TWI288552B - Method for implementing new password and computer readable medium for performing the method - Google Patents
Method for implementing new password and computer readable medium for performing the method Download PDFInfo
- Publication number
- TWI288552B TWI288552B TW092109643A TW92109643A TWI288552B TW I288552 B TWI288552 B TW I288552B TW 092109643 A TW092109643 A TW 092109643A TW 92109643 A TW92109643 A TW 92109643A TW I288552 B TWI288552 B TW I288552B
- Authority
- TW
- Taiwan
- Prior art keywords
- authentication
- new
- password
- client
- authentication server
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 104
- 150000003839 salts Chemical class 0.000 claims description 79
- 230000008859 change Effects 0.000 claims description 58
- 230000005540 biological transmission Effects 0.000 claims description 28
- 230000009471 action Effects 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 8
- 238000004364 calculation method Methods 0.000 claims description 5
- 238000012546 transfer Methods 0.000 claims description 2
- 238000012795 verification Methods 0.000 claims description 2
- XEEYBQQBJWHFJM-UHFFFAOYSA-N Iron Chemical compound [Fe] XEEYBQQBJWHFJM-UHFFFAOYSA-N 0.000 claims 2
- 239000000126 substance Substances 0.000 claims 2
- 230000001934 delay Effects 0.000 claims 1
- 229910052742 iron Inorganic materials 0.000 claims 1
- 238000004891 communication Methods 0.000 abstract description 18
- 230000008569 process Effects 0.000 abstract description 15
- 230000000694 effects Effects 0.000 abstract description 2
- 238000012545 processing Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000007619 statistical method Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000002427 irreversible effect Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 229920006261 self reinforced polyphenylene Polymers 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 2
- 239000010931 gold Substances 0.000 description 2
- 229910052737 gold Inorganic materials 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 235000001674 Agaricus brunnescens Nutrition 0.000 description 1
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 210000001072 colon Anatomy 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000002594 fluoroscopy Methods 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Description
1288552
九、發明說明: 【發明所屬之技術領域】 提供以 密 本發明係有關一& _ 、 種電腦通訊的領域,特別是 碼為基礎的安全至電 电細通訊交談的發明。 【先前技術】 -今的電腦網路成長非常快速並且常承载著非常敏感 重要的貝机,所以在安全考量下,一個電腦裝置透過網路連 接其他電腦裝置並傳輸重要敏感的資料時-定要證明自己 的身伤(所明的§忍證)。然而,大多數需要作安全認證的資訊 傳輸難免在安全上受到攻擊。其中一種的攻擊方式是攻擊者 模仿一個合法的裝置錯誤地通過認證。一旦他認證成功,該 攻擊者就可以存取原來要傳送給合法認證裝置的重要資 汛。另一種攻擊方式是攻擊者不用透過認證程序,而是在認 證裝置中竊聽通訊以獲取安全碼。一旦竊聽者得到這安全 碼’就可以從認證的裝置上取得重要資訊。這種攻擊方式在 無線通訊傳輸上的裝置是最令人困擾的’因為其困難於或不 可能來限制對它們通訊的實體存取。 這兩種形式的安全攻擊被定位於兩個主要通訊安全方 面。第一種通訊安全處理方式,這種避免不合法的攻擊者所 使用的認證技術越來越趨成熟,這種技術是在一般典型的通 訊環境下有一台認證伺服器來連接所有準備受認證的電腦 裝置(所謂認證使用者端)。為了確認已經受認證,認證使用 者端通常必須要證明自己是認證憑單中的一份子,在某些案 5 1288552
例中’認證憑單中包含認證使用者端和認證伺服器所共同享 有的機密通訊密碼,在其他案例中,認證憑單可能在公有/ 私有安全金鑰和安全執照的基礎下才可以運作。所以在任何 案例中’認證使用者端必須向認證伺服器證明自己是在認證 憑單中的一份子。當然這種認證動作是相互認證的,也就是 說認證伺服器也必須向認證使用者端說明它的身份。 第二種通訊安全處理方式,在受認證的電腦裝置中傳輸 資訊是經過編碼過資訊。在一般典型的編碼方法中,資訊的 傳輸者和資訊的接收者一開始必須共同認同一種資訊編碼 原則。攻種編碼原則通常是基於資訊的傳輸者和資訊的接收 者共同分旱一組機密的安全金鑰(不是永遠如此該等機密 的女全金鑰可基於用來認證的相同傳輸密碼。資訊傳輸者使 用雙方所同意的編 碼的資訊給接收者 來作解碼。雖然該 ;又有該安全金输還 馬原則來編譯傳輸資訊,然後傳輸該經編 在接收時’該接收者也使用該編碼原則 編碼過的資訊也可能被竊聽,可是竊聽者 疋無法取得原始資訊。 然而,認證和加率姑化 技術遇不足於提供足夠的保護。例 如,已加密過的資訊還是合总 ^ ,^ . ㈢又到 二攻擊,包括統計方法的 攻雀。在統計方法的攻擊中 ^ ^ |甲,竊聽者會分析一組加密過的資 δί1來卒取出二貝訊的傳輪去4次 $ 輸者和資訊的接收者共同同意的安全 編碼原則下的資訊模組。 、、、且透過這資訊模組,竊#者會發現在 安全編碼原則下的安全“ ^ n日毛現在 資訊。 ,鑰並進一步使用它來解密和加密 因為這種攻擊方 法使用統計學的性 質,它精確地增進了 6
1288552 一增進數量的經分析之訊息。因此一阻止使用統計方法作攻 擊的一方法是使用任一安全機制限制經傳送之資訊的量。為 了達此目的,在使用雙方所同意的安全機制下的安全金鑰係 必須經常作改變。雙方所共有的認證程序改變認證使用者端 和認證伺服器所使用的安全金鑰。然而認證無法改變一個事 實’那就是新的安全金鑰還是基於一未改變的通訊密碼。也 許時間一超過,這密碼可能就被放棄,所以這密碼必須經常 改變。將不能斷言其為在初次呈現上。為了為有用,這新的 密碼(或者是從它導出的資訊)必須讓認證使用者端和認證 伺服器為可用。而簡單的在認證使用者端設定一組新密碼, 然後透過通訊鏈結傳送給認證伺服器,這種方法非常不安 全。而π 脫離頻帶’ Out-of-Band”的方法(這方法不使用 一般的電腦通訊傳輸)雖然在理論上較為安全,但會造成困 擾,特別是如果該認證伺服器遠離認證使用者端,導致他們 不希望經常更改密碼。 所以我們所需要的是一種不會困擾之認證伺服器和認 證使用者端實作一新密碼而不必透過一通訊鏈結來實作一 新密碼的方式。 【發明内容】 綜合先前所敘述,本發明之主要目的在於提供一種方 法給已通過認證伺服器所認證的使用者端,利用認證的效益 實作出一新密碼。認證伺服器要求認證的使用者端實作出一 新密碼。而認證的使用者端從其使用者中獲得此新密碼。從 7 1288552 這個新密碼和認證伺服器所提供的資訊中,認證的使用者端 導出了 一 π密碼的檢驗者π。此密碼的檢驗者是與認證伺服器 所共享,而在實作一新密碼的過程中,認證的使用者端和認 證伺服器之間的傳輸是使用之前密碼所導出的安全金鑰所 保護。這個新密碼本身從沒有被傳送到認證伺服器,而要靠 密碼的檢驗者導出這組新密碼事實上是不可能的。為了將來 的重新認證,該認證伺服器之密碼檢驗者的資訊和該認證的 使用者端之新密碼本身的資訊將視為認證的憑證。 