息传输的系统与方法 | |
Boonkrong | Authentication and Access Control | |
TW202005329A (zh) | 訊息傳輸之系統與方法 | |
Iyappan et al. | Pluggable encryption algorithm in secure shell (SSH) protocol | |
TWI811178B (zh) | 基於多方多因子動態強加密認證之資通安全方法與系統 | |
KR100842014B1 (ko) | 다수의 장치로부터 네트워크 저장 장치상의 보호 데이터에대한 접근 | |
Yadav et al. | Prevention of MITM attacks in cloud computing by lock box approach using digital signature | |
Pikrammenos et al. | Authentication Mechanism Enhancement Utilising Secure Repository for Password Less Handshake |