該認證使用者端和該認證伺服器透過其各自認證憑證 的資訊平行地導出一組新的安全金鑰。該安全金鑰會被用來 作認證和加密的動作直到該過程重新被執行以及一組新的 安全金鑰自一新的密碼導出。當欲使用任何一特定組的安全 金输限制所傳輸資訊總量而因此限制任何統計型攻擊者的 效能時,這過程就會被重新執行一次。 在本發明的另一態樣中,當認證伺服器決定何時該目前 的傳輸密碼應被改變,其決定是基於使用該目前密碼的使= 時間長度和資料傳輸量。 【實施方式】 參照該等圖示,其中相同參考符號表 ,明係實作於-適格的計算環境中。以下描述係::本; 月之各式具體實施例,並且應不可基於未精確於此中所立 之具替代性的具體實施例而限制本發明。 在以下的描述中,本發明係描述以參照一或多計算裳: 1288552 、' i-''.,.1, , ϋ· . : . -T , . ... .· i 所執行之各作f % 合作業的動作及象徵性的 以這樣的動# $ # 矛、非另有指示。所 勡作及作業有時候是指電腦計 含一結構形式中 ^仃為的執行,亦包 的運作。這運作傳送資料或者將它存放置之處… 系統中,政,仏你U S 5十异裝置之記憶體 #中其在此領域中諳此技藝 態或另改變哕驴罟从从專 ^ 方式下重新組 料之格二Γ 持資料的資料結構為具有該資 1發:定屬性之該記憶體的實體位置。然而當 本發明被描述在前述背景下時,並 ^ ^ U ,、丈不疋用來限制此類技術 的發展,使用之後所述之各式 硬體來執行。 動作“乍業方式亦可以使用 > ;在第1圖的網路環境100中,認證使用者端1〇2已經向 一且伺服$ i 〇6作認證動作。為了認證,認證使用者端1 〇2 向涊證伺服器1 06證明自己擁有保密性的資訊,該資訊僅為 該^也使用者端1 〇2所宣告之身份的實體所知悉。這保密性 的 > 訊被稱為是這認證使用者端丨〇2的”認證憑證”。 要知道在許多的網路環境i 〇〇中,特別是無線網路,認 證使用者端1 〇2可能需要直接和一本地端存取伺服器1 〇4 作傳輸的動作。存取伺服器1 〇4通過了在認證使用者端1 〇2 和認證伺服器1 〇6之間的傳輸通訊,在網路1 00中的存取词 服器104可能是在遠端的或由數台所組成的,也可能是上百 台所組成。這存取伺服器1 04可能的呈現方式不會影響本發 明的討論,並且以後不會再提及到。 在成功完成安全認證後,認證使用者端1 〇 2和#忍證词服 器1 0 6會導出一組安全金鑰,它被用來加密和認證在它們之 1288552 r/ι :f 心 .·…../ 少 間作傳遞的訊息。這一組安全金鑰部分是由認證使用 1 02的認證憑證所導出。加密和認證是必須的,因為在 1 00中的傳送的訊息容易遭受到惡意的竊聽者108的截 竊聽者1 0 8截取該訊息並施加統計方法至他們之中,以 找出保護它們的安全金鑰。因為此攻擊的統計性質,其 增進以一增加數量的分析訊息。為防止這類統計性質 擊,認證使用者端1 02和認證伺服器1 06在竊聽者1 08 截取足夠的訊息來發現安全金鑰之前就應該快速的改 全金鍮。 在已知的改變安全金鑰方法之中。例如,在每個認 間,產生π活的,1 i V e n e s s "資訊,像是產生隨機變數或 間郵戳。藉由包含活的資訊在認證憑證之中作為安全金 導出,一不同的安全金鑰針對每次的成功認證被導出。 每一組安全金鑰依然是導自於相同的安全憑證。假使這 證憑證被相互妥協了,那這些安全金鑰是有被攻擊的弱 為防止這一點,這一些認證憑證應該定期地被改變,就 自認證憑證導出的安全金鑰一樣頻繁地改變。 要改變認證使用者端 1 02的認證憑證不是像它在 次出現那樣直接了當,這認證憑證在認證使用者端1 02 很容易改變,但為了可以有效使用,這個改變必須要與 伺服器1 06協調。否則認證伺服器1 06依然尋找舊的認 證之認證使用者端1 02之資訊的證明。(在以下的討論 認證伺服器1 06不需要實際知道該等認證憑證。認證伺 1 06可以在不需要知道這些認證憑證本身之下來證實 者端 網路 取, 企圖 準確 的攻 能夠 變安 證期 一時 錄的 然而 些認 點, 像是 第一 可能 認證 證憑 中, 服器 出認 10 I28S552
Jr, n tf (,,-、 證憑證之認證使用者端1 〇 2的資訊)。一個來使協調這些改 變的簡單方法是透過通訊鏈結將認證憑證送到認證伺服器 1 06。然而這個方法不是很安全,給予竊聽者1 〇8可乘之機。 其他種已知協調該改變之方法通常是"脫離頻帶”傳輸方式 (运方法不疋使用電|自通訊通訊鍵結)。在有合理的安全性之 餘’’’脫離頻帶’’傳輸方法可能很令人困擾,特別是認證伺服 β 106遠離認證使用者端1 〇2,他們不希望常改變認證憑 證’本發明就是提供一個安全又不令人困擾的方法給認證使 用者端1 02和認證伺服器1 〇6協調執行新的認證憑證。 在第1圖的認證使用者端1 02可能是任何一架構。在第 2圖中的方塊圖一般描述用作支援本發明的示範性電腦系 統圖解說明。在第2圖的電腦系統只是一個適宜環境的範 例’不是用來讓人提議對本發明的使用範圍和功能作限制。 該認證使用者端1 02亦不應解釋成需具有如第2圖所述之該 等元件之任何一或組合的任何相依性或需求。本發明在操作 上是使用大多數的一般用途或是特殊用途的電腦環境和結 構。常見到適合在本發明上使用的電腦系統、環境以及設置 之範例包含(但不限於)個人電腦、飼服器、掌上型或是膝 上型電腦、多處理菇系統、微處理器系統、電視祠服器、可 程式的消費電子產品、網路電腦、微電腦、大型主機電腦和 包含以上任何系統設備的分散式電腦環境。在最基本的配備 結構上’認證使用者端1〇2典型地包含至少一個處理單元 200和έ己憶體202。這δ己憶體202可為揮發性(像ram)、非 揮發性(像ROM或疋FLASH MEMORY),或是兩者的組合。 128^8552
該最基本的配備結構 田迷在第2圖之虛線204中。認證使 ,用者知102可能包含有 ^ 端1〇2可能包含有額广特色和功能。例如認證使用者 的儲存裝置(可移除的或是不可移除 的)’該額外的儲存裝詈 置了包含(但不限於)磁式和光學式 的磁碟和磁帶。這額外 卜的儲存裝置在第2圖是用可移除式的 錯存裝置206和不可移除 '、的储存襄置208作圖解說明。電腦 儲存媒體包含以任何一插次> 7 種貝訊儲存(像電腦可讀指令、資料 結構、程式模組或是发#咨輕 八 貝枓)之方式或技術所實作的揮發 性以及非揮發性、可以銘^ 从移除式和不可移除式媒體。記憶體 202、可移除式的儲存裝詈206 # τ π功人丄 衣1 206和不可移除式的儲存裝置208 都是電腦儲存媒體的範例。雷聪~Λ甘_ —人, 1 J 冤細儲存媒體包含(但不限於) RAM、ROM、EEPROm,ΐ7τ δ c tr M FLASH MEMORY、其他記憶體技 術' CD-ROM、DVD、其他光學式儲存體、磁性卡匣、磁帶、 磁碟、其他磁性儲存體和任何其他可以儲存所需資料和可以 被認證使用者端102所存取的媒體。任何這樣的電腦儲存媒 體可是認證使用者端102的一部份。而認證使用者端1〇2 可能包含有傳輸管道210,可以讓此裝置和其他裂置作傳 輸。傳輸官道21 〇疋傳輸媒體的範例。傳輸媒體一般承载電 腦可讀取指令、資料結構、程式模組、或者是其他經調變資 料信號中的其他資料,像載波或是其他傳輸機制且包含任何 資訊傳送媒體。該”經調變資料信號”意指具有一個或多個特 性集或在一關於信號之編碼資訊之方式中所改變的一信 號。經由範例子,但不限於,傳輸媒體包含光學媒體、有線 媒體’像是有線網路和直接有線連結,以及無線多媒體,像 12 •1288552 是聲調、射頻、紅外線和其他無線媒體 電腦可讀媒體,,包含儲存媒體和傳輸媒 102可包含有輸入裝置212,像是鍵盤、 入裝置、觸控輪入裝置、等等。輸出裝置 幕、喇队、印表機。所有該等裝置在此技 而不需要在此多做贅述。 從第3 a圖到第3 c圖中的資料流程 明的示範方法。步驟300至308設定該 和3 02中,認證使用者端1 〇2和認證伺服 認證技術對彼此作認證。其中一個合適的 為是 IETFRFC(Internet Engineering Task Comments)2945,"SRP認證和金鑰交換| 此中以為整體。當步驟300和302提到互 的討論焦注在更新使用在認證之一方向的 的範例中,討論的焦點集中在認證該認證 認證伺服器1 〇6。本發明的方法也可以應 服器1 06至該認證使用者端1 02,這認證 一步作討論。 在步驟3 00中認證使用者端1 〇2所使 /組機密的密碼。這密碼的值不可能儲’ 1 02中,但是當使用者希望被認證伺服器 密碼的值可由#忍證使用者端1 〇 2上的使 名稱作輸入。基於安全上的考量’認證伺 道該機密密碼的值。然而它卻是知道從索 。這在這裡使用的” 體。認證使用者端 滑鼠、筆、聲音輸 214可包含像是螢 術領域中已為周知 圖說明了實行本發 階段。在步驟300 器106使用已知的 認證技術範例’認 Force Request for 卜、統”,並在此併入 相作認證,這目前 f認證憑證。接下來 使用者端102至該 用在認證該認證祠 的方向不需要再進 用的認證憑證包含 存在認證使用者端 106作認證時,該 用者伴隨著使用者 服器106並不會知 笑密碼所導出的”密 13 1288552
碼檢驗者’’的值。認證伺服器1 06儲存關於該使用者名稱之 密碼檢驗者。(因為儲存密碼檢驗者是係關聯於使用者名稱 而不是關聯於認證使用者端1 02的身份,更加合理的說法是 該使用者名稱被認證而不是該認證使用者端1 〇 2被認證。例 如,假使這使用者移到其他不同的使用者端並使用相同的使 用者名稱和密碼,該認證方法將如同以往運作。然而,為了 便於陳述,目前的討論會繼續論及關於認證該認證使用者端 102到認證伺服器1〇6)。 第3b圖之步驟3 1 6是舉例討論如何從一個密碼導出密 碼檢驗者。從這個討論的觀點上,我們充分地了解到該導出 有’’決定性’’和”不可逆性”。”決定性π的意指該導出本身不是 隨機性的,也就是一旦該導出的輸入(包含密碼但可包含其 他數值)為已知,那該輸出(密碼檢驗者)就完全被決定了。 該導出是不可逆性的意思是藉由已經知道該導出的輸出不 能夠決定該輸入。更強的是,假使一方除了該密碼外已經知 道後碼檢驗者和該導出之所有輸入’那該方仍然不能夠決定 該密碼。這些屬性音味著,使用遠#忍證處理過程的方法,僅 知道該密碼本身之一方才可以成功聲稱為該認證使用者端 1 02。在該認證的處理過輕中,認證伺服器1 06使用該密碼 檢驗者的資訊來測試該該密碼之5亥5忍證使用者端1 0 2的資 訊。 來自該密碼之該密揭檢驗者之導出的其他輸入係在認 證使用者端i 02和認證伺服器1 〇6間共享。因為在這些其他 值的資訊如果沒有該密碼本身的資訊是不足以重新製作出 14 1288552 f/ // y r … .. · 密碼檢驗者,這些其他值可能在認證程序開始前被公佈出 來,也可能在公開標準的認證協定中被設定成參數形式。 如該認證過程的一結果,在步驟3 04中,認證使用者端 102,和在步驟3 06中,認證伺服器106,平行導出一組安 全金鑰。該認證使用者端1 02從該機密密碼中導出了安全金 鑰,且該認證伺服器1 06從密碼檢驗者上導出安全金鑰。一 個成功的認證過程確保從該兩裝置所導出的安全金鑰是相 同的。如一認證過程如何確定此以及該安全金鑰如何被導出 的範例,請見 IETF RFC 2246,nThe TLS Protocol,’’在此併 入以為整體。 這安全金鑰的導出也關連到在認證使用者端 1 02和認 證伺服器1 06之間共享的活的資訊。在導出中該共享之活的 資料之使用會造成每次認證使用者端 1 02自我認證至認證 伺服器1 06該安全金鑰不同。若不為該案例,認證使用者端 1 02在每次的認證後會使用相同的安全金鑰。知道這一點, 竊聽者1 08可能在每次認證使用者端1 02做認證繼續其統計 攻擊,增加新進的截取資訊至該認證使用者端1 02之先前交 談期間所截取之訊息的分析。 這安全金鑰通常包含加密金鑰(它可能是共享的或是一 對單向金鍮)和認證金鍮。一旦這金输由認證使用者端 1 〇 2 和認證伺服器1 06導出,這兩個裝置可以在步驟308使用這 安全金鑰來保護它們之間的傳輸。該安全金鑰之使用範例將 參照第3b圖步驟3 1 2到3 1 8而做討論。當然在認證使用者 端102和認證伺服器106在步驟308開始使用安全金鑰作傳 15 1288552 輸時,這竊聽者i Ο 8可能也開始截取傳輸資料並以它們為統 計攻擊的分析條件企圖發現安全金鑰(沒有秀出)。 在步驟310中,認證伺服器1〇6決定執行一個新的密 碼。這決定的理由一般包含現今密碼已經使用的時間量、在 這現今密碼之下作傳輸的資料量和網路環境丨〇〇内部的安 全性考量。無線網路通常會被開啟以竊聽資料,所以在這環 境下的密碼應該週期性的被改變。在任何情況下,當決定這 認證使用者端102的密碼應該改變,在步驟312中認證伺服 器1 0 6會送出一個要求來達成這個效果。請記得這”要求” 可疋在此上下文中之一婉轉說法:假如認證使用者端i 〇2 沒有以改變密碼作回應,那認證伺服器1〇6可能使現今的密 碼變成無效,來阻止認證使用者端1〇2作認證。 如步驟300和302之認證程序的以上論述,導出一新的 密碼檢驗者的程序中,除了新的密碼之外可能還需要其他的 輸入。這認證伺服器1 06可能選擇來送出對這些其他輸入值 之新的數值並伴隨著該改變密碼的要求。其不嚴厲需求於該 新的密碼檢驗者自新的密碼以及自使用在密碼變更最後之 時的該其他輸入之相同數值導出。然而,如果也改變該等輸 入之至少特定者,則安全肯定會被加強。列在在步驟3 1 2 中之特疋的示範輸入(取餘質數(primemodulus)、產生器、 和salt(隨機變數))將參照以下步驟316來說明解釋。為達到 更安全的目的,這些值可使用步驟3 〇6中所導出的安全金鑰 來加密。假如這改變密碼的要求包含有任何其他的輸入,這 時一覆蓋該新的輸入之 MAC(Message Authentication Code 16 1288552 fjwi/ 春 資訊認證碼)也可被送出。一 MAC是該等輸入的一不可逆雜 湊,並且有用於認證使用者端1 〇2以檢查該改變密碼的要求 是否已經自認證伺服器1 不變地接受,一來產生MAC的 方法範例可以在1ETF RFC 21045、,,HMAC : Keyed-Hashing for Message Authentication,”中發現,在此併入以為整體。 這認證使用者端 1 02伴隨著新的輸入值接收這改變密 碼的要求(若有的話)。如果有任何新的輸入值,然後該MAC 值就被檢驗。如果檢驗失敗,則這改變密碼的要求就會被忽 略。否則就會使用原來加密的相同安全金鑰來解密這新的 值,並把該值儲存起來以備未來使用,在步驟3丨4中,認證 使用者端3 14促使它的使用者輸入新的密碼。舉例說明,在 ^驟3 14中可以使用一周知的處理,其中該使用者必需輸入 舊的密碼來認證,然後連續輸入兩次新密碼來作確認。在某 些具體實施例中,這新的密碼可在被接受前針對各式的標準 來作確認。這標準可能包含有熟悉的“必須是至少有八的字 %的長度,,、“必須包含有字母和數字,,、“必須在標準的 ,卜, “ 不可見,、“必須不是最近所使用的密碼之排列變更,,、 項不是你的配偶名或是寵物名,,等等。 的漁^使用者製作一新的密碼,其通過認證使用者端102 導z j時’在步驟316中認證使用者端102從這新的密碼中 新的在、碼檢驗者。由前面所敘述的, Θ 決定 、V出應該疋有 方=和不可逆性的。IETF RFC 2945呈現了以下導出的 、’匕必須充滿以下必要條件·· 密碼檢驗者=GASHA(salt|SHA(使用者名稱丨,,:,,丨密 17
1288552
碼))0/〇P 其中: SHA(Secure Hash Algorithm安全雜凑演算法)是一個 在工業界廣為人知的雜湊方程式; salt是和認證伺服器106共享的一隨機變數; I是一個字串接續的運算符號 ; 使用者名稱和密碼是認證使用者端1 0 2的使用者所輸 入的; ”是由冒號所構成的字串; 〃是指數; %是以整除餘數為模的運算子; p是一個”取餘質數”一個很大的(為了安全考量,至少 為5 12 bit長度)質數,它是與認證伺服器1〇6共享的;和 G是P的產生器,它是與認證伺服器丨〇 6共享的,也就 是對於任何小於P的自然數A,存在著另一個數值B讓 GAB%P= A。 假如在步驟3 1 2認證伺服器1 〇6送一取餘質數、產生 器、或是salt(隨機變數)之新的值,則這些新的值會被使用 在導出密碼檢驗者上。 在步驟3 1 8中認證使用者端1 02採取這個新的密碼檢驗 者’使用在步驟306所導出的安全金鑰來將其加密,並使用 MAC來覆盖它並將它送到認證伺服器106。在密碼檢驗者成 功傳送後’它出現在認證使用者端1 02就沒有進一步的目 的’所以將它拋棄。認證伺服器106檢驗MAC,使用將其 18 1288552 I)
加密之相同的安全金鍮將新的密碼檢驗者作解密動作,並餘 存結合使用者名稱和結合至已改變之導出過程的其它輸入 之任何者的新的密碼檢驗者。在許多的具體實施例中,這取 餘質數和產生器很少改變過,但是每次密碼被改變將會產生 新的salt(隨機變數)。 假如在一段時間後,認證伺服器1 〇 6沒有接到它改變密 碼要求的回應’可能會重新送一次要求。如上所述,在重複 改變密碼的企圖失敗後,則認證伺服器1 0 6可能會決定放棄 現在密碼。 這協調認證憑證改變過程完成。為了安全上的考量,建 議認證使用者端1 0 2藉由在步驟3 2 0中自我重新認證至認證 祠服器1 0 6立即使用新的憑證。假如重新作認證成功,則在 步驟324和326,和平行處理步驟304和306,這認證使用 者端1 02和認證伺服器1 〇6各自分別地基於新的認證憑證導 出了 一組新的安全金鑰。在步驟328中,這新的安全金鑰是 使用來保護傳輸。這新的密碼和新的密碼檢驗者被當作認證 憑證持續使用著直到認證祠服器1 〇6返回步驟3 1 0決定再次 更換密碼。 本發明的方法中,允許不用中斷認證使用者端1 02和認 證伺服器1 06之間傳輸的情況下,可以改變認證憑證。這兩 裝置的繼續使用舊的安全金鑰直到新的安全金鑰基於新的 認證憑證被導出來。 在認證使用者端1 02和認證伺服器1 06之間所使用的傳 輸協定可決定用來在步驟3 1 2和3 1 8傳送資訊的實際格式。 19 1288552 第4圖給於兩個貧料結構範例,項目4〇〇為一改變密碼要求 的訊息,項目402為一改變密碼回應的訊息。第4圖只有秀 出該示範訊息的資料攔位:該使用的傳輸協定可加入標頭和 標尾到這些資料資料攔位中。該兩訊息可以被具體化,例如 兩新的 EAP-SRP(EXtensible Authenticati〇n pr〇t〇c〇1Secure
Remote Password可延伸的認證協定安全遠端密碼)。 EAP-SRP也定義一可以用來攜帶這些資料攔位的供應者規 格訊息。其他的傳輸協定也提供相同的技能。 在許多基於本發明原則可應用之許多具體實施例的觀 點上,追裡内容所作具體化描述而晝出的圖只是為了圖解說 明的目的,不應該作為限制本發明的範圍,在這些圖解說明 中的技術所實現的具體細節部份,像是資料攔位大小,資訊 格式,是為了特殊情況而選擇的協定而決定規格的,這些都 可以在公共標準中發現,然而這發明中所描述到軟體模組或 元件、某些流程、特殊加密方法,都可以同樣使用硬體元件 來執行。所以在這裡所描述之本發明將預期出所有具體化的 作為都可以算是以下專利範圍所涵蓋。 【圖式簡单說明】 第1圖為本發明之一較佳實施例之方塊圖,其顯示出一個 在認證祠服器和認證的使用者端、竊聽者之間的傳輸 環境的示範。 第2圖為根據本發明之一較佳實施例之一個概要圖解說明 電腦運算的系統來支持本發明。 20 °ihij yf 1288552 第3 a到3 c圖為根據本發明之一較佳實施例之一起形成資 料流的圖解說明,此圖顯示出認證伺服器和認證的使 用者端相互作認證時資訊的通過和作業的執行情 況,並且根據本發明的具體使用來產生出一組新的傳 輸密碼。 第4圖為根據本發明之一較佳實施例之一個資料結構圖, 說明產生出一組新的傳輸密碼的過程中所可能出現 的訊息。 【元件代表符號簡單說明】 100 網路環境 102 認證使用者端 104 接收伺服器 106 認證伺服器 108 竊聽者 200 處理單元。 202 記憶體 206 可移除式的儲存裝置 208 不可移除式的儲存裝置 210 傳輸管道 212 輸入裝置 214 輸出裝置 216 電源供應器 21
Claims (1)
1288552 第和吖叫隨喋%年3>月麵 十、申請專利範圍: :'、
1 · 一種實作出一新的密碼之方法,其係在具有一認證使用者 端和一認證伺服器的一計算環境中,該認證使用者端已趣 對認證伺服裔作過認證動作,該認證使用者端的認證動作 是基於在涊證使用者端已經知道的舊密碼和該認證伺服 器已經知道的舊密碼檢驗者、一使用者名稱、舊的取餘質 數(prime modulus)、該舊的取餘質數之舊的產生器、和 在認證使用者端和認證伺服器已經知道的舊salt(隨機變 數),該方法至少包含下列步驟: 從該認證伺服器發出要求該認證使用者端改變其密 碼, 自該認證伺服器至該認證使用者端存取(making accessible) — 新的 salt(隨機變數 在該認證使用者端要求和接收來自該認證使用者端之 一使用者的一新的密碼;
在該認證使用者端計算一新的密碼檢驗者,傳遞以作 為該計算該新的salt(隨機變數)和該使用者名稱的輸入; 自該認證使用者端至該認證伺服器存取該新的密碼檢 驗者;和 在該認證伺服器儲存該使用者名稱、新的密碼檢驗者 和新的salt(隨機變數)。 2 ·如申請專利範圍第1項所述之方法,其中該認證使用者 端改變其密碼的要求步驟包含傳送一 EAP-SRP 22
Ί288552 (Extensible Authentication Protocol-Secure Remote Password可延伸的認證協定安全遠端密碼)伺服器改變 密碼訊息以及其中存取新的密碼檢驗者步驟包含傳送一 EAP-SRP使用者端改變密碼訊息。 3 ·如申請專利範圍第1項所述之方法,其中該認證使用者 端改變其密碼的要求步驟包含傳送一 EAP-SRP供應者 規格改變密碼要求訊息,以及其中存取新的密碼檢驗者 步驟包含傳送一 EAP-SRP供應者規格改變密碼回應訊 息。 4·如申請專利範圍第丨項所述之方法,其中該新的salt(隨 機變數)與該舊的salt(隨機變數)相同,且其中存取新的 salt(隨機變數)的步驟包含在要求該認證使用者端改變 其密碼前,由該認證伺服器與該認證使用者端共享該新 的salt(隨機變數)。 5.如申請專利範圍第1項所述之方法,其中該新的salt(隨 機變數)與該舊的salt(隨機變數)不相同,且其中存取新 的salt(隨機變數)步驟包含由該認證伺服器使用選自以 下所組成之該群組的一技術··傳送包含該新的salt(隨機 變數)的一訊息至該認證使用者端,將該新的s a 11 (隨機 變數)告示於該認證伺服器和該認證使用者端可存取之 23 Ί288552 fhf 一處;和在要求該認證使用者端改變其密碼前與該認證 使用者端共享該新的salt(隨機變數)° 6.如申請專利範圍第5項所述之方法,其中存取新salt(隨 機變數)的步驟進一步包含: 由該認證伺服器計算一覆蓋該新salt(隨機變數)的第 一 MAC,該第一 MAC是基於在該認證使用者端作認證 時所導出的一認證使用者端對認證伺服器的認證金鍮; 自該認證伺服器至該認證使用者端存取該第一 MAC ;和 在s忍證使用者端,計算一覆蓋該新的s a 11 (隨機變數) 的弟一 MAC,該第一 MAC是基於該認證使用者端對該 認證伺服器的認證金鑰;以及 其中要求和接收一新的密碼並且計算、存取,以及儲 存新的雀碼檢驗者的步驟只有在該第一 MAC符合該 第二MAC條件下執行之。 7·如申請專利範囹势 祀圍第1項所述之方法,其更包含傳遞以更 作為該計算兮蓄& μ售的取餘質數和該舊的取餘質數的該舊產 生器的輸入D 8 ·如申請專利範圍第7 碼檢驗者步驟包含在 項所述之方法,其中計算一 認證使用者端: 新的密 24 1288552 气"\ '、、,',' I ν ,Ϊ ^ 將運作一雜湊函數的結果指定給一第一中介值,該雜 湊函數的輸入包含該使用者名稱和該新的密碼; 將運作一雜湊函數的結果指定給一第二中介值,該雜 湊函數的輸入包含該新的 salt(隨機變數)和該第一中介 值; 將該第二中介值之該舊的產生器乘冪數(the old generator raised to a power of the second intermediate value)指定給一第三中介值;和 將該第三中介值與該舊的取餘質數相除取餘數指定給 該新的密碼檢驗者。 9.如申請專利範圍第1項所述之方法,其中存取新密碼檢 驗者步驟包含: 在認證使用者端,使用在該認證使用者端作認證時所 導出的一認證伺服器對認證使用者端加密金鑰加密該新 的密碼檢驗者; 自認證使用者端至認證伺服器存取該加密過的新密碼 檢驗者;和 在該認證伺服器,使用該認證伺服器對認證使用者端 加密金鑰解密該加密過的新密碼檢驗者。 1 0.如申請專利範圍第9項所述之方法,其中存取該新密碼 檢驗者步驟進一步包含: 25 1288552 在該認證使用者端,計算一覆蓋該加密的新密碼檢驗 者的第一 MAC,該第一 MAC是基於一在該認證使用者 端作認證時所導出的認證伺服器對認證使用者端認證金 鑰; 自該認證使用者端至認證伺服器存取該第一 MAC ;和 在認證伺服器計算一覆蓋該已加密新密碼檢驗者的第 二MAC,該第二MAC是基於該認證伺服器對認證使用 者端認證金鑰; 且其中只有在該第一 MAC符合該第二的MAC,才執 行儲存該使用者名稱、新的密碼檢驗者和新的salt(隨機 變數)。 11.如申請專利範圍第1項所述之方法,更包含有: 該認證伺服器結合一具要求認證使用者端改變其密碼 的計時器;和 如果計時器時間期滿但是沒有新的密碼檢驗者自該認 證使用者端存取,則在認證伺服器重複要求該認證使用 者端改變其密碼。 1 2.如申請專利範圍第1項所述之方法,更包含有: 對該使用者端至該認證伺服器作一第二次認證,該第 二次認證是基於該認證使用者端已知的新密碼、認證伺 月艮器已知的新密碼檢驗者、和該使用者名稱、舊的取餘 26
1288552 質數、該舊的取餘質數的舊產生器、和該認證使用者端 與該認證伺服器已知的新的salt(隨機變數)。 1 3 .如申請專利範圍第1項所述之方法,更包含有: 自該認證伺服器至認證使用者端存取一新的取餘質數 和該新的取餘質數的一新的產生器。 14.如申請專利範圍第 13項所述之方法,其中存取新 salt(隨機變數)、新取餘質數和新取餘質數的新產生器包 含: 在該認證伺服器,計算一覆蓋該新的salt(隨機變數)、 該新的取餘質數和該新的產生器之第一 MAC,該第一 MAC是基於在該認證使用者端作認證時所導出的一認 證使用者端對認證伺服器認證金鑰; 自認證伺服器至認證使用者端存取該第一 MAC ;和 在認證使用者端,計算一覆蓋該新的salt(隨機變數)、 該新的取餘質數和該新的產生器之第二 MAC,該第二 MAC是基於該認證使用者端對認證伺服器認證金鑰; 及其中的要求和接收一新的密碼和計算、存取以及儲 存一新的密碼檢驗者只有在該第一 MAC符合該第二 MAC執行之。 1 5 .如申請專利範圍第1 3項所述之方法,進一步包含傳遞 27
1288552 以更作為該計算該新的取餘質數和該新的產生器的輸 入° 1 6.如申請專利範圍第1 5項所述之方法,其中計算一個新 的密碼檢驗者步驟包含,在該認證使用者端: 將運作一雜湊函數的結果指定給一第一中介值,該雜 湊函數的輸入包含該使用者名稱和該新的密碼; 將運作一雜湊函數的結果指定給一第二中介值,該雜 湊函數的輸入包含該新的salt(隨機變數)和該第一中介 值; 將該第二中介值之該新的產生器乘冪數指定給一第三 中介值;和 將該第三中介值與該新的取餘質數相除後取餘數指定 給該新的密碼檢驗者。 1 7.如申請專利範圍第1 3項所述之方法,其進一步包含: 認證使用者端對認證伺服器作第二次認證,該第二次 認證是基於該認證使用者端已知該新的密碼、該認證伺 服器已知該新的密碼檢驗者,和該使用者名稱、新的取 餘質數、該新的取餘質數的新產生器、和該認證使用者 端與該認證伺服器已知的新的salt(隨機變數)。 1 8. —種電腦可讀記錄媒體,其包含執行一用於實作出一新 28 1288552 η η, , ^ : ^ y 第J _穸月觀…―— 密碼之方法的指令,一認證使用者端已經對一認證伺服 器作認證,該認證使用者端的認證是基於該認證使用者 端已知的一舊密碼、該認證伺服器已知的一舊的密碼檢 驗者、和在一使用者名稱、舊的取餘質數、該舊的取餘 質數的舊產生器、和該認證使用者端與該認證伺服器已 知的舊的salt(隨機變數),該方法包含: 從認證伺服器發出要求,要求認證使用者端改變其密 碼; 自該認證伺服器至該認證使用者端存取一新的 s a 11 (隨機變數); 在該認證使用者端要求和接收來自該認證使用者端之 一使用者的一新密碼; 在該認證使用者端,計算一新密碼檢驗者,傳遞以作 為該計算該新的salt(隨機變數)和該使用者名稱的輸入; 自認證使用者端至認證伺服器存取該新密碼檢驗者; 和 在該認證伺服器儲存使用者名稱、新的密碼檢驗者和 新的salt(隨機變數)。 1 9. 一種在具有一認證使用者端和一認證伺服器之一計算 環境中用於該認證伺服器引起該認證使用者端實作出一 新密碼的方法,該認證使用者端已經對該認證伺服器作 認證,該認證使用者端的認證是基於該認證使用者端已 29 1288552 μΉ ' r 知的一舊的密碼、該認證伺服器已知的一舊的密碼檢驗 者、和在一使用者名稱、舊的取餘質數、該舊的取餘質 數的舊產生器、和該認證使用者端與該認證伺服器已知 的舊的salt(隨機變數),該方法至少包含: 要求該認證使用者端改變其密碼; 該認證使用者端存取一新salt(隨機變數); 從認證使用者端接收一密碼檢驗者;和 儲存該使用者名稱、該新的密碼檢驗者和新的salt(隨 機變數)。 2 0.如申請專利範圍第1 9項所述之方法,其中要求該認證 使用者端改變其密碼的步驟包含傳送一 ΕΑΡ-SRP伺服 器改變密碼訊息且其中從該認證使用者端接收一新的密 碼檢驗者的步驟包含接收一 EAP-SRP使用者端改變密 碼訊息。 2 1 .如申請專利範圍第1 9項所述之方法,其中要求認證使 用者端改變其密碼的步驟包含傳送一 EAP-SRP供應者 規格改變密碼要求訊息且其中從該認證使用者端接收一 新的密碼檢驗者的步驟包含接收一 EAP-SRP供應者規 格改變密碼回應訊息。 22.如申請專利範圍第 19項所述之方法,其中該新的 30 128.8552 fr // y 4 salt(隨機變數)是和該舊的salt(隨機變數)相同,且其中 在該認證使用者端存取新的 salt(隨機變數)步驟包含在 要求該認證使用者端改變其密碼之前與該認證使用者端 分享該新的salt(隨機變數)。 2 3 .如申請專利範圍第 1 9項所述之方法,其中該新的 salt(隨機變數)是和該舊的salt(隨機變數)不相同,且其 中該認證使用者端存取該新的 salt(隨機變數)包含使用 選自以下所組成之該該群組的一技術:傳送一包含該新 的 salt(隨機變數)的訊息至該認證使用者端、將該新的 salt(隨機變數)告示在可以讓該認證伺服器和該認證使 用者端可存取到之一處、和在要求該認證使用者端改變 其密碼之前與該使用者端共享該新的salt(隨機變數)。 24.如申請專利範圍第23項所述之方法,其中該認證使用 者端存取新的salt(隨機變數)的步驟進一步包含: 計算出一覆蓋著該新的 salt(隨機變數)的訊息認證碼 (MAC),該MAC是基於在該認證使用者端作認證時所導 出的一認證使用者端對認證伺服器認證金鑰;和 該認證使用者端存取該MAC。 2 5 .如申請專利範圍第1 9項所述之方法,其中從認證使用 者端接收一新的密碼檢驗者的步驟包含: 31 .128,8552 從該認證使用者端接收一加密的新密碼檢驗者;和 使用在該認證使用者端作認證時所導出的一認證伺服 器對認證使用者端加密金鑰對該加密的新的密碼檢驗者 作解密動作。 2 6 ·如申請專利範圍第2 5項所述之方法,其中從該認證使 用者端接收一新的密碼檢驗者的步驟進一步包含: 從該認證使用者端接收一 MAC ;和 計算一覆蓋著加密過的新密碼檢驗者的MAC,該MAC 是基於在該認證使用者端作認證時所導出的一認證伺服 器對認證使用者端的認證金鑰; 及其中只有在所接收的MAC符合計算出來的MAC情 況下,執行儲存該使用者名稱、該新的密碼檢驗者和該 新的salt(隨機變數)。 2 7.如申請專利範圍第1 9項所述之方法,更包含: 結合要求該認證使用者端改變其密碼的一計時器;和 假如超過時間沒有接收到從該認證使用者端來的新的 密碼檢驗者,則重複要求認證使用者端改變其密碼。 2 8.如申請專利範圍第1 9項所述之方法,更包含: 該認證使用者端對認證伺服器作一第二次認證,該第 二次認證是基於該認證使用者端已知該新的密碼、該認 32 U I28>8552 證伺服器已知該新的密碼檢驗者、和該使用者名稱、舊 的取餘質數、該舊的取餘質數的舊產生器、和該認證使 用者端與該認證伺服器已知的新的salt(隨機變數)。 29.如申請專利範圍第19項所述之方法,更包含: 該認證使用者端存取一新的取餘質數以及該新的取餘 質數的一新產生器。 3 0.如申請專利範圍第2 9項所述之方法,其中該認證使用 者端存取一新的salt(隨機變數)、一新的取餘質數、該 新的取餘質數的一新產生器的步驟包含: 計算出一覆蓋該新的salt(隨機變數)、該新的取餘質 數、該新的新產生器的MAC,該MAC是基於在該認證 使用者端作認證時所導出的一認證使用者端對認證伺服 器認證金鑰;和 該認證使用者端存取該MAC。 3 1 .如申請專利範圍第29項所述之方法,更包含: 認證使用者端對認證伺服器作一第二次認證,該第二 次認證是基於該認證使用者端已知該新的密碼、該認證 祠服器已知的該新的密碼檢驗者、和該使用者名稱、新 的取餘質數、該新的取餘質數的新產生器、和該認證使 用者端與該認證伺服器已知的新的salt(隨機變數)。 33
1288552 3 2. —個電腦可讀記錄媒體,其包含用於執行使一認證伺服 器造成一認證使用者端實作一新密碼之方法的指令,該 認證使用者端已經對該認證伺服器作認證,該認證使用 者端的認證是基於該認證使用者端已知的一舊密碼和該 認證伺服器已知的一舊的密碼檢驗者、和一使用者名 稱、舊的取餘質數、該舊的取餘質數的舊產生器、和該 認證使用者端與該認證伺服器已知的舊的 salt(隨機變 數),該方法包含: 要求該認證使用者端改變其密碼; 該認證使用者端存取一新的salt(隨機變數); 自該認證使用者端接收一密碼檢驗者;和 儲存該使用者名稱、該新的密碼檢驗者和該新的 salt(隨機變數)。 3 3 . —種在具有一認證使用者端和一認證伺服器的一計算 環境中該認證使用者端實作出一新的密碼之方法,該認 證使用者端已經對該認證伺服器作認證,該認證使用者 端的認證是基於該認證使用者端已知的一舊的密碼、該 認證伺服器已知的一舊的密碼檢驗者、和一使用者名 稱、舊的取餘質數、該舊的取餘質數的舊產生器、和該 認證使用者端與該認證伺服器已知的舊的 salt(隨機變 數),該方法包含: 34 Ί28δ552 從認證伺服器接收該認證使用者端改變其密碼的要 求; 從該認證伺服器接收一新salt(隨機變數); 從該認證使用者端要求與接收來自該認證使用者端之 一使用者的新密碼; 計算一新的密碼檢驗者,傳遞以作為該計算該新的 salt(隨機變數)和該使用者名稱的輸入;和 該認證伺服器存取該新的密碼檢驗者。 3 4.如申請專利範圍第33項所述之方法,其中接收該認證 使用者端改變其密碼要求的步驟包含接收一 EAP-SRP 伺服器改變密碼訊息且其中該認證伺服器存取該新的密 碼檢驗者的步驟包含傳送一 ΕΑΡ-SRP使用者端密碼訊 息。 3 5 .如申請專利範圍第3 3項所述之方法,其中接收該認證 使用者端改變密碼要求的步驟包含接收一 ΕΑΡ-SRP供 應者規格改變密碼要求訊息且其中該認證伺服器存取該 新的密碼檢驗者的步驟包含傳送一 EAP-SRP供應者規 格改變密碼回應訊息。 3 6.如申請專利範圍第 3 3項所述之方法,其中該新的 salt(隨機變數)是和該舊的salt(隨機變數)相同,且其中 35 1288552 :..... .--…' 自認證伺服器接收新的 salt(隨機變數)的步驟包含在接 收該認證使用者端改變其密碼之前與該認證伺服器分享 該新的salt(隨機變數)。 3 7.如申請專利範圍第 3 3項所述之方法,其中該新的 salt(隨機變數)是和該舊的salt(隨機變數)不相同,其中 自該認證伺服器接收該新的 salt(隨機變數)包含使用以 下所組成之群組的一技術:從該認證伺服器接收含有該 新的salt(隨機變數)的一訊息、將該新的salt(隨機變數) 告知在可以讓該認證伺服器和該認證使用者端存取到的 一處、和在要求認證使用者端改變其密碼前與該認證伺 服器共享該新的salt(隨機變數)。 3 8 .如申請專利範圍第3 7項所述之方法,其中自該認證伺 月良器的接收一新的salt(隨機變數)的步驟進一步包含: 從該認證伺服器接收一 MAC ;和 計算一覆蓋著該新的salt(隨機變數)的MAC,該MAC 是基於在該認證使用者端作認證時所導出的一認證使用 者端對認證伺服器認證金鑰; 和其中計算和在該認證伺服器存取該新密碼檢驗者僅 在該接收的 MAC符合計算出來之MAC的情況下執行 之。 36 Ί288552 )/ i V - -Ϊ 3 9 ·如申請專利範圍第3 3項所述之方法,進一步包含傳遞 以更作為該計算該舊的取餘質數和該舊的取餘質數之該 舊產生器的輸入。 4 0.如申請專利範圍第3 9項所述之方法,其中計算一新的 密碼檢驗者的步驟包含: 將運作一雜湊函數的結果指定給一第一中介值,該雜 湊函數的輸入包含該使用者名稱和該新的密碼; 將運作一雜湊函數的結果指定給一第二中介值,該雜 湊函數的輸入包含該新的 salt(隨機變數)和該第一中介 值; 將該第二的中介值之該舊的產生器乘冪數指定給一第 三中介值;和 將該第三中介值與該舊的取餘質數相除取餘數指定給 該新密碼檢驗者。 4 1 .如申請專利範圍第3 3項所述之方法,其中該認證伺服 器存取該新的密碼檢驗者的步驟包含: 使用在該認證使用者端作認證時所導出的一認證伺服 器對認證使用者端加密金鑰對該新的密碼檢驗者作加密 動作;和 該認證伺服器存取該加密的新的密碼檢驗者。 37 1288552 ϋ 1/彳弋、 42 ·如申請專利範圍第4 1項所述之方法,其中該認證伺服 器存取該新的密碼檢驗者的步驟進一步包含: 計算一覆蓋著加密過的新密碼檢驗者的MAC,該MAC 是基於在該認證使用者端作認證時所導出的一認證伺服 器對認證使用者端認證金鑰;和 該認證伺服器存取該MAC。 43. 如申請專利範圍第33項所述之方法,其進一步包含: 該認證使用者端對該認證伺服器作一第二次認證,該 第二次認證是基於該認證使用者端已知的該新的密碼、 該認證伺服器已知的該新的密碼檢驗者、和該使用者名 稱、舊的取餘質數、該舊的取餘質數的舊產生器、和該 認證使用者端與該認證伺服器已知的新的 salt(隨機變 數)。 44. 如申請專利範圍第33項所述之方法,進一步包含: 從該認證伺服器接收一新的取餘質數和該新的取餘質 數的一新產生器。 45 ·如申請專利範圍第44項所述之方法,其中從該認證伺 服器接收一新的 s a 11 (隨機變數)、一新的取餘質數和該 新的取餘質數之一新產生器的步驟包含: 從該認證伺服器接收一 MAC ;和 38
12^8552 計算一覆蓋該新的salt(隨機變數)、該新的取餘質數 和該新的產生器的MAC,該MAC是基於在該認證使用 者端作認證時所導出的一認證使用者端對認證伺服器認 證金鑰; 及其中僅在該接收MAC符合該計算出來的MAC之情 況下,執行計算以及該認證伺服器存取該新的密碼檢驗 者0 46.如申請專利範圍第44項所述之方法,進一步包含傳遞 以更作為該計算該新的取餘質數和該新的產生器的輸 入° 47.如申請專利範圍第46項所述之方法,其中計算一新的 密碼檢驗者的步驟包含: 將運用一雜湊函數的結果指定給一第一中介值,該雜 湊函數的輸入包含該使用者名稱和該新的密碼; 將運用一雜湊函數的結果指定給一第二中介值,該雜 湊函數的輸入包含該新的s a 11 (隨機變數)和該第一中介 值; 將該第二中介值之該新的產生器乘冪數指定給一第三 中介值;和 將該第三中介值與該新的取餘質數相除取餘數指定給 該新的密碼檢驗者。 39 1288552
48. 如申請專利範圍第44項所述之方法,其進一步包含: 該認證使用者端對該認證伺服器作一第二次認證,該 第二次認證是基於該認證使用者端已知的該新的密碼、 該認證伺服器已知的該新的密碼檢驗者、和該使用者名 稱、新的取餘質數、該新的取餘質數的新產生器、和該 認證使用者端與該認證伺服器已知的新的 salt(隨機變 數)。 49. 一種電腦可讀記錄媒體,其包含用於執行使一認證使用 者端實作出一新密碼之方法的指令,該認證使用者端已 經對該認證伺服器作認證,該認證使用者端的認證是基 於認證使用者端已知的一舊密碼和該認證伺服器已知的 一舊的密碼檢驗者,和一使用者名稱、舊的取餘質數、 該舊的取餘質數的舊產生器、和該認證使用者端與該認 證伺服器已知的舊的salt(隨機變數),該方法包含: 從認證伺服器接收該認證使用者端改變其密碼的一要 求, 自該認證使用者端接收一新的salt(隨機變數); 從該認證使用者端要求和接收一來自該認證使用者端 之一使用者的新密碼; 計算一新密碼的檢驗者,傳遞以作為該計算該新的 salt(隨機變數)和該使用者名稱的輸入;和 40 12^8552 1;n // ' 个:, 該認證伺服器存取該新的密碼檢驗者。 5 0. —種電腦可讀記錄媒體,其具有一改變密碼要求資料結 構儲存於其内,該改變密碼要求資料結構包含: 一第一資料攔位,其含有表示一 salt(隨機變數)的資 料; 一第二資料欄位,其含有表示一取餘質數的資料; 一第三資料欄位,其含表示該取餘質數之一產生器的 資料;和 一第四資料攔位,其含有表示覆蓋該salt(隨機變數)、 該取餘質數和該產生器之一 MAC的資料。 5 1 .如申請專利範圍第5 0項所述之電腦可讀記錄媒體,其 中該salt(隨機變數)、該取餘質數、該產生器、和該MAC 被格式化成選自下列群組組合中之一訊息的部份:一 EAP-SRP伺月艮器改變密碼訊息和一 EAP-SRP供應者規 格改變密碼要求訊息。 5 2. —種電腦可讀記錄媒體,其具有一改變密碼回應資料結 構儲存其内,該改變密碼回應資料結構包含: 一起始的資料攔位,其含有表示一密碼檢驗者的資 料;和 一第二資料欄位,其含有表示覆蓋該密碼檢驗者之一 41 12^8552
MAC的資料。 5 3 .如申請專利範圍第5 2項所述之電腦可讀記錄媒體,其 中該密碼檢驗者、和該 MAC被格式化成選自下列群組 組合中之一訊息的部份:一 EAP-SRP使用者端改變密碼 訊息和一 ΕΑΡ-SRP供應者規格改變密碼回應求訊息。 42 1288552 第?2'侧號_案哎年丨如^― f件"月
寸 oCNl· CSIOT-* CVIOCNI 1;价 $ i^· $s 1288552 if j/ H 第3a圖 c 認鐵細麵 認證關者端102和認證f司服器106 姻贿密碼參働bi懷證 300 從g密碼導出一第一組安全餘延 304 使用該第一組安全錄%傳輸 , 腿 f 認樹司服器
〉認證使^者端102和認證间服器106 制碱密石童働啦證 302 從贿密碼檢^導出 一第一組安全 306 制該第一組傳輸 300 決定實作’一巧 31 固新的密碼 〇 1 r c 認翻服器B ) 1288552 P "” f 二 ‘ ί 第3b圖
V )/1288552 醒寸城 0? asw s Ml lCDw i Mew XIseH ϊϋΐ 1288552 七、指定代表圖·· (一) 、本案指定代表圖為:第1圖。 (二) 、本代表圖之元件代表符號簡單說明: 1 0 0 網路環境 1 0 2 認證使用者端 1 0 4接收伺服器 1 0 6認證伺服器 1 0 8竊聽者
八、本案若有化學式時,請揭示最能顯示 發明特徵的化學式:
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/135,043 US20030204724A1 (en) | 2002-04-30 | 2002-04-30 | Methods for remotely changing a communications password |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW200402981A TW200402981A (en) | 2004-02-16 |
| TWI288552B true TWI288552B (en) | 2007-10-11 |
Family
ID=22466241
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW092109643A TWI288552B (en) | 2002-04-30 | 2003-04-24 | Method for implementing new password and computer readable medium for performing the method |
Country Status (19)
| Country | Link |
|---|---|
| US (1) | US20030204724A1 (zh) |
| EP (1) | EP1359491B1 (zh) |
| JP (1) | JP2004030611A (zh) |
| KR (1) | KR100979576B1 (zh) |
| CN (1) | CN100388244C (zh) |
| AT (1) | ATE310272T1 (zh) |
| AU (1) | AU2003203712B2 (zh) |
| BR (1) | BR0301154A (zh) |
| CA (1) | CA2424833A1 (zh) |
| DE (1) | DE60302276T2 (zh) |
| ES (1) | ES2250771T3 (zh) |
| HK (1) | HK1062052A1 (zh) |
| MX (1) | MXPA03003710A (zh) |
| MY (1) | MY130400A (zh) |
| NO (1) | NO20031913L (zh) |
| PL (1) | PL359840A1 (zh) |
| RU (1) | RU2307391C2 (zh) |
| TW (1) | TWI288552B (zh) |
| ZA (1) | ZA200302773B (zh) |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
| US7386877B2 (en) * | 2002-07-12 | 2008-06-10 | Sun Microsystems, Inc. | Specifying a repository for an authentication token in a distributed computing system |
| US8261062B2 (en) | 2003-03-27 | 2012-09-04 | Microsoft Corporation | Non-cryptographic addressing |
| US7154378B1 (en) | 2003-09-11 | 2006-12-26 | Stryker Corporation | Apparatus and method for using RFID to track use of a component within a device |
| US7976461B2 (en) * | 2004-02-12 | 2011-07-12 | Stryker Corporation | Endoscopy device with integrated RFID and external network capability |
| US7734929B2 (en) * | 2004-04-30 | 2010-06-08 | Hewlett-Packard Development Company, L.P. | Authorization method |
| US7929689B2 (en) * | 2004-06-30 | 2011-04-19 | Microsoft Corporation | Call signs |
| US7941671B2 (en) * | 2004-10-14 | 2011-05-10 | Oracle International Corporation | Method and apparatus for accommodating multiple verifier types with limited storage space |
| US7596225B2 (en) * | 2005-06-30 | 2009-09-29 | Alcatl-Lucent Usa Inc. | Method for refreshing a pairwise master key |
| US7698555B2 (en) * | 2005-08-29 | 2010-04-13 | Schweitzer Engineering Laboratories, Inc. | System and method for enabling secure access to a program of a headless server device |
| US20070220134A1 (en) * | 2006-03-15 | 2007-09-20 | Microsoft Corporation | Endpoint Verification Using Call Signs |
| US8086842B2 (en) | 2006-04-21 | 2011-12-27 | Microsoft Corporation | Peer-to-peer contact exchange |
| KR100877593B1 (ko) * | 2006-05-09 | 2009-01-07 | (주)씽크에이티 | 랜덤하게 맵핑되는 가변 패스워드에 의한 인증 보안 방법 |
| US7874011B2 (en) * | 2006-12-01 | 2011-01-18 | International Business Machines Corporation | Authenticating user identity when resetting passwords |
| EP2133811A4 (en) * | 2007-03-30 | 2014-10-22 | Nec Corp | USER AUTHENTICATION CONTROLLER, USER AUTHENTICATION DEVICE, DATA PROCESSING DEVICE, USER AUTHENTICATION CONTROL METHOD AND THE SAME |
| US20080288781A1 (en) * | 2007-05-18 | 2008-11-20 | Richard Lee Lawson | Systems and methods for secure password change |
| US8233615B2 (en) * | 2008-01-15 | 2012-07-31 | Inside Secure | Modular reduction using a special form of the modulus |
| US7522723B1 (en) * | 2008-05-29 | 2009-04-21 | Cheman Shaik | Password self encryption method and system and encryption by keys generated from personal secret information |
| CN101741823B (zh) * | 2008-11-12 | 2013-01-16 | 北京大学 | 一种交叉验证的安全通讯方法及系统 |
| KR101094577B1 (ko) * | 2009-02-27 | 2011-12-19 | 주식회사 케이티 | 인터페이스 서버의 사용자 단말 인증 방법과 그 인터페이스 서버 및 사용자 단말 |
| CN102958100B (zh) * | 2011-08-25 | 2015-09-09 | 华为终端有限公司 | 无线局域网连接的实现方法及装置 |
| CN103095659B (zh) * | 2011-11-03 | 2016-01-20 | 北京神州泰岳软件股份有限公司 | 一种互联网中账户登录方法和系统 |
| US8667284B2 (en) * | 2012-01-13 | 2014-03-04 | Microsoft Corporation | Detection of invalid escrow keys |
| EP3019992B1 (en) * | 2013-07-08 | 2020-04-29 | Assa Abloy AB | One-time-password generated on reader device using key read from personal security device |
| US9122888B2 (en) | 2013-07-22 | 2015-09-01 | Dell Products, Lp | System and method to create resilient site master-key for automated access |
| US9077710B1 (en) * | 2013-12-18 | 2015-07-07 | Sabaki Corporation | Distributed storage of password data |
| CN104065653B (zh) * | 2014-06-09 | 2015-08-19 | 北京石盾科技有限公司 | 一种交互式身份验证方法、装置、系统和相关设备 |
| CN104915592B (zh) * | 2015-05-28 | 2017-03-08 | 东莞盛世科技电子实业有限公司 | 密码设定方法及其设备 |
| US9697351B1 (en) * | 2015-06-29 | 2017-07-04 | EMC IP Holding Company LLC | Providing a high security password from an initial character string of lowercase letter and numbers, and inclusion of one or more other characters |
| CN104994115B (zh) * | 2015-08-06 | 2018-02-13 | 上海斐讯数据通信技术有限公司 | 一种登录认证方法及系统 |
| DE102019001731A1 (de) * | 2019-03-12 | 2020-09-17 | data-team Datendienste GmbH | Autorisierungsverfahren mittels Einmalpasswörtern |
| CN112115437B (zh) * | 2020-09-04 | 2023-12-29 | 上海上讯信息技术股份有限公司 | 通过Linux设备远程修改Windows设备密码的方法与设备 |
| CN114978704B (zh) * | 2022-05-24 | 2023-07-04 | 北京天融信网络安全技术有限公司 | 基于服务器的密码修改方法及服务器 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5241599A (en) * | 1991-10-02 | 1993-08-31 | At&T Bell Laboratories | Cryptographic protocol for secure communications |
| US5440635A (en) * | 1993-08-23 | 1995-08-08 | At&T Corp. | Cryptographic protocol for remote authentication |
| WO1995008885A1 (en) * | 1993-09-20 | 1995-03-30 | International Business Machines Corporation | System and method for changing the key or password in a secure distributed communications network |
| JP2596361B2 (ja) * | 1993-12-24 | 1997-04-02 | 日本電気株式会社 | パスワード更新方式 |
| NL9401233A (nl) | 1994-03-25 | 1995-11-01 | Tno | Werkwijze voor membraangasabsorptie. |
| US5706349A (en) * | 1995-03-06 | 1998-01-06 | International Business Machines Corporation | Authenticating remote users in a distributed environment |
| US5719941A (en) * | 1996-01-12 | 1998-02-17 | Microsoft Corporation | Method for changing passwords on a remote computer |
| US5953420A (en) * | 1996-10-25 | 1999-09-14 | International Business Machines Corporation | Method and apparatus for establishing an authenticated shared secret value between a pair of users |
| US6766454B1 (en) * | 1997-04-08 | 2004-07-20 | Visto Corporation | System and method for using an authentication applet to identify and authenticate a user in a computer network |
| US6539479B1 (en) * | 1997-07-15 | 2003-03-25 | The Board Of Trustees Of The Leland Stanford Junior University | System and method for securely logging onto a remotely located computer |
| US6064736A (en) * | 1997-09-15 | 2000-05-16 | International Business Machines Corporation | Systems, methods and computer program products that use an encrypted session for additional password verification |
| FI974341A (fi) * | 1997-11-26 | 1999-05-27 | Nokia Telecommunications Oy | Datayhteyksien tietosuoja |
| JP3430896B2 (ja) * | 1998-01-13 | 2003-07-28 | 日本電気株式会社 | パスワード更新装置及び記録媒体 |
| US6230269B1 (en) * | 1998-03-04 | 2001-05-08 | Microsoft Corporation | Distributed authentication system and method |
| KR100506076B1 (ko) * | 2000-03-23 | 2005-08-04 | 삼성전자주식회사 | 패스워드를 기반으로 한 상호 인증 및 키 교환방법과 그장치 |
| US6976164B1 (en) * | 2000-07-19 | 2005-12-13 | International Business Machines Corporation | Technique for handling subsequent user identification and password requests with identity change within a certificate-based host session |
-
2002
- 2002-04-30 US US10/135,043 patent/US20030204724A1/en not_active Abandoned
-
2003
- 2003-04-09 CA CA002424833A patent/CA2424833A1/en not_active Abandoned
- 2003-04-09 ZA ZA200302773A patent/ZA200302773B/xx unknown
- 2003-04-09 MY MYPI20031315A patent/MY130400A/en unknown
- 2003-04-14 DE DE60302276T patent/DE60302276T2/de not_active Expired - Lifetime
- 2003-04-14 AT AT03008063T patent/ATE310272T1/de not_active IP Right Cessation
- 2003-04-14 EP EP03008063A patent/EP1359491B1/en not_active Expired - Lifetime
- 2003-04-14 ES ES03008063T patent/ES2250771T3/es not_active Expired - Lifetime
- 2003-04-14 AU AU2003203712A patent/AU2003203712B2/en not_active Ceased
- 2003-04-24 PL PL03359840A patent/PL359840A1/xx unknown
- 2003-04-24 TW TW092109643A patent/TWI288552B/zh not_active IP Right Cessation
- 2003-04-25 MX MXPA03003710A patent/MXPA03003710A/es active IP Right Grant
- 2003-04-28 BR BR0301154-2A patent/BR0301154A/pt not_active IP Right Cessation
- 2003-04-29 NO NO20031913A patent/NO20031913L/no not_active Application Discontinuation
- 2003-04-29 RU RU2003112729/09A patent/RU2307391C2/ru not_active IP Right Cessation
- 2003-04-29 CN CNB031241689A patent/CN100388244C/zh not_active Expired - Fee Related
- 2003-04-29 KR KR1020030027200A patent/KR100979576B1/ko not_active IP Right Cessation
- 2003-04-30 JP JP2003125927A patent/JP2004030611A/ja not_active Ceased
-
2004
- 2004-05-05 HK HK04103185A patent/HK1062052A1/xx not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| US20030204724A1 (en) | 2003-10-30 |
| EP1359491A1 (en) | 2003-11-05 |
| DE60302276D1 (de) | 2005-12-22 |
| AU2003203712A1 (en) | 2003-11-20 |
| AU2003203712B2 (en) | 2008-06-05 |
| NO20031913L (no) | 2003-10-31 |
| KR20030085512A (ko) | 2003-11-05 |
| EP1359491A8 (en) | 2004-07-21 |
| JP2004030611A (ja) | 2004-01-29 |
| CA2424833A1 (en) | 2003-10-30 |
| KR100979576B1 (ko) | 2010-09-01 |
| NO20031913D0 (no) | 2003-04-29 |
| DE60302276T2 (de) | 2006-06-08 |
| ZA200302773B (en) | 2003-10-14 |
| MXPA03003710A (es) | 2005-04-11 |
| EP1359491B1 (en) | 2005-11-16 |
| PL359840A1 (en) | 2003-11-03 |
| RU2307391C2 (ru) | 2007-09-27 |
| ATE310272T1 (de) | 2005-12-15 |
| CN1455341A (zh) | 2003-11-12 |
| HK1062052A1 (en) | 2004-10-15 |
| ES2250771T3 (es) | 2006-04-16 |
| CN100388244C (zh) | 2008-05-14 |
| TW200402981A (en) | 2004-02-16 |
| MY130400A (en) | 2007-06-29 |
| BR0301154A (pt) | 2004-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI288552B (en) | Method for implementing new password and computer readable medium for performing the method | |
| US7688975B2 (en) | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure | |
| US8132020B2 (en) | System and method for user authentication with exposed and hidden keys | |
| TWI620087B (zh) | 驗證伺服器、驗證方法及其電腦程式產品 | |
| CN1832394B (zh) | 用于非对称密钥安全的方法和系统 | |
| US7100048B1 (en) | Encrypted internet and intranet communication device | |
| JP2009529832A (ja) | 発見不可能、即ち、ブラック・データを使用するセキュアなデータ通信 | |
| CN110868291B (zh) | 一种数据加密传输方法、装置、系统及存储介质 | |
| EP2414983B1 (en) | Secure Data System | |
| KR101531662B1 (ko) | 사용자 단말과 서버간 상호 인증 방법 및 시스템 | |
| US20060053288A1 (en) | Interface method and device for the on-line exchange of content data in a secure manner | |
| JP4794970B2 (ja) | 秘密情報の保護方法及び通信装置 | |
| CN111740995B (zh) | 一种授权认证方法及相关装置 | |
| TW202231014A (zh) | 訊息傳輸系統以及應用其中之使用者裝置與資訊安全硬體模組 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN114553566B (zh) | 数据加密方法、装置、设备及存储介质 | |
| JP3690237B2 (ja) | 認証方法、記録媒体、認証システム、端末装置、及び認証用記録媒体作成装置 | |
| JPWO2020166066A1 (ja) | トークン保護方法、認可システム、装置、及び、プログラム記録媒体 | |
| JP7251633B2 (ja) | 所有者同一性確認システム、認証局サーバおよび所有者同一性確認方法 | |
| JP7211519B2 (ja) | 所有者同一性確認システム、端末および所有者同一性確認方法 | |
| KR101379854B1 (ko) | 공인인증서 패스워드를 보호하는 장치 및 방법 | |
| JP2014081887A (ja) | セキュアシングルサインオン方式およびプログラム | |
| US11218472B2 (en) | Methods and systems to facilitate establishing a connection between an access-seeking device and an access granting device | |
| JP2002328905A (ja) | クライアント認証方法及び認証装置並びにプログラム及び記録媒体 | |
| TWI828558B (zh) | 訊息傳輸系統以及應用其中之使用者裝置與資訊安全硬體模組 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |